27
Feb

Análisis a la Ley de Ciberseguridad ¿Qué supone su aplicación?

La denominada Ley de Ciberseguridad tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

¿A qué entidades se aplica la Ley de Ciberseguridad?

  1. Aquellas que presten servicios esenciales dependientes de las redes y sistemas de informacióncomprendidos en los sectores estratégicos definidos en la Ley 8/2011, de 28 de abril.
  2. Aquellas que presenten servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
  3. Operadores de servicios esenciales establecidos en España, además de aquellos que ofrezcan servicios esenciales a través de un establecimiento permanente situado en España.
  4. Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea,así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148.

¿A qué entidades NO se aplica la Ley de Ciberseguridad?

  1. Operadores de redes y servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
  2. Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

¿Qué supone la aplicación de la Ley de Ciberseguridad?

1. Obligaciones de seguridad

  1. Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a la Ley de Ciberseguridad. Además, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
  2. Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente el responsable de la seguridad de la información.
  3. Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta los avances técnicos y los siguientes aspectos: la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

2. Obligación de notificar y resolver incidentes

Se impone la obligación de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en los servicios. En cuanto a los proveedores de servicios digitales, esta obligación se aplicará cuando se tenga acceso a la información necesaria para valorar el impacto de un incidente. También se prevé la posibilidad de realizar notificaciones voluntarias de aquellas entidades que presten servicios esenciales pero no les sea de aplicación la Ley de Ciberseguridad, que obligarán a la entidad que las efectúe a resolver el incidente.

La importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:

  1. El número de usuarios afectados por la perturbación del servicio esencial.
  2. La duración del incidente.
  3. La extensión o áreas geográficas afectadas por el incidente.
  4. El grado de perturbación del funcionamiento del servicio.
  5. El alcance del impacto en actividades económicas y sociales cruciales.
  6. La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.
  7. El daño a la reputación.

Es importante recordar que esta obligación no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito. Por otra parte, las notificaciones no sujetarán a la entidad que las efectúe a una mayor responsabilidad, y sus empleados y el personal no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo que se acredite mala fe en su actuación.

La autoridad competente podrá decidir informar de modo directo al público o a terceros potencialmente interesados sobre el incidente, o exigir a las entidades que lo hagan cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en beneficio del interés público.

Existe obligación de resolver los incidentes de seguridad y de solicitar ayuda especializada cuando no puedan resolver por sí mismos los incidentes (art. 28.1).

Si la notificación de incidentes o su gestión, análisis o resolución requiere comunicar datos personales, su tratamiento se restringirá a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relación con la finalidad, de las indicadas, que se persiga en cada caso.

3. Supervisión

Las autoridades competentes podrán requerir alosoperadores de servicios esenciales que faciliten la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad. También se puede requerir auditar o exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente. Posteriormente, la autoridad competente podrá requerir al operador que subsane las deficiencias detectadas e indicarle cómo debe hacerlo (art. 32.2).

La autoridad competente solo inspeccionará el cumplimiento de estas obligaciones de los servicios digitales cuando tenga noticia de algún incumplimiento, incluyendo por petición razonada de otros órganos o denuncia (art. 33.1).

¿Qué sucede si se incumple lo previsto en la Ley de Ciberseguridad? Régimen sancionador

Los responsables serán los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de la Ley de Ciberseguridad.

Son infracciones muy graves, cuya comisión implica una sanción de multa de 500.001 hasta 1.000.000 euros:

  1. La falta de adopción de medidas para subsanar las deficiencias detectadas (artículos 32.2 o 33.1) cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y no se hubieran atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
  2. El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos (a partir del segundo incumplimiento) en el servicio.
  3. No tomar las medidas necesarias para resolver los incidentes (artículo 28.1) cuando éstos tengan un efecto perturbador significativo.

Son infracciones graves cuya comisión implica una sanción de multa de 100.001 hasta 500.000 euros:

  1. El incumplimiento de las instrucciones referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.
  2. La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.
  3. El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.
  4. La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.
  5. Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
  6. Poner obstáculos a la realización de auditorías por la autoridad competente.

Son infracciones leves cuya comisión implica una sanción de multa de hasta 100.000 euros o amonestación:

  1. El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.
  2. La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.
  3. No facilitar la información que sea requerida sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.
  4. No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.
  5. No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.
  6. La falta de notificación de los sucesos o incidencias para los que exista obligación de notificación en virtud del del artículo 19.2.
  7. No completar la información que debe reunir la notificación de incidentes o no remitir el informe justificativo sobre la imposibilidad de reunir la información.
  8. No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente.

Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el BOE y en el sitio de Internet de la autoridad competente.

Las sanciones se establecerán teniendo en cuenta los siguientes criterios:

  1. El grado de culpabilidad o la existencia de intencionalidad.
  2. La continuidad o persistencia en la conducta infractora.
  3. La naturaleza y cuantía de los perjuicios causados.
  4. La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
  5. El número de usuarios afectados.
  6. El volumen de facturación del responsable.
  7. La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
  8. Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.

El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

  1. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados anteriormente.
  2. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  3. Cuando el infractor haya reconocido espontáneamente su culpabilidad.

Se podrá acordar, en lugar de iniciar el procedimiento sancionador, apercibir al sujeto responsable a fin de que, en el plazo que se determine, acredite la adopción de las medidas correctoras que resulten pertinentes, cuando concurran los siguientes presupuestos: que los hechos fuesen constitutivos de infracción leve o grave o que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de las infracciones previstas.

Si el apercibimiento no fuera atendido en el plazo determinado, procederá la apertura del procedimiento sancionador. NO podrán ser objeto de apercibimiento las infracciones leves previstas en los apartados c, d y e, así como la infracción grave por proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.

Por otra parte, NO se impondrán sanciones cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido, o cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

Actualmente, estamos a la espera del desarrollo reglamentario de la Ley de Ciberseguridad que facilite su aplicación y detalle, entre otros, las medidas necesarias para el cumplimiento de las obligaciones que impone.

Dña. Alina Nastasache

23
Feb

Implicaciones jurídicas de la tecnología Blockchain

Los días 30 de marzo, 1 y 2 de abril, D. Fernando Mª Ramos Suárez, Abogado y Socio Director de DPO&It Law, impartirá un el curso «IMPLICACIONES JURÍDICAS DE LA TECNOLOGÍA BLOCKCHAIN» organizado por el Colegio de Abogados de Madrid.

Descripción

El curso está dedicado a la comprensión del funcionamiento y naturaleza jurídica de la tecnología Blockchain, los aspectos clave del Bitcoin y otros cripto-activos, la financiación de proyectos tecnológicos mediante la Oferta Inicial de Criptomonedas (ICOs), las Organizaciones Autónomas Descentralizadas (DAO) y los Contratos Inteligentes (Smart Contracts).

Objetivo

Comprender a nivel teórico y práctico del funcionamiento de la tecnología Blockchain y el ecosistema de las Criptomonedas, su naturaleza e implicaciones desde un punto de vista jurídico, su eficacia probatoria, consideración como medio de pago, regulación en
Protección de Datos, Prevención del Blanqueo de Capitales, Fiscal, Contable.

Fechas y lugar

30 de marzo, 1 y 2 de abril de 2020, de 12 h. a 15 h, en el Centro de Estudios (C/ Serrano, nº 11-1ª planta) – aula 4

Programa

Se trataría de un curso de 9 horas o tres sesiones de tres horas.

DIA 1 (30 de marzo 2020 12:00 a 15:00 horas)

  1. LA DIGITALIZACIÓN Y LA TECNOLOGÍA
    1. La tecnología Exponencial y la Digitalización
    2. La digitalización del sector financiero
  2. LA REGULACIÓN DE LAS REDES DESCENTRALIZADA
    1. La tecnología Peer2Peer
    2. La regulación de la tecnología Peer2Peer
  3. ASPECTOS CLAVES DEL BITCOIN.
    1. La criptografía: métodos clásicos, era digital, simétrica, asimétrica, clave pública, clave privada, funciones hash, Merkle tree.
    2. El protocolo de comunicación
    3. Nodos
    4. Los Monederos
    5. Las transacciones
    6. Los Mineros
    7. Prueba de trabajo
    8. Consenso
    9. Forks
    10. Los Mercados de Compra y Venta de Monedas Virtuales.
  4. LA REGULACIÓN DE LAS CRIPTOMONEDAS.
    1. Naturaleza jurídica.
    2. Configuración como dinero electrónico o medio de pago
    3. Normativa de Prevención de Blanqueo de Capitales aplicable a las Monedas Virtuales.
    4. El bitcoin desde un punto de vista Fiscal y Contable.
    5. La Facturación de servicios con Monedas Virtuales.

