Archivo de la categoría: GlobalNET Legal

Las siete obligaciones de la nueva ley de Protección de Datos que atañen a los Centros Educativos

Como es ya conocido, el próximo 25 de mayo de 2018 será de aplicación efectiva y directa en España el nuevo Reglamento Europeo de Protección de Datos de Carácter Personal (RGPD). Este Reglamento supondrá la modificación de algunos aspectos del régimen actual y la introducción de nuevas obligaciones en relación con su cumplimiento que afectará a las empresas grandes y pequeñas, instituciones, organizaciones, administración pública. Quisiera destacar en este artículo algunas novedades que afectarán de una manera directa al sector educativo, y en concreto a los centros formativos:

  • Deberán realizar una valoración del riesgo que implique el tratamiento de datos personales (pérdida, destrucción o alteración por mero accidente o de forma ilícita o acceso no autorizado). Y también planificar los servicios que ofrezcan para adoptar las medidas que, por defecto, garanticen el tratamiento necesario para la finalidad para la que se recabaron y que no estén accesibles a un número indeterminado de personas.

  • Tendrán que hacer evaluaciones de impacto, en los siguientes supuestos, que se completarán con los que determine la Agencia Española de Protección de Datos (AEPD) o las autoridades autonómicas correspondientes:

    • Tratamiento a gran escala de datos sensibles (origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud y los relativos a la vida u orientación sexual).

    • Observación sistemática a gran escala de una zona de acceso público (vídeovigilancia).

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o les afecte de modo similar.

  • Habrán de designar obligatoriamente un Delegado de Protección de Datos, figura que hasta hoy no existía. El Delegado puede estar en la plantilla de la organización o ser contratado como externo y deberá ser experto en la legislación que regula la protección de los datos personales.

  • Deberán elaborar un registro de actividades respecto del tratamiento de datos de carácter personal que se realice.

  • Tendrán que recabar el consentimiento de los alumnos o de sus padres o tutores, mediante una clara acción afirmativa del interesado y, en el caso de datos sensibles o para transferencias internacionales, el consentimiento además deberá ser expreso.

  • En el caso de que se produzca una “violación de seguridad”, deberán notificarlo a la AEPD o a la Autoridad autonómica correspondiente y, en su caso, también comunicarlo a los interesados.

Seguridad datos centros educativosConforme a lo anterior, recordaros que en GlobalNet Legal, como especializados en la materia, estamos en disposición de poder ofrecer nuestros servicios jurídicos para llevar a cabos todas las acciones necesarias que necesite su centro educativo en la implementación y cumplimiento del nuevo Reglamento:

  • Cumplimiento de la normativa de privacidad y tratamiento de datos personales para centros educativos.

  • Información y asesoramiento al responsable, encargado del tratamiento y empleados con acceso a datos personales de sus obligaciones según el nuevo Reglamento.

  • Supervisión de la implementación y aplicación de las políticas del centro educativo en materia de protección de datos personales.

  • Controlar y verificar la implementación y aplicación de la normativa en relación con la protección y la seguridad de los datos.

  • Asignación de responsabilidades y formación de personal que participa en operaciones de tratamiento.

  • Asesoramiento acerca de la evaluación de impacto relativa a la protección de datos.

  • Cooperación con la autoridad de control.

  • Gestión de respuestas a las solicitudes de la AEPD.

Julián Plaza García

Abogado TIC y Responsable de GlobalNET Legal

Comparte este artículo en:Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone

Entidades Financieras y Tecnología: la necesidad de un marco regulatorio específico

Llevamos tiempo oyendo hablar de entidades FinTech e InsurTech, es decir, aquellas donde la tecnología y la innovación, sea en el sector financiero o en el asegurador, son protagonistas en los productos y servicios que ofrecen.

