ÍNDICE GENERAL TEMÁTICO
1. Compliance y GRC
2. Prevención de Blanqueo de Capitales
3. Protección de datos
4. Cloud Computing
5. Seguridad de la información
6. Redes Sociales y Privacidad
7. Innovación y tendencias
8. Delitos y las TIC / Ciberseguridad
9. Auditoría / Normas ISO
Nota del editor: La mayoría de entradas del Blog se van revisando permanentemente, según el principio de la mejora continua. En
cada artículo, si procede, se indica la fecha de la última actualización.
La función de Compliance en las
organizaciones no vive aislada de las áreas de negocio, como metida dentro de
una burbuja, ni asume toda la responsabilidad de cumplimiento de la persona
jurídica. Veremos en este artículo el modo de poner orden a estas ideas. Todo
lo aquí indicado es aplicable a cualquier área de práctica, basada en el
riesgo, como puede ser la seguridad de la información.
La STS 4728/2016, de 3 de noviembre, obliga a perfilar aspectos muy interesantes respecto al tratamiento procesal que debe darse a la conjunción de los artículos 31 CP y 31 bis CP, lo que en su día decidí designar como “El triángulo de responsabilidad penal en la persona jurídica” a modo de introducción didáctica. La sentencia obliga a repasar diferentes principios del Derecho, especialmente el principio acusatorio y el principio non bis in ídem. Este último ya se trató en la STS 3322/2010, de 30 de junio. Estamos viviendo el inicio de la jurisprudencia en España respecto a RPPJ, lo que provoca ir adaptando las interpretaciones sentencia a sentencia.
Se explica de forma didáctica el modelo de transferencia de responsabilidad penal en la empresa, para acabar recomendando la implantación de un modelo de prevención de riesgos penales.
Los riesgos y los requerimientos actuales de cumplimiento regulatorio en la empresa son numerosos, exigentes y varían constantemente. Su ignorancia, deliberada o no, puede causar graves efectos en la organización. También, en un entorno globalizado y cada vez más competitivo, las normas de libre adscripción y marcos de mejores prácticas aportan valor a la empresa pero obligan a la entidad a implantar programas de cumplimiento para acreditar el debido control sobre todos los ámbitos. De la convergencia de todos ellos es que aparecen los Compliance Management Systems (CMS) y los Modelos integrados de Governance, Risk & Compliance (GRC).
Se analiza el difícil equilibrio entre seguridad y privacidad, partiendo de la propuesta de modificación de la Regla 41 de las Reglas Federales de Procedimiento Penal en EE UU, y del artículo 588 septies de la LECRIM, modificado por la LO 13/2015, de 5 de octubre.
La reciente Sentencia 2844/2014, de 16 de junio, de la Sala Segunda de lo Penal del Tribunal Supremo, entra a matizar la licitud de las pruebas obtenidas mediante el control del correo electrónico corporativo al amparo del artículo 20.3 de la LET, cuando nos encontramos ante la jurisdicción penal. Recordemos que para la jurisdicción social, la Sentencia de la Sala 1ª del Tribunal Constitucional, de 7 de julio de 2013, había considerado previamente la admisión de esa tipología de pruebas de forma más permisiva.
Opinión 1/2013 de la APDCAT (Autoritat Catalana de Protecció de Dades) sobre la problemática de privacidad que se plantea por el uso del correo electrónico en el entorno laboral. En la documentación referenciada al final puede descargarse un modelo en formato Word de políticas de uso.
Control empresarial del correo electrónico corporativo. Análisis de la Sentencia de la Sala 1ª del TC a 7-10-2013, en el recurso de amparo 2907/2011
Se analiza y reordena, de un modo más didáctico, la Sentencia del TC sobre cuándo queda justificada la intervención y el control empresarial del correo electrónico corporativo, y los medios informáticos que lo soportan, puestos por la empresa a disposición de los trabajadores.
Lo novedoso es que considera que el requerimiento previo a una posible intervención del correo corporativo por parte de la empresa que es la promulgación de una política empresarial sobre el uso del correo electrónico puede sustituirse por un artículo en el Convenio Colectivo que obliga a empresa y trabajador.Se analiza y reordena, de un modo más didáctico, la Sentencia del TC sobre cuándo queda justificada la intervención y el control empresarial del correo electrónico corporativo, y los medios informáticos que lo soportan, puestos por la empresa a disposición de los trabajadores.
La figura del whistleblower se ha convertido en una pieza fundamental de los programas de Compliance o cumplimiento regulatorio en la empresa. No obstante, debe buscarse en su implementación, para cada caso concreto, el equilibrio entre el bien jurídico que se protege con la materialización del canal de denuncias (la propia administración de justicia, al delatarse ilícitos, y el preservar el honor de la persona jurídica) y el riesgo que comporta para los derechos fundamentales de los intervinientes (Derecho a la intimidad del delator, y derecho al honor y la intimidad del delatado, además del derecho a la protección de los datos personales de ambos).
La responsabilidad penal de la persona jurídica (RPPJ) es un concepto relativamente nuevo en nuestro ordenamiento jurídico. El principio “societas delinquere non potest” ha quedado relegado a la historia del Derecho. No obstante, surgen una serie de dudas que irán resolviéndose en la medida en que aparezca y aumente la jurisprudencia y la doctrina al respecto. Una de las principales cuestiones, relevante para no crear indefensión, es entender a quién corresponde la carga de prueba en un proceso penal en que intervenga una PJ.
El estándar IDW AssS 980; cómo auditar modelos de Compliance
Uno de los temas menos tratados hasta ahora es el de las auditorías de los sistemas de compliance. En este artículo se presenta el estándar IDW AssS 980 (PS 980) que regula en Alemania la auditoría de modelos de cumplimiento. Se alza como un firme candidato a ser tomado como referencia para auditar este tipo de modelos.
Se analiza una tendencia generalizada en la elaboración de leyes que afectan a las personas jurídicas: La apreciación del riesgo y su tratamiento.
Responsabilidad por deber de garante: Aplicación al CCO y al DPO
Se presenta un paralelismo entre las figuras del Chief Compliance Officer (CCO) y el Data Protection Officer (DPO), en relación a la responsabilidad derivada del deber de garante, en el ámbito de sus competencias, que ostentan en el seno de la PJ.
Se analizan las seis primeras sentencias del Tribunal Supremo, respecto a la responsabilidad penal de la persona jurídica (RPPJ), ante los respectivos recursos de casación. La riqueza doctrinal, de unas respecto a otras, presenta grandes diferencias. Recordaré que actualmente ya existen otras sentencias respecto a la RPPJ, cuyo fallo ha correspondido a diferentes Audiencias Provinciales. En el apartado de bibliografía se enlazan las Sentencias.
El estándar IDW AssS 980; cómo auditar modelos de Compliance
Uno de los temas menos tratados hasta ahora es el de las auditorías de los sistemas de compliance. En este artículo se presenta el estándar IDW AssS 980 (PS 980) que regula en Alemania la auditoría de modelos de cumplimiento. Se alza como un firme candidato a ser tomado como referencia para auditar este tipo de modelos.
Se analiza una tendencia generalizada en la elaboración de leyes que afectan a las personas jurídicas: La apreciación del riesgo y su tratamiento.
Responsabilidad por deber de garante: Aplicación al CCO y al DPO
Se presenta un paralelismo entre las figuras del Chief Compliance Officer (CCO) y el Data Protection Officer (DPO), en relación a la responsabilidad derivada del deber de garante, en el ámbito de sus competencias, que ostentan en el seno de la PJ.
La cada vez mayor complejidad de las empresas, y los mercados transnacionales donde éstas operan, provoca que al Estado le sea difícil legislar respecto a los nuevos modelos de negocio que van apareciendo, a la vez que inspeccionar su cumplimiento. La autorregulación se muestra como una posible solución a este problema, no exenta de dificultades.
Se analiza, de una manera breve y concisa, el delito de blanqueo de capitales en nuestro Código Penal.
El blanqueo de capitales se basa en la
ocultación, lo que implica una enorme dificultad, no solo en su detección, sino
en poder llegar a un fallo condenatorio en su enjuiciamiento posterior. Es ésta
la explicación de la importancia que adquiere la prueba indiciaria en el
contexto de este tipo de delitos para formar la convicción del juzgador.
El Reglamento (UE)
2016/679 (RGPD), a diferencia del Reglamento 1720/2007 de desarrollo de la
LOPD, introduce el concepto de “Seguridad Activa” que evita, como hasta ahora,
señalar un catálogo de medidas de seguridad concretas, dejando la elección de
éstas al Responsable y al Encargado en base al riesgo evaluado respecto a
los tratamientos de datos personales. El ENS o la norma ISO 27001:2013, junto a
sus respectivas 75 medidas de seguridad y 114 controles, pueden ser una ayuda
relevante para el cumplimiento del RGPD.
Se
presenta una relación cerrada respecto a diferentes ponencias y artículos
relacionados sobre la privacidad desde el diseño (del inglés PbD), que han sido
publicados en este mismo Blog, excepto el primer vídeo del Congreso Nacional de
itSMF que es inédito. En la actualidad se reconoce internacionalmente a la PbD
como la mejor forma de abordar la privacidad en cualquier proyecto.
El Reglamento (UE) 2016/679 representa un cambio
significativo en relación a cómo debe entenderse la protección de los datos de
naturaleza personal en la Unión Europea. En él se traslada el centro de
gravedad desde los ficheros de datos hacia los tratamientos, dotando de mayor
cobertura a los derechos y libertades de los ciudadanos ante los nuevos retos
que surgen fruto del progreso tecnológico.
6ª PÍLDORA TECNOLÓGICA ICAB: 'LA EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS'
Desarrollo del PowerPoint presentado en la ponencia organizada por la Sección de Derecho de las Tecnologías de la Información y la Comunicación del Ilustre Colegio de Abogados de Barcelona (ICAB), en colaboración con el capítulo de Barcelona de ISACA.
Aprovechando la publicación por parte de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires de la obra titulada “Hacia una efectiva protección de los datos en Iberoamérica”, se recuerda otra iniciativa del Observatorio Iberoamericano de Protección de Datos “Protección de datos y habeas data: una visión desde Iberoamérica” que fue en su día premiada con un accésit por la AEPD. En ambas el editor de este blog ha tenido el honor de participar y pueden descargarse completas en este mismo artículo.
VEINTE AÑOS DE LA PROTECCIÓN DE DATOS PERSONALES EN ESPAÑA
Comentarios al hilo de la celebración de los 20 años de creación de la Agencia Española de Protección de Datos.
Se estudia desde una posición imparcial el derecho al olvido que cobra sentido en un mundo interconectado globalmente a través de Internet. En síntesis lo que se debate es la posibilidad otorgada a todo sujeto para “volver a empezar” sin que el conocimiento digitalizado de circunstancias negativas de su pasado, carentes de relevancia social, le persigan toda su vida de forma ineludible. Dicho de otra manera, es otra forma de libertad personal.
A veces remover mediante un
artículo los conceptos que se consideran inamovibles en protección de datos es
positivo para que se libere la mente y puedan surgir otras propuestas
relevantes en línea con la evolución del individuo en la sociedad.
Breve reflexión, siempre desde mi personalísima
opinión, sobre el enfoque que debe darse a la privacidad en un mundo cada vez
más digitalizado.
La
filtración de datos de naturaleza personal acaecida en la web de contactos
Ashley Madison ha puesto de manifiesto la importancia de preservar la
privacidad, a la vez que la fragilidad de la seguridad en Internet.
CONSIDERACIONES TEÓRICO-PRÁCTICAS SOBRE EL PROCESO DE ELABORAR UN PIA
Es superfluo, en nuestros días, seguir abordando y preservando la privacidad con métodos del pasado. En un entorno digital que evoluciona con gran rapidez deben gestionarse los principales riesgos que inciden sobre los datos personales sin acudir a fáciles, pero inefectivas, generalizaciones de mínimos. Debe hacerse para cada proyecto concreto, de los muchos que una organización ha iniciado o iniciará, desde su origen y siempre que se produzcan cambios relevantes en ellos. Nos serviremos de un PIA o, como prefiere llamarle la AEPD (Agencia Española de Protección de Datos), de una EIPD (Evaluación de Impacto en la Protección de datos).
Se presenta una grabación de 8 minutos en vídeo que, partiendo de un análisis exhaustivo de los factores de calidad interna y externa de un diseño TIC, pone de manifiesto diferentes relaciones de todos ellos con la privacidad.
USO DE Whatsapp© EN EL ÁMBITO PROFESIONAL DE LAS RELACIONES ENTRE ABOGADO Y CLIENTE
Traducción “no
oficial” del Dictamen CNS-24/2013 de
la APDCAT (Autoritat Catalana de Protecció de Dades) en relación con la consulta de un Colegio de
Abogados, referente al uso de las aplicaciones “Whatsapp©" y "Spotbros©"
en el ámbito profesional de las relaciones entre abogado y cliente. Para
facilitar la claridad, se ha fragmentado en apartados.
Este
artículo incide en las principales claves jurídicas que deben tenerse en cuenta
antes de lanzar una campaña de e-mail marketing (LOPD, RLOPD y LSSI-CE).
VIDEOVIGILANCIA
Y PRIVACIDAD EN LA EMPRESA PRIVADA
Estudio sobre las implicaciones en materia de Protección de Datos, así como de otras leyes e Instrucciones específicas, de una instalación basada en un sistema de videovigilancia. Obligaciones legales en la fase de diseño del proyecto y en su utilización ulterior.
Estudio sobre las implicaciones en materia de Protección de Datos, así como de otras leyes e Instrucciones específicas, de una instalación basada en un sistema de videovigilancia. Obligaciones legales en la fase de diseño del proyecto y en su utilización ulterior.
En el desempeño diario, los profesionales de la
privacidad nos enfrentamos a diversas situaciones donde concurren aspectos
jurídicos, organizativos y técnicos, todos ellos necesarios para conseguir una
correcta adecuación de nuestros clientes a la legislación vigente en materia de
protección de datos.
En algunos casos de asesoramiento, como es el
requerido por las empresas periodísticas (Prensa, radio, TV, Internet…), debe
hilarse muy fino ante el riesgo de que pueda producirse una colisión de
derechos fundamentales de las personas, que requerirá un especial análisis
jurídico de cada caso particular. Presentamos aquí una orientación generalista
al respecto.
LA NUEVA PROPUESTA DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNION EUROPEA
Análisis de lo más importante o novedoso en relación
a la propuesta de la Comisión Europea para regular la protección de datos
personales en la Unión Europea en las próximas décadas.
Traducción “no oficial” del
Dictamen CNS 34/2014 de la APDCAT como respuesta a la consulta planteada por
una entidad de derecho público en relación con el modelo de gestión y de servicios para dar valor a la información
del sistema sanitario catalán en el marco de las políticas públicas, VISC+.
REFLEXIONES
SOBRE EL FUTURO DE LA PRIVACIDAD EN EUROPA
Se presenta la segunda edición del estudio de la propuesta de reglamento de protección de datos de la UE, promovida por el DPI (Data Privacy Institute) dentro de ISMS Forum Spain.
Se presenta la segunda edición del estudio de la propuesta de reglamento de protección de datos de la UE, promovida por el DPI (Data Privacy Institute) dentro de ISMS Forum Spain.
Desde
aquí agradecer a la organización haberme dado la oportunidad de participar en
el mismo, junto a expertos y excelentes compañeros, dentro de un completo y
profesional equipo multidisciplinario compuesto
entre otros por abogados, ingenieros, economistas… aunados por un interés común
en la protección de datos.
Este
documento tiene como objetivo principal ser un análisis temático de
determinadas materias y aspectos de la propuesta de nueva regulación sobre
privacidad y protección de datos.
Considera
tanto el borrador publicado en enero de 2012 por la Comisión, como el publicado
en mayo de 2013 por el Consejo, de modo que se pueda conocer en detalle los
aspectos a regular en esta normativa, el análisis en profundidad de sus
consecuencias y las propuestas concretas para su actuar, conforme disponen los
citados borradores.
Análisis
de la propuesta de nueva regulación (en concreto del borrador publicado el 25 de
enero de 2012 por la Comisión Europea), de modo que permita conocer en detalle
los aspectos regulados en esta normativa, el resultado de su comparación con la
normativa española vigente, y el posible impacto que tendrá sobre las entidades
públicas o privadas.
ANÁLISIS
DEL PRIVACY BY DESIGN Y SU MENCIÓN EN EL REGLAMENTO GENERAL DE PROTECCIÓN
DE DATOS DE LA UE
La PbD (Privacy by Design) o “privacidad desde el diseño” es una estructura de cumplimiento normativo aplicada desde la concepción de cualquier proceso de negocio. Debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo.
La PbD (Privacy by Design) o “privacidad desde el diseño” es una estructura de cumplimiento normativo aplicada desde la concepción de cualquier proceso de negocio. Debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo.
DIRECTIVA
DE RETENCIÓN DE DATOS: ANTECEDENTES, TRANSPOSICIÓN Y ESTADO ACTUAL
En el año 2006 la Unión Europea aprobó la Directiva sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, popularmente conocida como “Directiva de retención de datos” y que ha generado una gran polémica y controversia, ya que para algunos sectores su articulado vulnera la privacidad de los ciudadanos.
En el año 2006 la Unión Europea aprobó la Directiva sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, popularmente conocida como “Directiva de retención de datos” y que ha generado una gran polémica y controversia, ya que para algunos sectores su articulado vulnera la privacidad de los ciudadanos.
Estudio
sobre la situación actual de adecuación a la LOPD de las empresas españolas, a
partir de datos contrastados. Se analizan los elementos que aportan convicción
para decidirse por el cumplimiento, y se incide en el más desconocido de ellos:
Las posibles sanciones tipificadas en el CP (Código Penal).
¿Ciertos datos alfanuméricos pueden considerarse “datos
identificativos personales” por si solos (disociados del nombre), o bien
necesitan estar acompañados del nombre y apellidos de la persona física, para
que se consideren datos personales según
la LOPD?
Análisis de la nueva figura del delegado de protección
de datos (DPO), que aparece en el borrador del nuevo reglamento del parlamento
europeo.
¿Tiene sentido hablar de adecuar a la LOPD española,
una empresa inscrita y que desarrolla sus actividades en Andorra? ¿Hablaremos
de cesiones o de transferencias internacionales de datos, si intercambia datos
de carácter personal con España?
El
grupo consultivo europeo del Artículo 29 (GT29) ha adoptado, en mayo de 2014,
el documento “Declaración del G29 sobre el papel de un enfoque basado en el
riesgo en los marcos legales de protección de datos” que puede consultarse
íntegro (en inglés) en el apartado de bibliografía. Viene a decir que los
principios fundamentales, que protegen los derechos de los interesados, deben
permanecer inalterables con independencia de cuál sea la evaluación y
tratamiento posterior del riesgo por parte del responsable. Por su interés presento
esta traducción “no oficial” adaptada al estilo y formato del blog.
El
marketing de los años venideros intentará “enamorar” al consumidor ofreciéndole
un contenido de interés que sea relevante a su realidad concreta y lo vincule a
la marca. Para ello, la tecnología, como el Big Data, y la explosión de los
medios digitales y sociales serán sus mejores aliados. Pero, al mismo tiempo,
también crecerá la preocupación de los consumidores por su privacidad,
por lo que las marcas tendrán que saber conciliar los beneficios de la
evolución tecnológica con preservar los derechos y las libertades individuales.
Los Códigos Tipo, nacieron con la finalidad de
simplificar todo el proceso obligatorio de adecuar a la legislación vigente en
materia de protección de datos, a empresas de sectores específicos que traten
datos de naturaleza personal.
Se
analiza jurídicamente la Sentencia de la Audiencia Nacional, de 26 de
septiembre de 2013, desde el punto de vista de la protección de datos y como colisión
de derechos fundamentales.
Traducción “no oficial” del dictamen 1/2016,
de 12 de febrero de 2016, emitido por el Supervisor Europeo de Protección de
Datos (EDPS) y referido a la protección de datos respecto al acuerdo marco US-UE
sobre prevención, investigación, detección y persecución de delitos. Sus
conclusiones son interesantes de cara al desarrollo jurídico del acuerdo
político alcanzado en sustitución de Safe Harbor y conocido
como EU-US Privacy Shield.
La cooperación internacional, no sólo desde Iberoamérica, sino con otros Estados y la propia Unión Europea debe ser un pilar clave en la función legislativa y las acciones de los organismos encargados de supervisar el cumplimiento de la ley.
La Declaración de Lima, hacia la unificación de criterios sobre protección de datos en Iberoamérica, ha sido elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, presentada en la ciudad de Lima (Perú), el 12 de abril de 2013, por el coautor de la misma y Catedrático José Reynaldo López Viera, en el transcurso de las Jornadas de Derecho Constitucional.
La Declaración de Santiago, hacia una unificación de criterios sobre seguridad y protección de datos en Internet, elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, fue presentada en la ciudad de Santiago (Chile), el 12 de septiembre de 2013, por Pedro Huichalaf Roa, en el transcurso de la Seminario de Datos personales, organizado en la Facultad de Derecho de la Universidad de Chile, en colaboración con la ONG META.
Se
pretende concienciar a las empresas usuarias de servicios externalizados en
prestadores de Cloud Computing, de la importancia de velar por la seguridad de
sus propios datos exigiendo el máximo de garantías contractuales y de gestión
de la seguridad.
Cuando
se llevan al Cloud, para ser tratados allí, datos personales especialmente
protegidos es cuando deben contemplarse más que nunca, si caben, los
aspectos jurídicos y las medidas de
seguridad exigibles acordes con el nivel de sensibilidad de esos datos. La
mayoría de las veces el análisis de la situación, en este tipo de entornos
externalizados, no resulta sencillo.
El
artículo analiza de manera panorámica todo aquel conjunto de elementos
fundamentales a tener en consideración a la hora del diseño de un contrato de
externalización de servicios en modalidad de Cloud Computing.
Se analiza el nuevo modelo de entrega de servicios
basado en la Nube. Se incide en temas de regulación y cumplimiento legislativo
en materia de protección de datos de carácter personal (LOPD / RLOPD y
directiva europea 95/46/CE.
El CLOUD COMPUTING representa un cambio respecto al
modelo tradicional de entrega de servicios de TI. Una parte importante del
éxito de la migración hacia él, es la formalización del contrato o contratos
(prestación de servicios, acceso a datos personales, etc.) entre el CSP (Cloud
Services Provider) y la empresa cliente.
Por
su indudable interés público y actualidad, presentamos una traducción “no
oficial” del Dictamen CNS-57/2013 de la APDCAT (Autoritat Catalana de Protecció
de Dades) en relación con la consulta de
un Colegio de Abogados, sobre los riesgos que conlleva el uso de "Google
Drive©", "Microsoft Skydrive©" y "Dropbox©" en el ámbito profesional de las relaciones entre
abogado y cliente. Para facilitar la claridad, se ha fragmentado en apartados.
Existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos y, en un futuro, mediante los que ahora son otros proyectos de ley, a la información personal de ciudadanos europeos cuando esa información se subcontrata a un prestador de servicios de Cloud en Norteamérica. Analizaremos esas leyes y las compararemos con las españolas equivalentes.
Existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos y, en un futuro, mediante los que ahora son otros proyectos de ley, a la información personal de ciudadanos europeos cuando esa información se subcontrata a un prestador de servicios de Cloud en Norteamérica. Analizaremos esas leyes y las compararemos con las españolas equivalentes.
VII CONGRESO NACIONAL VISION12 itSMF España
Desarrollo de la ponencia presentada en el Panel de Expertos del VII Congreso Nacional VISION12, de itSMF España en Madrid. Bajo el título “CLOUD COMPUTING: Regulando el desorden”.
Desarrollo de la ponencia presentada en el Panel de Expertos del VII Congreso Nacional VISION12, de itSMF España en Madrid. Bajo el título “CLOUD COMPUTING: Regulando el desorden”.
PONENCIA “CLOUD COMPUTING: REGULANDO EL DESORDEN” (PowerPoint con audio)
Ponencia organizada por itSMF España y presentada para España y Latinoamérica dentro de la jornada virtual de excelencia itSMF “gestión del servicio en entornos Cloud”. Habla de Gobierno y Gestión de TI así como de regulación y cumplimiento legal.
Con la aprobación del Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, primero, y la aparición de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad, después, se alcanza la madurez y el despegue definitivo del ENS en España.
Con este artículo se pretende plantear posibles soluciones generalistas
ante algunas cuestiones suscitadas durante la Certificación de Conformidad
respecto a las disposiciones del Esquema Nacional de Seguridad (ENS) en
organizaciones pertenecientes al Sector Privado, ya sea que proporcionan
soluciones, o prestan servicios, sustanciales para los sistemas que soportan
los servicios prestados a la ciudadanía por parte de organismos del Sector
Público, o bien al encontrarse vinculadas o dependientes de las
Administraciones Públicas.
La DRaaS (Recuperación de Desastres en el CLOUD) es un componente de un DRP (Plan de Recuperación de Desastres) que implica el mantenimiento de copias de los datos empresariales en un entorno de almacenamiento en el CLOUD, como medida de seguridad.
Realizar buenos backups sigue siendo una tarea compleja en la que interviene la definición de la política, el estudio y la elección de la(s) herramienta(s) y su implementación.
Las pymes que no dispongan hasta la fecha de un
SGSI (Sistema de Gestión de la Seguridad de la Información), pueden contemplar
la posibilidad de empezar con la gestión de las medidas de seguridad y procedimientos que
establece el RLOPD y una vez estabilizado dicho sistema, ir abarcando mayor
alcance dentro de la empresa, hasta conseguir un completo SGSI.
IMPLANTACIÓN
DE UN SGSI ADOPTANDO LA ISO 27001
Se presentan todos los pasos seguidos por un CSP (Cloud Services Provider) para implantar un SGSI (Sistema de Gestión de la Seguridad de la Información) basado en la Norma ISO 27001, coexistiendo con los demás procesos ITIL de Gestión de TI.
Se presentan todos los pasos seguidos por un CSP (Cloud Services Provider) para implantar un SGSI (Sistema de Gestión de la Seguridad de la Información) basado en la Norma ISO 27001, coexistiendo con los demás procesos ITIL de Gestión de TI.
DEL
RIESGO TECNOLÓGICO AL RIESGO CORPORATIVO: UNA NUEVA REALIDAD
En un mundo global, donde las amenazas son diversas y altamente imprevisibles debemos pensar más allá de la tecnología, para hacerlo en términos de riesgo corporativo, uniendo la técnica con los objetivos empresariales.
En un mundo global, donde las amenazas son diversas y altamente imprevisibles debemos pensar más allá de la tecnología, para hacerlo en términos de riesgo corporativo, uniendo la técnica con los objetivos empresariales.
EL
OVERSHARING ES UNA ACTITUD CON SECUELAS PARA EL FUTURO El
neologismo oversharing es la
encarnación léxica de un concepto con el que todos estamos familiarizados: la
divulgación de una cantidad excesiva de información personal, información que
convencionalmente sólo sería manifestada a, o conocida por, los más cercanos a
nosotros.
La
tecnología actual, especialmente las redes sociales y los sistemas de
mensajería instantánea, llevan el concepto de oversharing a un nivel completamente nuevo que podemos llegar a
calificar de síndrome o trastorno conductual.
Los
riesgos aumentan cuando lo que compartimos son datos personales de menores,
como pueden ser los propios hijos.
REDES
SOCIALES: Responsabilidad de los administradores por la vulneración de derechos
fundamentales en ellas La
doctrina no se ha pronunciado sobre la posible responsabilidad civil de los
administradores de las plataformas de redes sociales, en caso de que se
utilicen como medio para la comisión de lesiones a los derechos fundamentales
de las personas, ni tampoco hay jurisprudencia al respecto. Una vez hecha esta
precisión se desarrollan las posibles concurrencias de responsabilidad de estos
sujetos cuando, usando como instrumento estas redes sociales, los usuarios
vulneran entre otros el derecho al honor, a la intimidad y a la propia
imagen de terceros.
Entrevista
a Estrella Gutiérrez sobre los riesgos relacionados con la implementación por
parte de los medios de comunicación y dirigidas a su audiencia, de aplicaciones
de colaboración y gestión de contenidos basadas en Internet y empleando
conceptos de web 2.0.
Aunque en el presente artículo
nos centraremos en la incidencia de la figura del community manager en materia de protección de datos, su tarea de
gestión de contenidos incide claramente sobre cuestiones jurídicas relativas a
la protección de datos de los usuarios que interactúan, a la propiedad
intelectual e industrial, al honor, a la imagen, a la intimidad, a la
privacidad, a los derechos de los menores de edad, a la seguridad de la
información, al comercio electrónico, entre otras.
10
ERRORES DE LA ADMINISTRACIÓN PÚBLICA EN LAS REDES SOCIALES
Tanto hacia dentro como hacia fuera, la Administración Pública mira las redes con resquemor, tachándolas de frívolas, inseguras y criticonas. En torno a ese planteamiento equivocado se pueden observar 10 errores muy característicos, que en la realidad dejan a la Administración fuera de las redes sociales.
Tanto hacia dentro como hacia fuera, la Administración Pública mira las redes con resquemor, tachándolas de frívolas, inseguras y criticonas. En torno a ese planteamiento equivocado se pueden observar 10 errores muy característicos, que en la realidad dejan a la Administración fuera de las redes sociales.
FENOMENO INFORMER ¿QUIÉN PUEDE RESPONDER LEGALMENTE?
Con muy poco tiempo de vida, el fenómeno 'Informer' ha hecho saltar las alarmas en los institutos y las universidades del país, donde se ha extendido como la pólvora entre los estudiantes. La comunidad educativa lo tiene claro: hay que controlarlo antes de que se escape de las manos. Me refiero a los 'informers', esas páginas en Facebook® en las que los usuarios sacan a la luz rumores, cotilleos y secretos de los demás. La guinda del pastel es que todo lo que uno quiere ventilar se publicará de forma anónima. O al menos, así se cree.
Con muy poco tiempo de vida, el fenómeno 'Informer' ha hecho saltar las alarmas en los institutos y las universidades del país, donde se ha extendido como la pólvora entre los estudiantes. La comunidad educativa lo tiene claro: hay que controlarlo antes de que se escape de las manos. Me refiero a los 'informers', esas páginas en Facebook® en las que los usuarios sacan a la luz rumores, cotilleos y secretos de los demás. La guinda del pastel es que todo lo que uno quiere ventilar se publicará de forma anónima. O al menos, así se cree.
Análisis del difícil equilibrio entre “sociabilidad” y
“privacidad” en las Redes Sociales.
Ignorar la tendencia respecto a
la proliferación de los contratos inteligentes es un ejercicio de ceguera. No
creo que grandes y reconocidas multinacionales (entre ellas entidades
financieras) hayan invertido grandes sumas de dinero en este tema sin haber
previsto la viabilidad de la inversión.
Basados en la tecnología blockchain, comienzan a ser una realidad.
Se tratan los aspectos jurídicos relevantes a
tener en cuenta para la constitución y operativa de una Start-up tecnológica orientada al desarrollo y comercialización de
Apps, siendo aplicable a empresas análogas.
Por su actualidad, viabilidad tecnológica y
coincidencia con la temática innovadora de este blog, siempre conciliándola con
la perspectiva jurídica, se transcribe la Propuesta de Resolución del
Parlamento Europeo con recomendaciones destinadas a la Comisión respecto a
normas de Derecho civil sobre robótica (2015/2103(INL)).
Los
vehículos autónomos son ya una realidad en fase de pruebas y con miles de
kilómetros recorridos. Su despliegue, no obstante, requiere su encaje en el
ordenamiento jurídico nacional. No están exentos de cuestiones éticas y de
privacidad.
Ponencia Big Data: NO SIN GOBIERNO, NO SIN GESTIÓN
Para aquellos que no pudieron asistir a la ponencia sobre Big Data “en directo” y para los que sí que lo hicieron pero quieren refrescar ahora el tema expuesto, es que he preparado éste resumen detallado intercalando el texto escrito en el “PowerPoint”. Muchas gracias a todos por las diferentes muestras de agrado que he recibido por la temática de la ponencia, en un momento que los escándalos del programa de espionaje PRISM, basado en Big Data, de la NSA está perjudicando tanto a dicho servicio. Yo soy del parecer que Big Data, bajo el control del gobierno de las empresas y organizaciones y velando por el cumplimiento legal y la privacidad, puede aportar un bien a las mismas y, por extensión, a toda la sociedad.
El objetivo de la ponencia es ayudar a entender un poco más Big Data y, a partir de ese conocimiento, poder gobernarlo y gestionarlo para obtener valor.
Ver ponencia sobre Big Data en video
Los
avances tecnológicos, en un mundo digital, provocan retos que no pueden
resolverse con el uso de más tecnología, sino con más sentido común, con más
racionalidad. Es la ética la que debe
estudiar el problema desde la perspectiva del juicio y establecer unas normas
comunes, unos principios universales.
Existen
varios aspectos que influyen en el proceso de innovación en las organizaciones.
Uno de ellos es el estilo de liderazgo y gestión. En relación a las TIC, una
empresa puede simplemente incorporar las nuevas tecnologías digitales al
negocio como fuente de eficiencia o, al contrario, apostar por la adaptación
del negocio a las nuevas posibilidades que han traído las nuevas
tecnologías. A este último estilo de
liderazgo le llamaremos e-Liderazgo.
Con
frecuencia olvidamos que la innovación, como genuino diferenciador competitivo
que es, puede y debe gestionarse de manera sistemática, con procesos de
generación de ideas bien estructurados, sólidas dinámicas de colaboración en equipos multidisciplinares de trabajo,
indeclinable apoyo directivo, buena integración a las prácticas y procesos de
la empresa, y fiel observancia a los valores y principios, que conforman la
cultura corporativa.
A
raíz de una agradable conversación que tuve, donde se debatía sobre el concepto
de ‘desaprender’, es que me he decidido a escribir este artículo.
El
fenómeno conocido como la IoT (Internet de las Cosas) representa la
interconectividad total entre personas y dispositivos. No dudamos que puede
aportar grandes beneficios a la sociedad pero también, como ocurre con
cualquier tendencia innovadora de la que no se dispone de la suficiente
experiencia, entraña nuevos riesgos,
especialmente relacionados con la privacidad, que deberán irse mitigando
mediante la regulación, la transparencia y el autocontrol.
Lo
analizaremos desde un punto de vista funcional que permita entender las
implicaciones sociales, éticas y legales, ya que consideramos que centrarse simplemente en los
aspectos tecnológicos no aportaría valor a los objetivos del estudio.
Cada vez más los
negocios, la economía y otros campos, hacen que sus decisiones se basen en datos y análisis, y menos en la experiencia o la
intuición. Esa es la misión del Big Data. Sin olvidar las
implicaciones en materia de protección de datos.
Proponemos
el enfoque multidisciplinario como única forma de abordar con éxito, en un
mundo cada vez más complejo,
adecuaciones en materia de protección de datos.
En unas
declaraciones Neelie Kroes, Vicepresidenta y Comisaria de la Agenda Digital de
la Comisión Europea, considera que la EU y el mundo en general necesitan: Un
Cloud Computing fuerte y de confianza; Una cultura de Open Data (Datos Abiertos
por parte de las AA.PP.); Y compromiso compartido con la ciberseguridad. En
base a dicho hilo conductor es que vertebraré este artículo, incidiendo
principalmente en aspectos de seguridad de la información y privacidad.
Por
su interés y actualidad se presenta la traducción “no oficial” del Dictamen
01/2015 del Grupo de Trabajo del artículo 29 (GT29) sobre la utilización de drones. El editor lo adapta
al formato del Blog y aprovecha para referenciar bibliografía relacionada.
Agradezco
a Neelie Kroes (Vicepresidenta de la Comisión Europea), a través de su oficina
de prensa, el consentimiento expreso al Blog “Aspectos Profesionales” para que
publique, y traduzca del inglés al español, su intervención en el IAPP Europe Data Protection
Congress/Brussels el 11 de diciembre de 2013 titulada “Data isn't a four-letter
Word”. Me interesé por la ponencia debido a su temática, al coincidir con
la línea editorial de éste Blog, que busca un equilibrio satisfactorio entre
privacidad e innovación.
Como
sea que en inglés la palabra “D*A*T*A” tiene cuatro letras y en español
“D*A*T*O*S” tiene cinco, me he visto en la “necesidad” de cambiarle el título a
la traducción, manteniendo el espíritu del documento original.
Las
autoridades europeas de protección de datos conocidas como Grupo de Trabajo del
Artículo 29 (GT29) han aprobado en 2014 el primer Dictamen conjunto sobre
internet de las cosas (IoT) catalogado como la Opinión 8/2014, de 16 de
septiembre. Presentamos aquí una traducción “no oficial”.
A partir de una introducción al principio de
transparencia, siempre desde la perspectiva de un blog, se comenta el enfoque
que se le ha dado en éste y se concreta en la experiencia acumulada desde
agosto de 2015.
La Declaración nace como reflexión y exposición de la situación actual, en materia de protección de datos en Iberoamérica, y las líneas programáticas por las que se debería apostar en pro de una mayor protección del derecho a la intimidad, la propia imagen y el honor de las personas en Internet, en el ámbito del fenómeno creciente del Big Data.
El Derecho debe
adaptarse a los avances tecnológicos de nuestra sociedad. Fenómenos como la
globalización y el entorno online provocan que los criterios y límites
territoriales que antes conocíamos, desaparezcan. Esta situación cobra especial
relevancia cuando aunamos Internet con actividad delictiva.
Basándonos en esta
realidad social es que hemos decidido presentar este estudio como una
introducción a este tipo de delitos.
La ingeniería social ha
aumentado su popularidad en los últimos años. Aprovecha las debilidades de los
mecanismos universales que poseemos las personas para entendernos con
otros seres humanos. El
ciberdelincuente, con este proceder, obtiene información de las víctimas la
cual le permitirá cometer un delito telemático. Veremos que la mejor defensa es
preservar nuestra esfera de privacidad.
Cada vez con mayor frecuencia las empresas y organizaciones simultanean diferentes NSG (Normas de Sistemas de Gestión). Para facilitar la integración de todas ellas es que se ha creado el Anexo SL.
En la elaboración de cualquier proceso documentado implantado en una organización y perteneciente a un Sistema de Gestión, un elemento importante es el conocido como matriz RACI, cuyo análisis minucioso nos ha de permitir obtener interesantes conclusiones. Esto es especialmente cierto si hablamos de un Compliance Management System (CMS), para prevenir la comisión de delitos en el seno de la persona jurídica.
Muchos piensan que las auditorías internas, realizadas por personal de la propia empresa, son únicamente un paso previo para preparar las auditorías de certificación o recertificación que marca el cumplimiento de la norma. No es así.
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.