El Tribunal de Justicia de la UE señala que la protección de categorías especiales de datos personales también se aplica en el caso de posibles conclusiones inferidas del tratamiento de otros datos personales que no tienen la condición de categorías especiales de datos.
Se plantea una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea, en base a un precepto de la Ley lituana sobre la conciliación de intereses públicos y privados en la función pública.
La Autoridad Danesa de Protección de Datos concluye que el uso legal de Google Analytics requiere la implementación de medidas adicionales además de las configuraciones proporcionadas por Google.
El mensaje de la Autoridad de Protección de Datos de Noruega es que la utilización de Google Analytics, debe ser precedido un Plan de Cumplimiento que implica tomar medidas adicionales. Una posible medida técnica puede ser la seudonimización.
Hoy 7 de Octubre el presidente Biden firma una orden ejecutiva (Executive Order) para implementar la Unión Europea-EE.UU. Marco de privacidad de datos.
Las Executive Orders son documentos oficiales, numerados consecutivamente, a través de los cuales el Presidente de los Estados Unidos gestiona las operaciones del Gobierno Federal.
Los PET (tecnologías de mejora de la privacidad) son tecnologías que pueden ayudar a las organizaciones a compartir y utilizar los datos personales.
Parece que la respuesta podría estar en las PET (tecnologías de mejora de la privacidad, privacy enhancing technologies).
Hoy 1 de Septiembre de 2022 entran en vigor las medidas de Evaluación de la Seguridad de las Transferencias de Datos transfronterizas publicadas por la Administración del Ciberespacio de China en julio de 2022.
Esto implica a grandes rasgos, que todos en determinados escenarios que ahora veremos, los datos recabados o generados en China y que son transferidos o alojados fuera de China van a ser objeto de evaluación por parte del gobierno Chino.
En este post vamos a analizar la norma ISO 27701 que proporciona un marco para la Gestión de la Privacidad de las organizaciones. Es una norma alineada con los requisitos del Reglamento General de Protección de Datos, aunque como bien señala su Anexo D, se trata de una correspondencia indicativa siendo responsabilidad de cada organización evaluar sus obligaciones legales.
Es decir, estamos ante una norma voluntaria, y no nos encontramos ante un código de conducta de los aprobados por la vía del artículo 40 del RGPD, o ante una certificación de las descritas en el artículo 42.
En este post nos vamos a centrar en el concepto Compliance, que cada vez escuchamos más y en muchas ocasiones no se tiene muy claro su alcance concreto.
En la actualidad cualquier organización empresarial debe cumplir un notable número de leyes, normas y regulaciones, que para su correcto cumplimiento implican que las entidades realicen cambios organizativos y establezcan controles internos.
En este post vamos a analizar la norma ISO 37301, de Sistemas de Gestión de Compliance Global. Durante el proceso de desarrollo de los Sistemas de Gestión de Compliance Penal he tenido la oportunidad de comprobar que el Compliance Penal en sí, se queda un poco “corto”, y que el proceso de análisis de riesgos precisa incluir dentro de la misma matriz, todos los riesgos de la organización.
La figura del Responsable de Cumplimiento Normativo o Compliance Officer es una figura cada vez más habitual en las medianas y grandes empresas españolas, como consecuencia de la influencia de las prácticas empresariales del mundo anglosajón. Esta regulación no es nueva en nuestro ordenamiento jurídico, por ejemplo la Ley 10/2010 de Prevención de Blanqueo de Capitales introduce las figuras de “representante ante el SEPBLAC” y “órgano de control interno”.
La Resolución de, 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, prescribe en su capítulo VII que el ENS resulta de aplicación a las entidades privadas cuando presten servicios o provean soluciones a las entidades públicas a los que resulte exigible el cumplimiento del Esquema Nacional de Seguridad. Es decir, a las entidades privadas les es de aplicación el ENS, en lo relativo a la prestación de servicios a las administraciones públicas.
¿Podemos utilizar la información volcada en el Informe INES para realizar la declaración de conformidad en los sistemas de categoría básica del ENS?
Para resolver la cuestión planteada vamos a analizar los siguientes aspectos:
¿Un cambio en el Responsable de la Información o del Servicio implicaría una nueva valoración de los servicios en el Esquema Nacional de Seguridad?
De acuerdo con lo establecido en el apartado 3.2. de la “Guía de Seguridad de las TIC CCN-STIC 803. ENS. Valoración de los Sistemas”, la valoración de la información la determina el responsable de la información...
Artículo publicado en Expansión.com
La sociedad de la información ha desarrollado una enfermedad propia: la desinformación, con potencial para extenderse rápidamente y atacar los órganos vitales de cualquier sociedad democrática.
Artículo publicado en Cinco Días
Un plan de lucha contra la desinformación a priori parece algo acertado, pero existe el grave riesgo de coartar el derecho a la libertad de información.
Artículo publicado en Retina El País
Estas elecciones serán las primeras en las que los partidos podrán tratar datos personales relativos a opiniones políticas y enviarnos propaganda por medios electrónicos. ¿Cuáles son los límites? ¿Qué datos se pueden recopilar?
Artículo publicado en Expansión Jurídico
La creciente digitalización del trabajo es una gran oportunidad para dar entrada a un nuevo liderazgo empresarial que valore al trabajador desde el rendimiento y la productividad.
Artículo publicado en El Economista
El pasado 27 de febrero se publicó la norma UNE 19602, Sistemas de Gestión de Compliance Tributario, configurándose como una guía eficaz para gestionar los riesgos tributarios a los que se ven expuestos todas las organizaciones.
Desde mi experiencia en el diseño de Programas de Compliance Penal los riesgos penales asociados a incumplimientos tributarios constituyen la parte más crítica del proyecto, a no ser que por la actividad concreta de la empresa sean otros riesgos los que ocupen mayor protagonismo.
Y empezamos por el Compliance ad intra, del que me imagino que todos habéis oído hablar. Nos situamos en la Sentencia de la Sala II del Tribunal Supremo 316/2018, que introduce un nuevo concepto, el Compliance ad intra, diferenciándolo del Compliance ad extra.
El Riesgo de Compliance es definido en la norma ISO 19600 (apartado 3.1.8) como el efecto de la incertidumbre en los objetivos de Compliance. El riesgo de Compliance, prosigue, puede ser caracterizado por la PROBABILIDAD de que ocurran estos riesgos y las consecuencias de los incumplimientos respecto a las obligaciones de Compliance de una organización, es decir el IMPACTO.
Siguiendo con el post anterior, en el que comenzamos a definir las fases que integran un Programa de Compliance Penal, una vez que la empresa ha definido y desarrollado su Código Ético, es el momento de definir la composición del Equipo de Compliance ¿Debe ser un órgano colegiado o unipersonal? En el caso de grupos empresariales, ¿debe ser un órgano único para todo el grupo o para cada una de las denominaciones sociales que integran el grupo? ¿Debe externalizarse?
Como hemos comentado en varias ocasiones estamos en un momento de “boom del Compliance”, en el que hacemos cursos de formación, consultamos libros, asistimos a jornadas, hablamos con uno y otro colega, pero cuando nos enfrentamos al primer proyecto de Compliance nos asaltan multitud de dudas. ¿Por dónde comenzamos? En ésta y posteriores entradas, proponemos las fases que podrían conformar la elaboración de un Programa de Compliance Penal.