Muchas de las empresas que lo integran son pymes y startups, pero también grandes entidades consolidadas de la banca y los seguros. En la actualidad, el número de compañías que ofrecen estos servicios ronda entre las 200 y las 215, dan empleo a más de 2.500 trabajadores y captaron unos 250 millones de euros en inversión en 2016. El crecimiento seguirá siendo muy alto pero aún lejos de las cifras alcanzadas en países como Estados Unidos, China, Reino Unido y Países Bajos, países que aglutinan el 90% mundial.

marco regulatorio de las fintech en España

La clave está en proporcionar calidad a un precio inferior y acercar el mundo financiero a cualquier consumidor. El presidente de la Asociación Española de FinTech e InsurTech (AEFI), Jesús Pérez, señala que “uno de los grandes desafíos a los que se enfrenta nuestra sociedad es la distribución de la riqueza. Es complicado que esto suceda mientras el acceso a la inteligencia financiera sea algo costoso y no al alcance de todos. (…) FinTech (Finance & Technology) viene a revolucionar el mundo financiero, tal y como lo conocemos, permitiendo que el acceso a servicios financieros sea cada día más eficiente, que sea mucho más accesible y que sea mucho más transparente”.

Ambos conceptos, aunque novedosos, nacen del desarrollo tecnológico que propició la revolución digital y consiguió una más fácil personalización de los servicios, generando innovaciones que utilizamos en la actualidad, como la banca online, el pago con tarjeta y el pago con móvil, entre otras. Son por lo tanto, servicios innovadores que sitúan a los países que apuestan por ellos en la vanguardia tecnológica en los ámbitos financieros y aseguradores.

Los principales verticales FinTech, es decir, las líneas de negocio actuales, son: asesoramiento y gestión patrimonial, finanzas personales, financiación alternativa, crowdlending, equity crowdfunding, crowdlending / crowdfunding sobre activos o bienes tangibles, servicios transaccionales / divisas, medios de pago, infraestructura financiera, criptocurrencies y blockchain, insurtech, identificación online de clientes y Big Data (pp. 24 a 28)

Son cuatro los principales factores que apoyan este desarrollo: el capital, es decir, la disponibilidad de recursos; el talento de los emprendedores y especialistas; la demanda de los clientes finales; y la regulación de las administraciones.

Los tres primeros son más o menos evidentes. Existe interés por parte de los inversores, también los emprendedores están innovando de forma constante y, sin duda, los clientes utilizan los servicios que ofrecen. Sin embargo, en el terreno regulatorio y salvo la ley 5/2015 sobre crowdfunding y el portal desarrollado por la Comisión Nacional del Mercado de Valores (CNMV), nada más se ha hecho al respecto.

Las ventajas de regular el sector con los nuevos actores parecen evidentes, aunque no todos los especialistas estén de acuerdo con ello. La contribución del FinTech, a través de “la reducción de los problemas de información asimétrica y del aumento de la competencia”, aumenta la eficiencia del sector, como se encargan de resumir en el Libro blanco de la regulación FinTech en España. También mejora la competitividad de la industria española en este ámbito. Finalmente, los consumidores notarán una mayor accesibilidad a los servicios financieros, con una oferta más amplia de entidades, lo que supondrá “un coste directo menor y bajo comisiones más reducidas”.

finanzas o seguros y tecnología - FinTech InsurTech

No obstante, los perjuicios de no asumir medidas legales que fomenten el desarrollo de estas entidades son variadas pero se pueden concretar en dos principales: la pérdida de oportunidad y una situación de desventaja competitiva que puede “obligar” a las empresas a ubicar las sedes en otro país debido a las barreras legales.

Para evitarlo, el libro propone seguir el ejemplo inglés que, por lo visto, ha dado excelentes resultados. Habla de tres iniciativas:

  • El Sandbox, que viene a ser una incubadora de proyectos o campo de pruebas para que puedan ser probados en condiciones y por un tiempo muy determinado para ver su efectividad. Las entidades, hoy por hoy, tienen que cumplir una serie de requisitos que las pymes y startups no pueden asumir en las mismas condiciones que las empresas ya asentadas. Esta figura vendría a igualar oportunidades, según señalan en el Libro (pág. 15).