DIA 2 (1 de abril de 12:00 a 15:00 horas).

  1. LAS INITIAL COIN OFFERING
    1. El origen de las ICOs.
    2. Naturaleza jurídica de las ICOs.
    3. El Crowdfounding.
    4. Securities Versus Utilities.
    5. Posicionamiento de la CNMV y el Banco de España.
    6. Las Fases de una ICO.
    7. El Fraude en las ICO.
    8. El trading en las ICOs.
    9. The Coin Governance System.       
  2. LABORATORIO JURÍDICO
    1. Creación de un Wallet en la Blockchain de Ethereum.
    2. Uso de Metamask o Myether wallet.
    3. Compraventas de ICOs en distingos mercados: Bittrex, Bancor, Eher Delta.
    4. Uso de Myether Wallet para la participación en una ICO.
    5. Uso de Myether wallet para el generación de pruebas en la Blockchain de Ethereum.

DIA 3 (2 de abril de 12:00 a 15:00 horas).

  1. LA TECNOLOGÍA BLOCKCHAIN vs SMART CONTRACTS
    1. El concepto de Smart Contract.
    2. El concepto de Smart Property o propiedad inteligente.
    3. El concepto de la tecnología Blockchain.
    4. La BlockChain de Ethereum.
    5. El test BlockChain.
    6. La Red Alastria.
    7. Implicaciones jurídicas de la Tecnología.
      1. Protección jurídica de la Blockchain.
      2. Implicaciones en Protección de datos.
      3. Implicaciones en Prevención del Blanqueo de Capitales.
      4. Implicaciones en materia Fiscal y Contable.
      5. Eficacia Probatoria de la Blockchain.
  2. LAS ORGANIZACIONES AUTÓNOMAS DESCENTRALIZADAS (DAO)
    1. El Origen: The DAO.
    2. Aragon.one.
    3. The DAO: El ataque.
    4. Implicaciones jurídicas de las DAO.
  3. LABORATORIO JURÍDICO
    1. Creación de un Wallet en PC, Móvil y en proveedor de servicios.
    2. Realización de una Compra de Bitcoins y Criptomonedas en los principales mercados de referencia: Kraken, Coinbase, Bittrex, Bit2me, Binance …
    3. Transferencias de Bitcoins a través de distintos wallets.
  1.  
  1.  
  •  


9
Feb

Participamos en el curso Introducción al Blockchain del ICAM

El próximo día 12 de febrero, D. Gonzalo de la Cruz Larregla, Asociado Senior de DPO&It Law, participará en una nueva edición del curso «INTRODUCCIÓN A BLOCKCHAIN PARA EL MUNDO LEGAL» organizado por el Colegio de Abogados de Madrid, donde tendrá la ocasión de exponer las Implicaciones jurídicas de la tecnología blockchain.

DESCRIPCIÓN DEL CURSO

Introducción a la tecnología Blockchain y las criptomonedas más importantes como es Ethereum, Bitcoin, Ripple, etc incluyendo el planteamiento de estos proyectos, cómo es el desarrollo de aplicaciones, y en donde se encuentra actualmente la legislación apuntando en cuestiones tan relevantes como ICOs, fiscalidad, gestión de DAOS, etc.

OBJETIVOS

Blockchain es la siguiente revolución en la informática, y será clave para la modernización de los procesos de negocio y en la eliminación de intermediarios que no aportan valor en estos. No obstante, a pesar de ser una enorme promesa, todavía existe un enorme desconocimiento general de sus posibilidades y hacía donde se articulará el futuro y en donde los profesionales del mundo legal tendrán un papel muy importante en la modelización de los futuros contratos inteligentes que regirán estos nuevos procesos.

PROGRAMA

  1. INTRODUCCIÓN
    • Tecnologías Blockchain.
    • Aplicación de las tecnologías.
    • Confianza y Transacciones.
    • Gestión de Proyectos de Tecnología Disruptiva.
    • Un nuevo panorama desde el punto de vista legal.
  2. TECNOLOGIA
    • Fundamentos Básicos de programación para no programadores.
    • Criptografía para novatos
    • Introducción a Bitcoin.
    • Introducción a Ethereum.
    • Otras criptos importantes
    • Aspectos legales aplicables al mundo de las criptos 2
  3. NUEVOS MODELOS
    • Introducción a los modelos con blockchain.
    • Usos alternativos de Blockchain.
    • Nuevos modelos de financiación: ICOs.
    • Nuevos modelos organizativos: DAOs.
    • Aspectos Legales de los nuevos modelos organizativos

Más Información aquí.

9
Feb

Participamos en el Comité legal de Alastria sobre Protección de Datos y Blockchain permisionada

En su calidad de Socio Fundador, DPO&it law acudió el pasado 23 de enero al Comité Legal de Alastria proponiendo soluciones al conflicto existente entre la implantación de la tecnología Blockchain y el cumplimiento del RGPD en un modelo de cadena de bloques privada o permisionada.

En esta ocasión, al Comité Legal acudieron en representación de DPO&it law nuestros compañeros Fernando María Ramos Suárez (Socio Director), Gonzalo de la Cruz (Abogado Asociado Senior) y Alina Nastasache (Abogada TIC).

4
Feb

¿Existe incumplimiento de contrato en la Serie de TV La Casa de Papel?

La Sección 3ª del Juzgado de lo Mercantil de Madrid ha publicado con fecha 13/11/2019, la Sentencia Nº 392/2019, en la que se desestima la demanda interpuesta por Globo Media a Álex Pina y su productora, La Raspa Producciones, por un supuesto incumplimiento de contrato.

Glomedia demanda a Álex Pina y La Raspa por incumplimiento del contrato firmado en abril de 2016 al no presentarles con anterioridad el proyecto de la serie de TV “La Casa de Papel” y empezar a preparar para Atresmedia la mencionada Serie. Según el contrato del 2016 Globo Media incluía una cláusula de prioridad o preferencia sobre las creaciones de Álex Pina.

Álex Pina es un guionista y productor español que ha mantenido con Globo Media una relación profesional durante años, firmando varios contratos desde el año 1998 hasta el año 2016, siendo el objeto de estos la elaboración, desarrollo, producción y coordinación de proyectos audiovisuales.

En el último contrato firmado por las partes, el 21 de abril de 2016, con el mismo objeto de producción ejecutiva de proyectos audiovisuales, se incluía la posibilidad de que terceras personas, trabajadores de la productora La Raspa, pudieran participar como guionistas o productores, no teniendo que ser Álex Pina quien realizara esos trabajos personalmente. Además, se estableció un régimen de prioridad y preferencia para Globomedia sobre las creaciones de Álex Pina y su productora, La Raspa.

Sin embargo, el demandado, con una nueva productora creada el 13 de julio de 2016, , creó otro proyecto para Atresmedia, La Casa de Papel (originalmente Los Desahuciados), sin presentarlo antes a Globo Media, a pesar del régimen de prioridad y preferencia establecido en el contrato firmado unos meses antes.

Como establece la sentencia, es obvio que el proyecto otorgado a Atresmedia fue concebido y preparado durante la vigencia del contrato, por lo que la falta de ofrecimiento constituiría un incumplimiento del contrato de prestación de servicios, si atendemos a las cláusulas de prioridad y preferencia incluidas en el mismo.

Sin embargo, el juzgado de lo Mercantil hace una interpretación de la cláusula de prioridad y preferencia del contrato desestimando las pretensiones de Globomedia establecidas en la demanda.

El último contrato firmado con Globomedia, establecía que Álex Pina y sus productoras podían utilizar a terceras personas para prestar sus servicios, incluso simultáneamente a otros operadores, lo que permitiría trabajar en otros proyectos al demandado, aunque fuera para otros operadores. Por otra parte, el Juez establece que la prioridad o preferencia establecida en el contrato no significa exclusividad, como sí podían incluir contratos anteriores.  La Sentencia establece que “prioritario” no significa que se debieran presentar los proyectos a Globo Media en primer lugar, pudiendo presentarlos a otros tras el rechazo de ésta, si no que “prioritario” debe referirse a la distribución del tiempo y atención necesarios para realizar sus proyectos.

Por lo tanto, dada la interpretación del juez sobre la prioridad, La Raspa no tenía obligación de someter a Globo Media la posibilidad de asumir todos sus proyectos, por lo que no puede considerarse que se produjera un incumplimiento contractual por el hecho de ofrecer a Atresmedia la producción audiovisual de La Casa de Papel.

Esta sentencia, contra la que cabe recurso, pone de manifiesto la necesidad de redactar unas cláusulas claras y precisas en los contratos, que eviten una interpretación contraria a los intereses de la productora.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies