jueves, 15 de noviembre de 2012

ÍNDICE GENERAL TEMÁTICO DEL Blog "Aspectos Profesionales"


Contenido del blog "Aspectos Profesionales”
www.aspectosprofesionales.info



ÍNDICE GENERAL TEMÁTICO
1. Compliance y GRC
2. Prevención de Blanqueo de Capitales
3. Protección de datos
4. Cloud Computing
5. Seguridad de la información
6. Redes Sociales y Privacidad
7. Innovación y tendencias
8. Delitos y las TIC / Ciberseguridad
9. Auditoría / Normas ISO




Nota del editor: La mayoría de entradas del Blog se van revisando permanentemente, según el principio de la mejora continua. En cada artículo, si procede, se indica la fecha de la última actualización.

















La función de Compliance  en las organizaciones no vive aislada de las áreas de negocio, como metida dentro de una burbuja, ni asume toda la responsabilidad de cumplimiento de la persona jurídica. Veremos en este artículo el modo de poner orden a estas ideas. Todo lo aquí indicado es aplicable a cualquier área de práctica, basada en el riesgo, como puede ser la seguridad de la información.




La STS 4728/2016, de 3 de noviembre, obliga a perfilar aspectos muy interesantes respecto al tratamiento procesal que debe darse a la conjunción de los artículos 31 CP y 31 bis CP, lo que en su día decidí designar como “El triángulo de responsabilidad penal en la persona jurídica” a modo de introducción didáctica. La sentencia obliga a repasar diferentes principios del Derecho, especialmente el principio acusatorio y el principio non bis in ídem.  Este último ya se trató en la STS 3322/2010, de 30 de junio. Estamos viviendo el inicio de la jurisprudencia en España respecto a RPPJ, lo que provoca ir adaptando las interpretaciones sentencia a sentencia.








Se explica de forma didáctica el modelo de transferencia de responsabilidad penal en la empresa, para acabar recomendando la implantación de un modelo de prevención de riesgos penales.





Los riesgos y los requerimientos actuales de cumplimiento regulatorio en la empresa son numerosos, exigentes y varían constantemente. Su ignorancia, deliberada o no, puede causar graves efectos en la organización. También, en un entorno globalizado y cada vez más competitivo, las normas de libre adscripción y marcos de mejores prácticas aportan valor a la empresa pero obligan a la entidad a implantar programas de cumplimiento para acreditar el debido control sobre todos los ámbitos. De la convergencia de todos ellos es que aparecen los Compliance Management Systems (CMS) y los Modelos integrados de Governance, Risk & Compliance (GRC).






Se analiza el difícil equilibrio entre seguridad y privacidad, partiendo de la propuesta de modificación de la Regla 41 de las Reglas Federales de Procedimiento Penal en EE UU, y del artículo 588 septies de la LECRIM, modificado por la LO 13/2015, de 5 de octubre.



La reciente Sentencia 2844/2014, de 16 de junio, de la Sala Segunda de lo Penal del Tribunal Supremo, entra a matizar la licitud de las pruebas obtenidas mediante el control del correo electrónico corporativo al amparo del artículo 20.3 de la LET, cuando nos encontramos ante la jurisdicción penal. Recordemos que para la jurisdicción social, la Sentencia de la Sala 1ª del Tribunal Constitucional, de 7 de julio de 2013, había considerado previamente la admisión de esa tipología de pruebas de forma más permisiva.



USO DEL CORREO ELECTRÓNICO EN EL ÁMBITO LABORAL. RECOMENDACIÓN 1/2013 DE LA APDCAT
Opinión 1/2013 de la APDCAT (Autoritat Catalana de Protecció de Dades) sobre la problemática de privacidad que se plantea por el uso del correo electrónico en el entorno laboral. En la documentación referenciada al final puede descargarse un modelo en formato Word de políticas de uso.


Control empresarial del correo electrónico corporativo. Análisis de la Sentencia de la Sala 1ª del TC a 7-10-2013, en el recurso de amparo 2907/2011
Se analiza y reordena, de un modo más didáctico, la Sentencia del TC sobre cuándo queda justificada la intervención y el control empresarial del correo electrónico corporativo, y los medios informáticos que lo soportan,  puestos por la empresa a disposición de los trabajadores.
Lo novedoso es que considera que el requerimiento previo a una posible intervención del correo corporativo por parte de la empresa que es la promulgación de una política empresarial sobre el uso del correo electrónico puede sustituirse por un artículo en el Convenio Colectivo que obliga a empresa y trabajador.


La figura del whistleblower se ha convertido en una pieza fundamental de los programas de Compliance o cumplimiento regulatorio en la empresa. No obstante, debe buscarse en su implementación, para cada caso concreto, el equilibrio entre el bien jurídico que se protege con la materialización del canal de denuncias (la propia administración de justicia, al delatarse ilícitos, y el preservar el honor de la persona jurídica) y el riesgo que comporta para los derechos fundamentales de los intervinientes (Derecho a la intimidad del delator, y derecho al honor y la intimidad del delatado, además del derecho a la protección de los datos personales de ambos).


La responsabilidad penal de la persona jurídica (RPPJ) es un concepto relativamente nuevo en nuestro ordenamiento jurídico. El principio “societas delinquere non potest” ha quedado relegado a la historia del Derecho. No obstante, surgen una serie de dudas que irán resolviéndose en la medida en que aparezca y aumente la jurisprudencia y la doctrina al respecto. Una de las principales cuestiones, relevante para no crear indefensión, es entender a quién corresponde la carga de prueba en un proceso penal en que intervenga una PJ.




Se analizan las seis primeras sentencias del Tribunal Supremo, respecto a la responsabilidad penal de la persona jurídica (RPPJ), ante los respectivos recursos de casación. La riqueza doctrinal, de unas respecto a otras, presenta grandes diferencias. Recordaré que actualmente ya existen otras sentencias respecto a la RPPJ, cuyo fallo ha correspondido a diferentes Audiencias Provinciales. En el apartado de bibliografía se enlazan las Sentencias.



El estándar IDW AssS 980; cómo auditar modelos de Compliance
Uno de los temas menos tratados hasta ahora es el de las auditorías de los sistemas de compliance. En este artículo se presenta el estándar IDW AssS 980 (PS 980) que regula en Alemania la auditoría de modelos de cumplimiento. Se alza como un firme candidato a ser tomado como referencia para auditar este tipo de modelos.
 
 
 
Se analiza una tendencia generalizada en la elaboración de leyes que afectan a las personas jurídicas: La apreciación del riesgo y su tratamiento.



Responsabilidad por deber de garante: Aplicación al CCO y al DPO
Se presenta un paralelismo entre las figuras del Chief Compliance Officer (CCO) y el Data Protection Officer (DPO), en relación a la responsabilidad derivada del deber de garante, en el ámbito de sus competencias, que ostentan en el seno de la PJ.
 
 
La cada vez mayor complejidad de las empresas, y los mercados transnacionales donde éstas operan, provoca que al Estado le sea difícil legislar respecto a los nuevos modelos de negocio que van apareciendo, a la vez que inspeccionar su cumplimiento. La autorregulación se muestra como una posible solución a este problema, no exenta de dificultades.









Se analiza, de una manera breve y concisa, el delito de blanqueo de capitales en nuestro Código Penal.



El blanqueo de capitales se basa en la ocultación, lo que implica una enorme dificultad, no solo en su detección, sino en poder llegar a un fallo condenatorio en su enjuiciamiento posterior. Es ésta la explicación de la importancia que adquiere la prueba indiciaria  en el contexto de este tipo de delitos para formar la convicción del juzgador.







El Reglamento (UE) 2016/679 (RGPD), a diferencia del Reglamento 1720/2007 de desarrollo de la LOPD, introduce el concepto de “Seguridad Activa” que evita, como hasta ahora, señalar un catálogo de medidas de seguridad concretas, dejando la elección de éstas al Responsable y al Encargado en base al riesgo  evaluado respecto a los tratamientos de datos personales. El ENS o la norma ISO 27001:2013, junto a sus respectivas 75 medidas de seguridad y 114 controles, pueden ser una ayuda relevante para el cumplimiento del RGPD.



Se presenta una relación cerrada respecto a diferentes ponencias y artículos relacionados sobre la privacidad desde el diseño (del inglés PbD), que han sido publicados en este mismo Blog, excepto el primer vídeo del Congreso Nacional de itSMF que es inédito. En la actualidad se reconoce internacionalmente a la PbD como la mejor forma de abordar la privacidad en cualquier proyecto.





El Reglamento (UE) 2016/679 representa un cambio significativo en relación a cómo debe entenderse la protección de los datos de naturaleza personal en la Unión Europea. En él se traslada el centro de gravedad desde los ficheros de datos hacia los tratamientos, dotando de mayor cobertura a los derechos y libertades de los ciudadanos ante los nuevos retos que surgen fruto del progreso tecnológico.


6ª PÍLDORA TECNOLÓGICA ICAB: 'LA EVALUACIÓN DE IMPACTO EN PROTECCIÓN DE DATOS'
Desarrollo del PowerPoint  presentado en la ponencia organizada por la Sección de Derecho de las Tecnologías de la Información y la Comunicación del Ilustre Colegio de Abogados de Barcelona (ICAB), en colaboración con el capítulo de Barcelona de ISACA.



Aprovechando la publicación por parte de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires de la obra titulada “Hacia una efectiva protección de los datos en Iberoamérica”, se recuerda otra iniciativa del Observatorio Iberoamericano de Protección de Datos “Protección de datos y habeas data: una visión desde Iberoamérica” que fue en su día premiada con un accésit por la AEPD. En ambas el editor de este blog ha tenido el honor de participar y pueden descargarse completas en este mismo artículo.




VEINTE AÑOS DE LA PROTECCIÓN DE DATOS PERSONALES EN ESPAÑA
Comentarios al hilo de la celebración de los 20 años de creación de la Agencia Española de Protección de Datos.




 
Se estudia desde una posición imparcial el derecho al olvido que cobra sentido en un mundo interconectado globalmente a través de Internet. En síntesis lo que se debate es la posibilidad otorgada a todo sujeto para “volver a empezar” sin que el conocimiento digitalizado de circunstancias negativas de su pasado, carentes de relevancia social, le persigan toda su vida de forma ineludible. Dicho de otra manera, es otra forma de libertad personal.


A veces remover mediante un artículo los conceptos que se consideran inamovibles en protección de datos es positivo para que se libere la mente y puedan surgir otras propuestas relevantes en línea con la evolución del individuo en la sociedad.


Breve reflexión, siempre desde mi personalísima opinión, sobre el enfoque que debe darse a la privacidad en un mundo cada vez más digitalizado.






La filtración de datos de naturaleza personal acaecida en la web de contactos Ashley Madison ha puesto de manifiesto la importancia de preservar la privacidad, a la vez que la fragilidad de la seguridad en Internet.



CONSIDERACIONES TEÓRICO-PRÁCTICAS SOBRE EL PROCESO DE ELABORAR UN PIA
Es superfluo, en nuestros días, seguir abordando y preservando la privacidad con métodos del pasado. En un entorno digital que evoluciona con gran rapidez deben gestionarse los principales riesgos que inciden sobre los datos personales sin acudir a fáciles, pero inefectivas, generalizaciones de mínimos. Debe hacerse para cada proyecto concreto, de los muchos que una organización ha iniciado o iniciará, desde su origen y siempre que se produzcan cambios relevantes en ellos.  Nos serviremos de un PIA o, como prefiere llamarle la AEPD (Agencia Española de Protección de Datos), de una EIPD (Evaluación de Impacto en la Protección de datos).



Se presenta una grabación de 8 minutos en vídeo que, partiendo de un análisis exhaustivo de los factores de calidad interna y externa de un diseño TIC, pone de manifiesto diferentes relaciones de todos ellos con la privacidad. 



USO DE Whatsapp© EN EL ÁMBITO PROFESIONAL DE LAS RELACIONES ENTRE ABOGADO Y CLIENTE

Traducción “no oficial” del Dictamen CNS-24/2013 de la APDCAT (Autoritat Catalana de Protecció de Dades) en relación con la consulta de un Colegio de Abogados, referente al uso de las aplicaciones “Whatsapp©" y "Spotbros©" en el ámbito profesional de las relaciones entre abogado y cliente. Para facilitar la claridad, se ha fragmentado en apartados.


Este artículo incide en las principales claves jurídicas que deben tenerse en cuenta antes de lanzar una campaña de e-mail marketing (LOPD, RLOPD y LSSI-CE).



VIDEOVIGILANCIA Y PRIVACIDAD EN LA EMPRESA PRIVADA
Estudio sobre las implicaciones en materia de Protección de Datos, así como de otras leyes e Instrucciones específicas, de una instalación basada en un sistema de videovigilancia. Obligaciones legales en la fase de diseño del proyecto y en su utilización ulterior.



En el desempeño diario, los profesionales de la privacidad nos enfrentamos a diversas situaciones donde concurren aspectos jurídicos, organizativos y técnicos, todos ellos necesarios para conseguir una correcta adecuación de nuestros clientes a la legislación vigente en materia de protección de datos.
En algunos casos de asesoramiento, como es el requerido por las empresas periodísticas (Prensa, radio, TV, Internet…), debe hilarse muy fino ante el riesgo de que pueda producirse una colisión de derechos fundamentales de las personas, que requerirá un especial análisis jurídico de cada caso particular. Presentamos aquí una orientación generalista al respecto.



LA NUEVA PROPUESTA DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UNION EUROPEA
Análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas.







Traducción “no oficial” del Dictamen CNS 34/2014 de la APDCAT como respuesta a la consulta planteada por una entidad de derecho público en relación con el modelo de gestión y de servicios para dar valor a la información del sistema sanitario catalán en el marco de las políticas públicas, VISC+.


REFLEXIONES SOBRE EL FUTURO DE LA PRIVACIDAD EN EUROPA
Se presenta la segunda edición del estudio de la propuesta de reglamento de protección de datos de la UE, promovida por el DPI (Data Privacy Institute) dentro de ISMS  Forum Spain.
Desde aquí agradecer a la organización haberme dado la oportunidad de participar en el mismo, junto a expertos y excelentes compañeros, dentro de un completo y profesional  equipo multidisciplinario compuesto entre otros por abogados, ingenieros, economistas… aunados por un interés común en la protección de datos. 
Este documento tiene como objetivo principal ser un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre privacidad y protección de datos.
Considera tanto el borrador publicado en enero de 2012 por la Comisión, como el publicado en mayo de 2013 por el Consejo, de modo que se pueda conocer en detalle los aspectos a regular en esta normativa, el análisis en profundidad de sus consecuencias y las propuestas concretas para su actuar, conforme disponen los citados borradores.

Análisis de la propuesta de nueva regulación (en concreto del borrador publicado el 25 de enero de 2012 por la Comisión Europea), de modo que permita conocer en detalle los aspectos regulados en esta normativa, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas.


ANÁLISIS DEL PRIVACY BY DESIGN Y SU MENCIÓN EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE
La PbD (Privacy by Design) o “privacidad desde el diseño” es una estructura de cumplimiento normativo aplicada desde la concepción de cualquier proceso de negocio. Debe ser entendida por las empresas como una herramienta con producción positiva de resultados, ya que la inversión en cumplimiento normativo posterior será mínima o tal vez innecesaria, porque tendrán en el mercado un producto/servicio, que se adecue a un estándar legal, con calidad y un excelente cumplimiento normativo.




DIRECTIVA DE RETENCIÓN DE DATOS: ANTECEDENTES, TRANSPOSICIÓN Y ESTADO ACTUAL
En el año 2006 la Unión Europea aprobó la Directiva sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones, popularmente conocida como “Directiva de retención de datos” y que ha generado una gran polémica y controversia, ya que para algunos sectores su articulado vulnera la privacidad de los ciudadanos.

     
Estudio sobre la situación actual de adecuación a la LOPD de las empresas españolas, a partir de datos contrastados. Se analizan los elementos que aportan convicción para decidirse por el cumplimiento, y se incide en el más desconocido de ellos: Las posibles sanciones tipificadas en el CP (Código Penal).


¿Ciertos datos alfanuméricos pueden considerarse “datos identificativos personales” por si solos (disociados del nombre), o bien necesitan estar acompañados del nombre y apellidos de la persona física, para que se consideren  datos personales según la LOPD?



Análisis de la nueva figura del delegado de protección de datos (DPO), que aparece en el borrador del nuevo reglamento del parlamento europeo.
¿Tiene sentido hablar de adecuar a la LOPD española, una empresa inscrita y que desarrolla sus actividades en Andorra? ¿Hablaremos de cesiones o de transferencias internacionales de datos, si intercambia datos de carácter personal con España?

El grupo consultivo europeo del Artículo 29 (GT29) ha adoptado, en mayo de 2014, el documento “Declaración del G29 sobre el papel de un enfoque basado en el riesgo en los marcos legales de protección de datos” que puede consultarse íntegro (en inglés) en el apartado de bibliografía. Viene a decir que los principios fundamentales, que protegen los derechos de los interesados, deben permanecer inalterables con independencia de cuál sea la evaluación y tratamiento posterior del riesgo por parte del responsable. Por su interés presento esta traducción “no oficial” adaptada al estilo y formato del blog.


El marketing de los años venideros intentará “enamorar” al consumidor ofreciéndole un contenido de interés que sea relevante a su realidad concreta y lo vincule a la marca. Para ello, la tecnología, como el Big Data, y la explosión de los medios digitales y sociales serán sus mejores aliados. Pero, al mismo tiempo, también crecerá la preocupación de los consumidores por su privacidad, por lo que las marcas tendrán que saber conciliar los beneficios de la evolución tecnológica con preservar los derechos y las libertades individuales.

    Los Códigos Tipo, nacieron con la finalidad de simplificar todo el proceso obligatorio de adecuar a la legislación vigente en materia de protección de datos, a empresas de sectores específicos que traten datos de naturaleza personal.

Se analiza jurídicamente la Sentencia de la Audiencia Nacional, de 26 de septiembre de 2013, desde el punto de vista de la protección de datos y como colisión de derechos fundamentales.



Traducción “no oficial” del dictamen 1/2016, de 12 de febrero de 2016, emitido por el Supervisor Europeo de Protección de Datos (EDPS) y referido a la protección de datos respecto al acuerdo marco US-UE sobre prevención, investigación, detección y persecución de delitos. Sus conclusiones son interesantes de cara al desarrollo jurídico del acuerdo político alcanzado en sustitución de Safe Harbor y conocido como EU-US Privacy Shield.








La cooperación internacional, no sólo desde Iberoamérica, sino con otros Estados y la propia Unión Europea debe ser un pilar clave en la función legislativa y las acciones de los organismos encargados de supervisar el cumplimiento de la ley.
La Declaración de Lima, hacia la unificación de criterios sobre protección de datos en Iberoamérica, ha sido elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, presentada en la ciudad de Lima (Perú), el 12 de abril de 2013, por el coautor de la misma y Catedrático José Reynaldo López Viera, en el transcurso de las Jornadas de Derecho Constitucional.

La Declaración de Santiago, hacia una unificación de criterios sobre seguridad y protección de datos en Internet, elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, fue presentada en la ciudad de Santiago (Chile), el 12 de septiembre de 2013, por Pedro Huichalaf Roa, en el transcurso de la Seminario de Datos personales, organizado en la Facultad de Derecho de la Universidad de Chile, en colaboración con la ONG META.










Se pretende concienciar a las empresas usuarias de servicios externalizados en prestadores de Cloud Computing, de la importancia de velar por la seguridad de sus propios datos exigiendo el máximo de garantías contractuales y de gestión de la seguridad.

Cuando se llevan al Cloud, para ser tratados allí, datos personales especialmente protegidos es cuando deben contemplarse más que nunca, si caben, los aspectos  jurídicos y las medidas de seguridad exigibles acordes con el nivel de sensibilidad de esos datos. La mayoría de las veces el análisis de la situación, en este tipo de entornos externalizados, no resulta sencillo.



El artículo analiza de manera panorámica todo aquel conjunto de elementos fundamentales a tener en consideración a la hora del diseño de un contrato de externalización de servicios en modalidad de Cloud Computing.




    El CLOUD COMPUTING representa un cambio respecto al modelo tradicional de entrega de servicios de TI. Una parte importante del éxito de la migración hacia él, es la formalización del contrato o contratos (prestación de servicios, acceso a datos personales, etc.) entre el CSP (Cloud Services Provider) y la empresa cliente.



Por su indudable interés público y actualidad, presentamos una traducción “no oficial” del Dictamen CNS-57/2013 de la APDCAT (Autoritat Catalana de Protecció de Dades)  en relación con la consulta de un Colegio de Abogados, sobre los riesgos que conlleva el uso de "Google Drive©", "Microsoft Skydrive©" y "Dropbox©" en  el ámbito profesional de las relaciones entre abogado y cliente. Para facilitar la claridad, se ha fragmentado en apartados.


Existe el riesgo de que las agencias gubernamentales de los EE.UU. puedan tener acceso, a través de la aplicación de la Ley Patriota de los Estados Unidos y, en un futuro, mediante los que ahora son otros proyectos de ley, a la información personal de ciudadanos europeos cuando esa información se subcontrata a un prestador de servicios de Cloud en Norteamérica. Analizaremos esas leyes y las compararemos con las españolas equivalentes.


 
VII CONGRESO NACIONAL VISION12 itSMF España
Desarrollo de la ponencia presentada en el Panel de Expertos del VII Congreso Nacional VISION12, de itSMF España en Madrid.  Bajo el título “CLOUD COMPUTING: Regulando el desorden”. 









PONENCIA “CLOUD COMPUTING: REGULANDO EL DESORDEN”  (PowerPoint con audio)
Ponencia organizada por itSMF España y presentada para España y Latinoamérica dentro de la jornada virtual de excelencia itSMF “gestión del servicio en entornos Cloud”. Habla de Gobierno y Gestión de TI así como de regulación y cumplimiento legal.







Con la aprobación del Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, primero, y la aparición de la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de Conformidad con el Esquema Nacional de Seguridad, después, se alcanza la madurez y el despegue definitivo del ENS en España.



Con este artículo se pretende plantear posibles soluciones generalistas ante algunas cuestiones suscitadas durante la Certificación de Conformidad respecto a las disposiciones del Esquema Nacional de Seguridad (ENS) en organizaciones pertenecientes al Sector Privado, ya sea que proporcionan soluciones, o prestan servicios, sustanciales para los sistemas que soportan los servicios prestados a la ciudadanía por parte de organismos del Sector Público, o bien al encontrarse vinculadas o dependientes de las Administraciones Públicas.



 


La DRaaS (Recuperación de Desastres en el CLOUD) es un componente de un DRP (Plan de Recuperación de Desastres) que implica el mantenimiento de copias de los datos empresariales en un entorno de almacenamiento en el CLOUD, como medida de seguridad. 

 

Realizar buenos backups sigue siendo una tarea compleja en la que interviene la definición de la política, el estudio y la elección de la(s) herramienta(s) y su implementación.



    Las pymes que no dispongan hasta la fecha de un SGSI (Sistema de Gestión de la Seguridad de la Información), pueden contemplar la posibilidad de empezar con la gestión de las medidas de seguridad y procedimientos que establece el RLOPD y una vez estabilizado dicho sistema, ir abarcando mayor alcance dentro de la empresa, hasta conseguir un completo SGSI.
     
    IMPLANTACIÓN DE UN SGSI ADOPTANDO LA ISO 27001
    Se presentan todos los pasos seguidos por un CSP (Cloud Services Provider) para implantar un SGSI (Sistema de Gestión de la Seguridad de la Información) basado en la Norma ISO 27001, coexistiendo con los demás procesos ITIL de Gestión de TI.



    DEL RIESGO TECNOLÓGICO AL RIESGO CORPORATIVO: UNA NUEVA REALIDAD
    En un mundo global, donde las amenazas son diversas y altamente imprevisibles debemos pensar más allá de la tecnología, para hacerlo en términos de riesgo corporativo, uniendo la técnica con los objetivos empresariales.
     





EL OVERSHARING ES UNA ACTITUD CON SECUELAS PARA EL FUTURO                            El neologismo oversharing es la encarnación léxica de un concepto con el que todos estamos familiarizados: la divulgación de una cantidad excesiva de información personal, información que convencionalmente sólo sería manifestada a, o conocida por, los más cercanos a nosotros.
La tecnología actual, especialmente las redes sociales y los sistemas de mensajería instantánea, llevan el concepto de oversharing a un nivel completamente nuevo que podemos llegar a calificar de síndrome o trastorno conductual.
Los riesgos aumentan cuando lo que compartimos son datos personales de menores, como pueden ser los propios  hijos.



REDES SOCIALES: Responsabilidad de los administradores por la vulneración de derechos fundamentales en ellas               La doctrina no se ha pronunciado sobre la posible responsabilidad civil de los administradores de las plataformas de redes sociales, en caso de que se utilicen como medio para la comisión de lesiones a los derechos fundamentales de las personas, ni tampoco hay jurisprudencia al respecto. Una vez hecha esta precisión se desarrollan las posibles concurrencias de responsabilidad de estos sujetos cuando, usando como instrumento estas redes sociales, los usuarios vulneran entre otros el derecho al honor, a la intimidad y a la propia imagen  de terceros.


Entrevista a Estrella Gutiérrez sobre los riesgos relacionados con la implementación por parte de los medios de comunicación y dirigidas a su audiencia, de aplicaciones de colaboración y gestión de contenidos basadas en Internet y empleando conceptos de web 2.0.


Aunque en el presente artículo nos centraremos en la incidencia de la figura del community manager en materia de protección de datos, su tarea de gestión de contenidos incide claramente sobre cuestiones jurídicas relativas a la protección de datos de los usuarios que interactúan, a la propiedad intelectual e industrial, al honor, a la imagen, a la intimidad, a la privacidad, a los derechos de los menores de edad, a la seguridad de la información, al comercio electrónico, entre otras.


10 ERRORES DE LA ADMINISTRACIÓN PÚBLICA EN LAS REDES SOCIALES
Tanto hacia dentro como hacia fuera, la Administración Pública mira las redes con resquemor, tachándolas de frívolas, inseguras y criticonas. En torno a ese planteamiento equivocado se pueden observar 10 errores muy característicos, que en la realidad dejan a la Administración fuera de las redes sociales.  


FENOMENO INFORMER ¿QUIÉN PUEDE RESPONDER LEGALMENTE?
Con muy poco tiempo de vida, el fenómeno 'Informer' ha hecho saltar las alarmas en los institutos y las universidades del país, donde se ha extendido como la pólvora entre los estudiantes. La comunidad educativa lo tiene claro: hay que controlarlo antes de que se escape de las manos. Me refiero a los 'informers', esas páginas en Facebook® en las que los usuarios sacan a la luz rumores, cotilleos y secretos de los demás. La guinda del pastel es que todo lo que uno quiere ventilar se publicará de forma anónima. O al menos, así se cree.


Análisis del difícil equilibrio entre “sociabilidad” y “privacidad” en las Redes Sociales.

 



Ignorar  la tendencia respecto a la proliferación de los contratos inteligentes es un ejercicio de ceguera. No creo que grandes y reconocidas multinacionales (entre ellas entidades financieras) hayan invertido grandes sumas de dinero en este tema sin haber previsto la viabilidad de la inversión.  Basados en la tecnología blockchain, comienzan a ser una realidad.



Se tratan los aspectos jurídicos relevantes a tener en cuenta para la constitución y operativa de una Start-up tecnológica orientada al desarrollo y comercialización de Apps, siendo aplicable a empresas análogas.




Por su actualidad, viabilidad tecnológica y coincidencia con la temática innovadora de este blog, siempre conciliándola con la perspectiva jurídica, se transcribe la Propuesta de Resolución del Parlamento Europeo con recomendaciones destinadas a la Comisión respecto a normas de Derecho civil sobre robótica (2015/2103(INL)).


Los vehículos autónomos son ya una realidad en fase de pruebas y con miles de kilómetros recorridos. Su despliegue, no obstante, requiere su encaje en el ordenamiento jurídico nacional. No están exentos de cuestiones éticas y de privacidad.





Ponencia Big Data: NO SIN GOBIERNO, NO SIN GESTIÓN

Para aquellos que no pudieron asistir a la ponencia sobre Big Data “en directo” y para los que sí que lo hicieron pero quieren refrescar ahora el tema expuesto, es que he preparado éste resumen detallado intercalando el texto escrito en el “PowerPoint”. Muchas gracias a todos por las diferentes muestras de agrado que he recibido por la temática de la ponencia, en un momento que los escándalos del programa de espionaje PRISM, basado en Big Data, de la NSA está perjudicando tanto a dicho servicio. Yo soy del parecer que Big Data, bajo el control del gobierno de las empresas y organizaciones y velando por el cumplimiento legal y la privacidad, puede aportar un bien a las mismas y, por extensión, a toda la sociedad.

El objetivo de la ponencia es ayudar a entender un poco más Big Data y, a partir de ese conocimiento, poder gobernarlo y gestionarlo para obtener valor.
Ver ponencia sobre Big Data en video




Los avances tecnológicos, en un mundo digital, provocan retos que no pueden resolverse con el uso de más tecnología, sino con más sentido común, con más racionalidad.  Es la ética la que debe estudiar el problema desde la perspectiva del juicio y establecer unas normas comunes, unos principios universales.

Existen varios aspectos que influyen en el proceso de innovación en las organizaciones. Uno de ellos es el estilo de liderazgo y gestión. En relación a las TIC, una empresa puede simplemente incorporar las nuevas tecnologías digitales al negocio como fuente de eficiencia o, al contrario, apostar por la adaptación del negocio a las nuevas posibilidades que han traído las nuevas tecnologías.  A este último estilo de liderazgo le llamaremos e-Liderazgo.



Con frecuencia olvidamos que la innovación, como genuino diferenciador competitivo que es, puede y debe gestionarse de manera sistemática, con procesos de generación de ideas bien estructurados, sólidas dinámicas de colaboración en equipos multidisciplinares de trabajo, indeclinable apoyo directivo, buena integración a las prácticas y procesos de la empresa, y fiel observancia a los valores y principios, que conforman la cultura corporativa.


A raíz de una agradable conversación que tuve, donde se debatía sobre el concepto de ‘desaprender’, es que me he decidido a escribir este artículo.




El fenómeno conocido como la IoT (Internet de las Cosas) representa la interconectividad total entre personas y dispositivos. No dudamos que puede aportar grandes beneficios a la sociedad pero también, como ocurre con cualquier tendencia innovadora de la que no se dispone de la suficiente experiencia,  entraña nuevos riesgos, especialmente relacionados con la privacidad, que deberán irse mitigando mediante la regulación, la transparencia y el autocontrol.
Lo analizaremos desde un punto de vista funcional que permita entender las implicaciones sociales, éticas y legales, ya que  consideramos que centrarse simplemente en los aspectos tecnológicos no aportaría valor a los objetivos del estudio.



Cada vez más los negocios, la economía y otros campos, hacen que sus decisiones se basen en datos y análisis, y menos en la experiencia o la intuición. Esa es la misión del Big Data. Sin olvidar las implicaciones en materia de protección de datos.


Proponemos el enfoque multidisciplinario como única forma de abordar con éxito, en un mundo cada vez más complejo,  adecuaciones en materia de protección de datos.

En unas declaraciones Neelie Kroes, Vicepresidenta y Comisaria de la Agenda Digital de la Comisión Europea, considera que la EU y el mundo en general necesitan: Un Cloud Computing fuerte y de confianza; Una cultura de Open Data (Datos Abiertos por parte de las AA.PP.); Y compromiso compartido con la ciberseguridad. En base a dicho hilo conductor es que vertebraré este artículo, incidiendo principalmente en aspectos de seguridad de la información y privacidad.




Por su interés y actualidad se presenta la traducción “no oficial” del Dictamen 01/2015 del Grupo de Trabajo del artículo 29 (GT29) sobre  la utilización de drones. El editor lo adapta al formato del Blog y aprovecha para referenciar bibliografía relacionada.


Agradezco a Neelie Kroes (Vicepresidenta de la Comisión Europea), a través de su oficina de prensa, el consentimiento expreso al Blog “Aspectos Profesionales” para que publique, y traduzca del inglés al español, su intervención en el IAPP Europe Data Protection Congress/Brussels el 11 de diciembre de 2013 titulada “Data isn't a four-letter Word”. Me interesé por la ponencia debido a su temática, al coincidir con la línea editorial de éste Blog, que busca un equilibrio satisfactorio entre privacidad e innovación.
Como sea que en inglés la palabra “D*A*T*A” tiene cuatro letras y en español “D*A*T*O*S” tiene cinco, me he visto en la “necesidad” de cambiarle el título a la traducción, manteniendo el espíritu del documento original.
   

Las autoridades europeas de protección de datos conocidas como Grupo de Trabajo del Artículo 29 (GT29) han aprobado en 2014 el primer Dictamen conjunto sobre internet de las cosas (IoT) catalogado como la Opinión 8/2014, de 16 de septiembre. Presentamos aquí una traducción “no oficial”.



A partir de una introducción al principio de transparencia, siempre desde la perspectiva de un blog, se comenta el enfoque que se le ha dado en éste y se concreta en la experiencia acumulada desde agosto de 2015.








La Declaración nace como reflexión y exposición de la situación actual, en materia de protección de datos en Iberoamérica, y las líneas programáticas por las que se debería apostar en pro de una mayor protección del derecho a la intimidad, la propia imagen y el honor de las personas en Internet, en el ámbito del fenómeno creciente del Big Data.




  
El Derecho debe adaptarse a los avances tecnológicos de nuestra sociedad. Fenómenos como la globalización y el entorno online provocan que los criterios y límites territoriales que antes conocíamos, desaparezcan. Esta situación cobra especial relevancia cuando aunamos Internet con actividad delictiva.
Basándonos en esta realidad social es que hemos decidido presentar este estudio como una introducción a este tipo de delitos.



La ingeniería social ha aumentado su popularidad en los últimos años. Aprovecha las debilidades de los mecanismos universales que poseemos las personas para entendernos con otros  seres humanos. El ciberdelincuente, con este proceder, obtiene información de las víctimas la cual le permitirá cometer un delito telemático. Veremos que la mejor defensa es preservar nuestra esfera de privacidad.















Cada vez con mayor frecuencia las empresas y organizaciones simultanean diferentes NSG (Normas de Sistemas de Gestión). Para facilitar la integración de todas ellas es que se ha creado el Anexo SL. 



En la elaboración de cualquier proceso documentado implantado en una organización y perteneciente a un Sistema de Gestión, un elemento importante es el conocido como matriz RACI, cuyo análisis minucioso nos ha de permitir obtener interesantes conclusiones. Esto es especialmente cierto si hablamos de un Compliance Management System (CMS), para prevenir la comisión de delitos en el seno de la persona jurídica.


Muchos piensan que las auditorías internas, realizadas por personal de la propia empresa, son únicamente un paso previo para preparar las auditorías de certificación o recertificación que marca el cumplimiento de la norma. No es así.




No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.