  • Unidades de asesoramiento por parte del supervisor para dar soporte en el proceso de autorización a las entidades que lo soliciten, siempre y cuando cumplan unos requisitos básicos. Además, implicaría la anulación de sanciones “durante el periodo que dure la autorización limitada”.

  • Open banking and Insurance, que implicaría fomentar el intercambio de información entre las compañías que formen parte del sector mediante “el desarrollo de una API de acceso público” y el intercambio de datos sobre clientes, bajo previa autorización de estos.

El Libro, además, pide la creación de eventos periódicos del sector y de convenciones internacionales “dando a conocer a España como un país con un entorno favorable y seguro para la implantación de entidades FinTech”, sobre todo con la salida del Reino Unido de la Unión Europea. A este respecto, también señala la oportunidad de establecer propuestas comunes y de coordinarse con los distintos estados miembros. Y, por supuesto, el que las administraciones promuevan la creación de grados y postgrados en las escuelas de negocio y universidades.

Termina el documento con la propuesta de diferentes medidas regulatorias, de interés para ser valoradas, por cada una de las líneas de negocio, incluyendo los obstáculos que se presentan.

Desde GlobalNET Legal, ofrecemos asesoramiento a empresas sobre aquellas cuestiones que se deriven de las Tecnologías de la Información y la Comunicación (TIC), y los productos que se desarrollen con su implementación. Infórmate.

Gracias por comentar y por compartir

Comparte este artículo en:Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone

¿Estamos preparados para la nueva Ley Europea de Protección de Datos?

Las empresas deben empezar a prepararse para cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo del año pasado y será aplicable a partir del mismo mes de 2018, sustituyendo a la actual LOPD y el reglamento que la desarrolla. Es importante porque lleva un tiempo adaptarla.

protección de datos

O incluso crearla de cero, como ocurre con muchas organizaciones que no tienen protegidos los datos de los interesados sin consecuencia alguna.

El problema está en que, cuando llegue el año que viene y se aplique el Reglamento (UE) 2016/679, las sanciones pueden ser tan gordas que perjudiquen gravemente a la compañía e incluso la harían desaparecer. Por ejemplo, se contemplanimportantes multas administrativas que pueden llegar hasta los 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio anterior”, la que sea de mayor cuantía. No es broma puesto que junto a la multa, se añade la pérdida de credibilidad y de clientes.

Supongamos que un trabajador lee, de forma casual, una información confidencial, este hecho se considera como fuga de datos, con lo que conlleva. Para evitarlo, hay que formar a los empleados, controlar quién ve qué y registrar las incidencias ocurridas, además de crear y actualizar las copias de respaldo y de redactar un buen documento de seguridad.

Lo que pretende la nueva legislación es que las empresas sean proactivas, es decir, que piensen en términos de protección de datos desde el punto en que se diseña un producto o servicio que implique su tratamiento.

Para ayudar tanto a las grandes corporaciones, como a las pymes y micropymes, la Asociación Española de Protección de Datos (AEPD) ha presentado tres documentos con materiales y recursos.

En concreto, una guía, unas directrices para los contratos entre responsables y encargados del tratamiento (dos de las figuras claves de la normativa) y una completa publicación para saber qué información deben proporcionar las empresas a los ciudadanos con la RGPD y cómo hacerlo.

El primer documento, Guía del Reglamento General de Protección de Datos para responsables de tratamiento”, incluye una serie de obligaciones, recomendaciones y enlaces para ampliar información, entre los que, desde GlobalNET Solutions, destacamos los siguientes:

  • Las empresas tienen una responsabilidad proactiva, con medidas organizativas y técnicas, respecto a los datos que manejan. En concreto:

    • análisis de riesgo: en el caso de pymes, con tratamientos de poca responsabilidad, bastará con una reflexión, mínimamente documentada que deberá responder a una serie de preguntas (ver página 17 del documento);

    • registro de actividades de tratamiento: en principio, están exentas las organizaciones con menos de 250 trabajadores;

    • protección de datos desde el diseño y por defecto: debe aplicarlas el responsable con anterioridad al inicio del tratamiento y mientras se está desarrollando;

    • medidas de seguridad;

    • notificación de “violaciones de seguridad de los datos”;

    • evaluación de impacto sobre la protección de datos: las autoridades pertinentes deben, por obligación, confeccionar listas adicionales de tratamientos que requerirán de la RGPD y también de los que no, lo que no sustituye ni excluye la responsabilidad de quien trata los datos;

    • y Delegado de protección de datos: figura obligatoria en una serie de casos, cuya designación debe hacerse pública y comunicarse a las autoridades de supervisión competentes. Además, deben estar certificados por entidades acreditadas por la Entidad Nacional de Acreditación y se permite que sean externos a la organización.

  • Los encargados de ellos pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas previstos por el RGPD.

  • La responsabilidad última de aplicar el tratamiento sigue siendo del responsable.

  • La información proporcionada a los interesados debe ser concisa, transparente, inteligible, de fácil acceso, con un lenguaje claro y sencillo (La LOPD solo prevé que sea expresa, sencilla e inequívoca). Asimismo, el consentimiento debe otorgarse con una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado. Nada de casillas premarcadas.

  • En general y con mínimas excepciones, estos son derechos de ejercicio gratuito para el interesado. Incluyen el derecho a pedir el acceso a sus datos personales, el derecho a solicitar su rectificación o supresión, el derecho a decidir la limitación de su tratamiento, el derecho a oponerse a este, y el derecho a la portabilidad de los datos.

  • Cuidado con las transferencias internacionales, fuera del espacio común europeo, que solo se pueden hacer bajo una serie de condiciones específicas.

  • El RGPD se refiere en varios lugares a los tratamientos de los datos de menores, que reciben una especial protección. Incluyen actividades de formación y sensibilización dirigidas a ellos.

Para ayudarnos en la implementación del reglamento, la guía se hace eco de la “Lista de Verificación”, que “pretende ayudar a las organizaciones a llevar a cabo de forma ordenada una valoración de su situación frente a las principales obligaciones del RGPD. Su contenido sigue el de la guía, y se presenta como un listado de preguntas que responsables y encargados deberán formularse, y responder adecuadamente, a la hora de determinar cuál es su situación ante la aplicación del RGPD” (págs. 31 y ss.).

lista de verificación - ley de protección de datos

También existe una lista simplificada cuando los responsables realizan solo un número limitado de tratamientos, con bajo nivel de riesgo para los derechos y libertades de los interesados. Esto afectará sobre todo a pymes y micropymes (págs. 34 y ss.).

En cuanto a la “Guía para el cumplimiento del deber de informar”, desde la AEPD recomiendan revisar y aplicar dicha obligación desde ya. Se refiere a la obligación de informar al interesado, por parte del responsable de tratamiento, en el momento en que se soliciten los datos y siempre antes de la recogida o registro de estos. Si proceden de fuentes indirectas y legítimas, se le notificará en un plazo razonable pero siempre antes del mes de obtención de los datos, junto con otros requisitos.

El lenguaje debe ser claro, conciso y comprensible. A modo de sugerencia de estilo, se pueden seguir estas pautas: se sugiere utilizar una exposición bien estructurada, en base a “preguntas y respuestas”, continuando con los epígrafes generales antes descritos; se debe buscar un equilibrio entre concisión y precisión, evitando circunloquios, explicaciones innecesarias o detalles confusos; y se debe evitar el abuso de citas legales, “jerga” confusa, o términos ambiguos o con escaso sentido para las personas destinatarias.

Los datos se recogen exclusivamente para fines determinados, explícitos y legítimos que hay que especificar, y no serán tratados de manera o incompatible con estos fines. En caso de que se quieran utilizar para otros objetivos, deberá informarse al interesado antes del tratamiento ulterior.

También se informará sobre la elaboración de perfiles con los datos recavados, incluyendo la importancia que tiene y sus consecuencias.

Por supuesto, desde GlobalNET Legal, estamos a tu disposición para cualquier duda o consulta, y para implementar en tu empresa, sea cual sea su tamaño, el nuevo RGPD.

Gracias por comentar y por compartir

Comparte este artículo en:Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone

¿Podemos proteger los Derechos de Autor en Internet?

Hablar de Internet es hablar de libre intercambio de información y de archivos. Hablar de Internet es hablar de Comunicación. Hablar de Internet es hablar de ¿contenidos gratuitos? En realidad, ni todos ellos son libres ni son a coste cero. Existen una serie de licencias que protegen los derechos de autor.

Muchas personas desconocen que, por ejemplo, las imágenes que nos proporciona Google en una búsqueda pueden estar sujetas a licencias que impidan la utilización por terceros y si lo hacemos, incurrimos en un delito sin darnos cuenta. Recordemos que la ignorancia no exime del cumplimiento de la ley.

También es cierto que nosotros, como productores a nuestra vez de contenidos, tenemos derechos sobre las obras que creamos, como podría ser este mismo artículo. Eso nos protege contra personas o entidades que se aprovechen de ellas sin nuestra aprobación.

Para ello existen una serie de licencias, de las cuales, la más restrictiva es también la más antigua (siglo XVIII), el copyright.

Icono del Copyright

El copyright, que es la que más nos suena, reserva al autor todos los derechos de la obra, es decir, su utilización, reproducción, distribución, comercialización y modificación. Nadie puede hacer nada sin el consentimiento del creador de la misma. Debemos tener en cuenta, además, que aunque no aparezca el conocido simbolito, de entrada, se considera que tiene copyright.

En el lado contrario, esta el copyleft. El autor aquí cede la mayoría de los derechos, siempre y cuando se respecten algunas claves: las copias o adaptaciones deben tener el mismo esquema que la inicial en su distribución, modificación y adaptación; y ha de quedar clara la autoría de cada una de las partes que intervengan en la obra. Cuidado, porque esto no significa que su acceso sea gratuito.

Icono del Copyleft

Por último, están las licencias Creative Commons, las más habituales en Internet y también las más recientes. Aquí son los creadores los que deciden qué derechos se guardan y cuáles ceden, de ahí que existan varias opciones. Veamos cuáles:

  • Reconocimiento (Attibution): hay que reconocer la autoría.

  • No comercial (Non commercial): solo para usos no comerciales.

  • Sin obras derivadas (Non derivate works): la explotación no incluye la modificación para crear obras derivadas.

  • Compartir igual (Share alike): se pueden crear obras derivadas siempre y cuando respeten la licencia de divulgación.

Pero lo mejor es que estas cuatro licencias pueden combinarse, creando seis posibilidades, a saber:

  • Reconocimiento (by): se permite la explotación de la obra, incluso comercial, y la creación de derivadas, que también se pueden distribuir sin restricciones.

  • Reconocimiento + No comercial (by-nc): se pueden crear obras derivadas pero no deben tener un uso comercial. Tampoco si se distribuye la original.

  • Reconocimiento + No comercial + Compartir igual (by-nc-sa): igual que la anterior, añadiendo que la licencia ha de ser la misma que la primigenia.

  • Reconocimiento + No comercial + Sin obra derivada (by-nc-nd): ni se puede utilizar la obra original ni se pueden generar derivadas.

  • Reconocimiento + Compartir igual (by-sa): “se permite el uso comercial de la obra y de las posibles obras derivadas, la distribución de las cuales se debe hacer con una licencia igual a la que regula la obra original”.

  • Reconocimiento + Sin obra derivada (by-nd): sí podemos hacer un uso comercial de la obra principal pero no podemos crear derivadas.

Iconos de las licencias Creative Commons

Tienes más información en esta página y, por supuesto, puedes pedirnos consejo sobre este u otros temas en GlobalNET Legal.

Gracias por comentar y por compartir.

Comparte este artículo en:Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone

El Derecho al Honor en la Empresa y cómo preservarlo en Social Media

Cuando hablamos de Derecho al Honor, rápidamente pensamos en vulneraciones a personas con carácter individual y rara vez de entidades jurídicas como puede ser una empresa. Sin embargo, sí que se puede considerar que lo tiene. No es este blog el espacio más apropiado para ahondar en dicho concepto pero para los que tengáis curiosidad, os remitimos al artículo que aquí enlazamos y que lo explica más a fondo.

Para el caso que nos ocupa, vamos a circunscribirnos al ámbito digital, en el cual todos hablamos más que de Derecho al Honor, de Reputación Corporativa. Qué debemos hacer cuando se trasgrede este derecho en redes sociales, lo que puede desembocar en un importante perjuicio para la empresa.

crisis de reputación en social media

Lo principal es disponer de un plan de crisis, no solo comunicacional sino también jurídico para saber si un determinado hecho es constituyente de delito o se limita a un problema que se resuelve poniendo en marcha acciones de Comunicación. También si en verdad le merece la pena a la empresa meterse en tribunales para defender su buen nombre o es mejor responder solo en redes, que también tienen sus conductos de denuncia.

Para ello, cuando hablamos de pymes o de autónomos, que rara vez disponen de un departamento jurídico, es conveniente que se asesoren con abogados especialistas en el tema, como los que ofrecemos en GlobalNET Legal. También ocurre lo mismo cuando hablamos de Comunicación y Marketing… pero volvamos sobre el tema.

Con el potencial viral de las redes sociales, cualquier mínimo rumor se expande con facilidad y trasciende, incluso, a los medios de información que, cada vez más, se hacen eco, una vez confirmadas, de las noticias que se difunden en Twitter, sobre todo.

Por ello, las empresas han de monitorizar a diario lo que se dice sobre ellas en el mundo digital y así poder reaccionar con rapidez ante cualquier hecho negativo, antes de que pueda trascender. Entonces, lo más importante es valorar el alcance y el carácter del hecho que origina la crisis.

No es lo mismo la actuación de un “troll”, es decir, de un personaje que se dedica a criticar a diestro y siniestro sin nada que lo justifique, que un problema compartido por un perfil con influencia en las redes y un fuerte potencial de difusión y daño. Tampoco lo es que la acción tenga una base donde apoyarse, como puede ser un error por parte de la empresa, de los directivos o de alguno de los trabajadores, que algo sin un sostén real.

troll en redes sociales

Son los departamentos o las personas con conocimientos legales y comunicacionales los más apropiados, junto con la dirección de la empresa y o el autónomo, quiénes mejor podrán asesorarles sobre la valoración más apropiada en cada caso y las acciones a llevar a cabo. No obstante, como señalábamos más arriba y explicábamos en otra entrada del blog, disponer de un plan de crisis actualizado es un punto muy a favor de la compañía para conseguir solventar el problema e incluso salir reforzados y con mejor reputación de la que tenían antes.

Para conseguirlo, hay que mantener la calma en todo momento. Aunque es importante reaccionar con prontitud para atajar lo antes posible la crisis, también lo es hacerlo de la forma más adecuada puesto que cualquier error en estas condiciones puede traer un perjuicio muy grave a la empresa que puede acabar en su desaparición.

Asimismo, ayuda que la pyme sea activa y tenga una buena comunidad de seguidores en redes sociales porque, en muchas ocasiones, ellos avisarán y pueden llegar a frenar y resolver el problema en su mismo origen.

Es preciso contar también con los canales de denuncia que ofrecen las redes sociales, en especial, en aquellos casos donde se produzcan suplantaciones de identidad y / o hackeo de cuentas para que tomen las medidas oportunas. También en situaciones de spam o en otras similares. Deben utilizarse de forma paralela a otra medidas puesto que pueden tardar un cierto tiempo en resolverse; un solo día en redes supone, según los casos, un nivel de viralización que puede ser fatal.

En resumen, asesorarnos, tener previsto un plan, mantener la calma y reaccionar con rapidez son los principales pilares para atajar una crisis de reputación y preservar el honor de la empresa, que también lo tiene.

Gracias por comentar y por compartir

Comparte este artículo en:Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone