Blog - DPO & it law

31
Mar

Suiza reduce su umbral de identificación en exchangers, tras la finalización del plazo de transposición de la 5ª Directiva sobre Prevención del Blanqueo de Capitales europea.

El pasado 10 de enero finalizó el plazo concedido a los Estados Miembros para transponer la 5ª Directiva (UE) 2018/843 relativa al Blanqueo de Capitales, que supone una importante novedad, la inclusión dentro del ámbito de aplicación a las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales, es decir, pasan a ser sujetos obligados de prevención de blanqueo de capitales.

¿Qué implica que sean sujetos obligados? Supone que deben cumplir con las obligaciones que marca la normativa en materia de blanqueo de capitales, es decir, deben cumplir con las obligaciones de identificación, de información, y de establecer medidas de control interno. Entre otras cuestiones, destaca la obligación de identificar a quienes realicen transacciones por más de 1.000 euros. Suiza, de forma similar a los países europeos, a optado por incluir dichas obligaciones de identificación formal.

El 1 de enero de 2020 Suiza adoptó la Ley de Servicios Financieros y la Ley de Instituciones financieras, que obligan a la Autoridad de Supervisión del Mercado Financiero (FINMA) a aprobar disposiciones de implementación en materia financiera.

Así, a través de la Ordenanza contra el lavado de dinero (AMLO-FINMA) Suiza ha reducido los valores de umbral de identificación del cliente en las transacciones de cambio de criptomonedas de CHF 5.000 a CHF 1.000, aproximadamente 1.060 USD. FINMA llevará a cabo una consulta sobre el reglamento de seguimiento hasta el 9 de abril de 2020.

Con esta disposición, Suiza reconoce que existen mayores riesgos de blanqueo de capitales en las transacciones con criptomonedas, tal y como hacen constar en un Comunicado de Prensa publicado el 7 de febrero de 2020.

De esta manera, Suiza se une a la lista de países europeos que han regulado la actividad de los activos digitales, entre los que se encuentran Francia, Holanda y Alemania.

Por su parte, España continúa sin transponer la 5ª Directiva y, por tanto, sin regular la actividad de las Plataformas de Cambio de monedas Virtuales y Proveedores de Monederos o Wallets de Monedas Virtuales.

Ante la falta de cumplimiento de la transposición de la 5ª Directiva en el plazo establecido, la Comisión Europea ha abierto expediente a varios países, entre los que se encuentra España, instando a su urgente regulación “teniendo en cuenta la importancia de estas normas para el interés colectivo de la UE», según han informado las autoridades comunitarias.

Alina Nastasache
Consultor en Derecho TIC y Protección de Datos
alinastasache@dpotilaw.com

20
Mar

La tecnología en la crisis sanitaria del coronavirus: ¿Cómo se realiza el tratamiento de los datos personales?

Tras la declaración del Estado de Alarma el 14 de marzo, la lucha para frenar el coronavirus (COVID-19) se refuerza en España con la primera herramienta tecnológica en formato web: www.coronamadrid.com, que pronto contará con una versión APP en IOS y Android que se denominará COVIDAPP.

Se trata de una plataforma que lanzó la Comunidad de Madrid, el principal foco de infección en España, y que permite realizar una autoevaluación del estado de salud de los ciudadanos (mayores de 16 años) en función de sus síntomas, facilitando instrucciones y recomendaciones sobre el COVID-19. De esta manera se pretende ayudar a evitar el actual colapso del sistema sanitario y las líneas de atención telefónicas de la Comunidad de Madrid.

Uno de los aspectos que más preocupa o inquieta con este tipo de plataformas es el tratamiento de los datos de carácter personal que nos solicitan para poder acceder o, en este caso, realizar la autoevaluación.

Entre los datos que se recogen (nombre y apellidos, número de teléfono móvil -incluye un proceso de verificación de identidad con el teléfono móvil-, DNI / NIE, fecha de nacimiento, correo electrónico, dirección completa y código postal y género), parece que el más controvertido desde que se hizo pública la plataforma es la geolocalización. Si acudimos a la Política de Privacidad de la plataforma, nos indica que “en el momento de la realización de las autoevaluaciones, se guardará tu localización GPS, siempre bajo tu autorización, para saber dónde te encuentras y poder ofrecerte las mejores medidas preventivas y de evaluación en cada momento”.

Según continúa explicando la Política de Privacidad de la plataforma, estos datos son estrictamente necesarios por razones de interés público ante la actual pandemia del COVID-19.

Ante la creciente preocupación por el tratamiento de los datos personales durante la crisis del coronavirus, el pasado 12 de marzo, la AEPD se pronunció al respecto a través de un informe, estableciendo que la recogida de los datos personales cuya finalidad sea salvaguardar los intereses esenciales en el ámbito de la salud está legitimado tanto por motivos de interés público como por la protección de los intereses vitales del interesado u otras personas físicas, tal y como determina el artículo 6.1. e) y d) del RGPD.

En la misma línea, el 16 de marzo emitió el Comité Europeo de Protección de Datos una declaración sobre el tratamiento de datos personales, en la que recuerda que las normas de protección de datos no deben obstaculizar las medidas adoptadas por la pandemia del coronavirus, siempre que estas sean necesarias, apropiadas y proporcionadas.

Ante una situación de crisis como la que estamos atravesando, no solo en España sino en el resto de los países, ya sea en mayor o menor medida, se hacen necesarias actuaciones que pueden limitar la esfera de nuestra vida privada para asegurar y garantizar bienes jurídicos superiores, en este caso el derecho a la vida y a la salud colectiva, por lo que las normas de protección de datos no pueden ser una barrera para salvaguardar estos derechos, siempre que sean proporcionadas y adecuadas respecto a una situación tan excepcional como la actual.

Por último, debemos actuar con precaución ante la proliferación de numerosas páginas web y apps no oficiales que ofrecen servicios de autoevaluación respecto al coronavirus, suplantando en ocasiones al Ministerio de Sanidad, como ha podido constatar la AEPD, que ha advertido del riesgo de proporcionar datos personales a estas plataformas.

No debemos olvidar que, en ningún caso, estas plataformas pueden sustituir al servicio médico o de atención de urgencias o de prescripción de tratamiento farmacológicos, y que solamente pretenden ofrecer una orientación a los ciudadanos y evitar el colapso del sistema sanitario.


Alina Nastasache
Consultor en Derecho TIC y Protección de Datos

18
Mar

FUNDAE ¿responsable o encargado del tratamiento?

FUNDAE, la Fundación Estatal para la Formación en el Empleo, es una fundación del sector público estatal encargada de coordinar la ejecución de las políticas públicas en materia de formación profesional. Se encuentra regulada en la Ley 30/2015, de 9 de septiembre, por la que se regula el Sistema de Formación Profesional para el empleo en el ámbito laboral, y desarrollada a su vez por el Real Decreto 694/2017, de 3 de julio.

Actualmente cualquier empresa española puede optar a un crédito formativo a través de FUNDAE, el cual procede de la recaudación de la cuota de Formación Profesional que la empresa realiza a la Seguridad Social. Por tanto, en los supuestos en los que la empresa necesite realizar cursos de formación a sus empleados podría beneficiarse de la impartición de los mismos gestionando el pago de los mismos a través de FUNDAE. El sistema empleado para pagar a la empresa por dichos cursos es través de las correspondientes bonificaciones en los seguros sociales que realiza la empresa a la Seguridad Social.

En todo este proceso de gestión de los cursos de formación existe un tratamiento de datos personales de los trabajadores de la empresa, por lo que debemos identificar las partes implicadas en el mismo, identificando quién es el Titular de los Datos, el Responsable, y en su caso el Encargado del Tratamiento o Cesionario de los datos.

En el funcionamiento de la FUNDAE  debemos diferenciar cuatro participantes:

  • Administración Pública: ente que subvenciona a través de descuentos en seguros sociales de la empresa los importes realizados mediante formación subvencionada.
  • FUNDAE. encargada de coordinar la ejecución de las políticas públicas en materia de formación profesional
  • Empresas externas: antes denominadas entidades organizadoras, que se encarga de todas las gestiones y comunicaciones oficiales. No es obligatorio realizarlo a través de estas empresas, aunque sí es lo más común en la formación vía FUNDAE, ya que las mismas se encuentran especializadas es su gestión ahorrando tiempo y dinero a las empresas que quieran utilizar esta fórmula formativa. La gestión de estos cursos de formación por empresa externas debe materializarse en la firma de un convenio de encomienda de la formación, o adherirse a uno ya existente.
  • Empresa bonificada: Es la que recupera parte (o toda) de la cantidad invertida en la formación de sus trabajadores, a través de bonificaciones en los seguros sociales. Es la Responsable de los datos personales obligado por tanto al cumlpimiento de la normativa de Protección de Datos. ,

En todo este proceso son múltiples las comunicaciones de datos entre los distintos actores, incluyendo entre otros los datos identificativos de los trabajadores como los relativos al sexo, edad, nivel de estudios, categoría profesional y minusvalía. Estos datos son fundamentales y deben ser aportados por la empresa para poder inscribir a sus trabajadores a los cursos de formación subvencionados, con la finalidad de prestar el servicio, así como demostrar la asistencia a los mismos. Efectivamente, durante los cursos se debe justificar la asistencia mediante la firma del trabajador, autenticándose con el DNI para la identificación del alumno.

Para analizar desde el punto de vista de la protección de datos todos estos procesos de comunicación de datos por parte de la Empresa a los terceros intervinientes, debemos de analizar en primer lugar la justificación o legitimación en el tratamiento, la cual podemos incluir en el art. 6.1 c) del RGPD:

1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”.

Así, podremos identificar la posición que asume cada participante en el tratamiento de datos;

  • El trabajador: dado que es la persona que realiza el curso de formación no cabe duda que ocupa la posición del titular de los datos personales o interesado.
  • La empresa bonificada: será considerada el Responsable del Tratamiento, ya que es quien determina las finalidades y los medios del tratamiento.
  • Las Empresas Externas: La dificultad viene a la hora de determinar el papel de las empresas externas en el tratamiento de los datos personales que maneja en las funciones que tiene encomendadas. Podría pensarse que nos encontramos ante un Encargado del Tratamiento de los datos aportados por la empresa bonificada, ya que podría decirse que trata los datos personales pertenecientes a los tratamientos efectuados por el Responsable, con la finalidad de prestarle un servicio. Existe un acceso a datos, pero sus obligaciones van más allá de cumplir instrucciones de la empresa bonificada, por lo que, entendiendo que su actividad no se limita  la mera prestación de un servicio, tenemos que considerar que la empresa externa es también Responsable del Tratamiento y por tanto se configuraría como un Cesionario de los datos cuyo tratamiento viene legítimado por el mencionado art. 6.1 C) del RGPD. Esta posición es la defencida por la AEPD en un un informe antiguo (Informe 0143/2010), pero cuya fundamentación jurídica puede seguir siendo perfectamente aplicable.
  • FUNDAE. De forma similar los datos de los trabajadores cedidos por la empresa bonificada o por la empresa externa a la FUNDAE se encuentran igualmente amparados en el art. 6.1 c) del RGPD. Por otro lado, y en relación al papel que desempeña FUNDAE con la Administración acudiendo al informe del año 2009, Informe 0649/2009, en el que se hace referencia directa a otro informe, de 28 de mayo de 2003, se establece de una forma clara y directa la condición de encargada del tratamiento respecto de los datos de la Administración Pública, que es quien decide sobre la finalidad, contenido, y uso del tratamiento, ejerciéndose las funciones en cumplimiento de la gestión encomendada a FUNDAE.

Por lo tanto, entendemos que no es necesario que la empresa bonificada firme un contrato de encargado del tratamiento con la empresa externa que gestiona la formación subvencionada o con la propia FUNDAE, ya en ambas situaciones nos encontramos ante una cesión o comunicación de datos, legitimada por el art.6.1 c) del RGPD.



Borja Pérez-Enciso Ramos
Consultor Protección de Datos
DPO&itlaw Valladolid


2
Mar

El marco regulatorio básico de los drones en España

El incidente ocurrido el pasado mes de febrero en el aeropuerto de Barajas, en el que se llegó a cerrar el espacio aéreo por la presencia de un dron no autorizado, ha vuelto a poner el punto de mira en el marco regulatorio de los drones.

Como ha ocurrido en muchos otros campos, los drones se desarrollaron originalmente con fines militares, pero las mejoras tecnológicas permitieron crear drones cada vez más pequeños, ligeros y asequibles, lo que acercó el mundo del dron recreativo al gran público. Sin embargo, en los últimos tiempos los gobiernos se han dado cuenta de los diversos problemas que el uso privado de los mismos puede causar. Aunque se pueden enumerar muchos y de diversos tipos, como pueden ser los relacionados con el uso del espacio aéreo, el riesgo de accidentes o de violación de la intimidad o la problemática que generan los distintos plug-ins que se pueden acoplar a ellos, incluso explosivos o inhibidores de frecuencia, en este artículo nos centraremos en la nueva normativa europea que trata de regular los requisitos que deben reunir tanto el aparato como el piloto.

Las normas europeas de referencia en la actualidad son los recientes Reglamento Delegado (UE) 2019/945 de la Comisión y el Reglamento de Ejecución (UE) 2019/947, que modifican el anterior Reglamento (UE) 2018/1139 (que establece las normas comunes en el ámbito de la aviación civil) y buscan garantizar una utilización segura de los drones de forma uniforme en todo el territorio de la Unión Europea. Sin embargo, todavía queda mucho camino por andar en este ámbito, y la prueba es que la Agencia Europea de Seguridad en la Aviación (EASA, por sus siglas en inglés), ya ha dicho que propondrá una nueva modificación a esta normativa durante el primer trimestre de 2020; apenas medio año después de la publicación del Reglamento de Ejecución y medio año antes de que sea plenamente aplicable (el 1 de julio de 2020).

Ya antes de éstas, en España se promulgó el Real Decreto1036/2017, que regula “la utilización civil de las aeronaves pilotadas por control remoto” y modifica tanto el anterior Reglamento del Aire como el Reglamento de Circulación Aérea para incluir menciones expresas a los drones.

En futuros artículos ahondaremos más en el contenido de estas normas. Por el momento, es más interesante conocer de modo general cuáles son las características generales que rigen este sector. Existen varias cuestiones esenciales a las que hay que prestar atención.

Los requisitos del piloto

En primer lugar, debemos dejar claro que la normativa actual sólo impone la obligación de sacarse una licencia a quienes pretenden desempeñar una actividad profesional en esta materia. Deberán recibir una habilitación de la EASA, tener un seguro de responsabilidad civil específico para aeronaves y estar en posesión de los certificados de piloto de RPAS y el médico en vigor. Desde luego, aunque el piloto cumpla con todos estos requisitos seguirá necesitando distintos certificados y licencias para volar en determinados espacios. En esta infografía de ENAIRE se explica de forma resumida (apartado de profesionales):

https://www.enaire.es/servicios/drones/normas_basicas_para_volar_drones.

Sin embargo, esto no significa que el piloto recreativo no tenga obligaciones. Quienes quieran volar un dron por hobby deberán respetar las siguientes obligaciones:

  • No volar de noche o con condiciones meteorológicas adversas.
  • No volar a menos de 8 km de ningún aeropuerto o aeródromo.
  • No volar dentro de las zonas de espacio aéreo controlado o donde se realicen vuelos a baja altura.
  • No volar por encima de los 120 metros de altura.
  • No volar sobre edificios ni aglomeraciones de personas.
  • Tener siempre el dron a la vista cuando está en el aire. En este sentido, se permite que no sea el piloto, personalmente, quien tenga contacto visual directo con el aparato, pero deberá haber como mínimo un observador que sí lo tenga y que tenga contacto constante con el operador, ya sea mediante radio u otro medio. Es lo que se denomina “alcance visual aumentado” (o EVLOS).
  • Cumplir con la normativa de Protección de Datos, con especial mención a la toma de fotografías o vídeos de personas cuando no le esté permitido hacerlo.
  • Llevar un acompañante cuando se vuele un dron con gafas FPV.
  • Cuando el piloto sea menor de edad, deberá estar acompañado de un adulto.

No obstante, la normativa se flexibiliza un poco para los drones más pequeños, siempre que se cumplan ciertas condiciones.

Por ejemplo, se podrá volar sobre edificios y zonas en las que haya mucha gente siempre que el dron pese menos de 250 gramos y no supere los 20 metros de altura, y también se admite el vuelo nocturno cuando los drones pesen menos de 2 kg y vuelen por debajo de los 50 metros.

Finalmente, desde ENAIRE recomiendan tener un seguro a terceros, ya que el piloto deberá responder de los daños causados por su dron.

Los requisitos del dron

En este caso, la norma de referencia es el Reglamento Delegado (UE) 2019/945 de la Comisión, ya que recoge los requisitos técnicos y operativos que deben reunir los drones para poder volar de forma segura. En ella se distinguen los SANT (Sistemas de Aeronave No Tripulada) que pueden ser considerados como juguete conforme a la Directiva 2009/48/CE y los que se consideran aeronaves “con todas las de la ley”.

Los requisitos técnicos de los drones se encuentran regulados en los Anexos del Reglamento Delegado, dividiéndose en distintas clases, de la Clase 0 a la Clase 4, en función de características como su peso, velocidad máxima, altitud máxima de vuelo, alcance máximo de la señal o el diseño y fines del producto.

Por otro lado, el artículo 40 del citado Reglamento recoge cuáles serán los drones que deban recibir una certificación específica por sus especiales condiciones; requerirán dicho certificado los drones que cumplan con, al menos, una de las siguientes condiciones:

En cualquier caso, todos estos requisitos afectan más a los productores y comercializadores de drones. El usuario sólo deberá asegurarse de que el producto que adquiere tenga los logos y otras marcas que garanticen que cumple con la normativa europea.

Por último, el ya mencionado artículo 8 del Real Decreto 1036/2017 exige que los drones (también los de uso no profesional) cuenten con una placa identificativa ignífuga en la que consten tanto los detalles de su fabricación como los de su operador o piloto, y el artículo 16 refuerza la obligación que tiene éste de garantizar un mantenimiento apropiado del dron.[JS1] 

¿Dónde se puede volar un dron de forma segura?

Las condiciones generales de la utilización del espacio aéreo en este ámbito están reguladas en el Capítulo III del Real Decreto, y realmente se centra en muchas de las cuestiones que ya hemos comentado en el apartado relativo a los requisitos del vuelo legal.

Para quien tenga curiosidad por conocer las zonas donde se puede volar, en la página www.drones.enaire.es se puede consultar un mapa interactivo en el que figuran los lugares en los que no está permitido el vuelo de drones tanto para uso recreativo como profesional. En él se distinguen distintas “capas”, que se refieren a distintos límites relacionados con el vuelo de aeronaves pilotadas por control remoto, y que van desde prohibiciones totales a restricciones únicamente al vuelo fotográfico.

Además, en caso de que se quiera profundizar más en el mundo de los drones y su regulación, recomendamos la página web de la EASA (https://www.easa.europa.eu) para todo lo relacionado con la normativa europea, ya que en sus infografías, vídeos y guías se encuentra todo el material actualizado que se pueda necesitar; para ahondar en la normativa relevante en el ámbito español, la principal fuente de información oficial la encontramos en la Agencia Española de Seguridad Aérea (www.seguridadaerea.gob.es), junto con la web de ENAIRE (www.enaire.es).

D. Jorge Somolinos
Consultor Legal Junior

27
Feb

Análisis a la Ley de Ciberseguridad ¿Qué supone su aplicación?

La denominada Ley de Ciberseguridad tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.

¿A qué entidades se aplica la Ley de Ciberseguridad?

  1. Aquellas que presten servicios esenciales dependientes de las redes y sistemas de informacióncomprendidos en los sectores estratégicos definidos en la Ley 8/2011, de 28 de abril.
  2. Aquellas que presenten servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
  3. Operadores de servicios esenciales establecidos en España, además de aquellos que ofrezcan servicios esenciales a través de un establecimiento permanente situado en España.
  4. Proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea,así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148.

¿A qué entidades NO se aplica la Ley de Ciberseguridad?

  1. Operadores de redes y servicios de comunicaciones electrónicas y prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
  2. Proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas.

¿Qué supone la aplicación de la Ley de Ciberseguridad?

1. Obligaciones de seguridad

  1. Adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a la Ley de Ciberseguridad. Además, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
  2. Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente el responsable de la seguridad de la información.
  3. Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta los avances técnicos y los siguientes aspectos: la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

2. Obligación de notificar y resolver incidentes

Se impone la obligación de notificar a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en los servicios. En cuanto a los proveedores de servicios digitales, esta obligación se aplicará cuando se tenga acceso a la información necesaria para valorar el impacto de un incidente. También se prevé la posibilidad de realizar notificaciones voluntarias de aquellas entidades que presten servicios esenciales pero no les sea de aplicación la Ley de Ciberseguridad, que obligarán a la entidad que las efectúe a resolver el incidente.

La importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:

  1. El número de usuarios afectados por la perturbación del servicio esencial.
  2. La duración del incidente.
  3. La extensión o áreas geográficas afectadas por el incidente.
  4. El grado de perturbación del funcionamiento del servicio.
  5. El alcance del impacto en actividades económicas y sociales cruciales.
  6. La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.
  7. El daño a la reputación.

Es importante recordar que esta obligación no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito. Por otra parte, las notificaciones no sujetarán a la entidad que las efectúe a una mayor responsabilidad, y sus empleados y el personal no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo que se acredite mala fe en su actuación.

La autoridad competente podrá decidir informar de modo directo al público o a terceros potencialmente interesados sobre el incidente, o exigir a las entidades que lo hagan cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en beneficio del interés público.

Existe obligación de resolver los incidentes de seguridad y de solicitar ayuda especializada cuando no puedan resolver por sí mismos los incidentes (art. 28.1).

Si la notificación de incidentes o su gestión, análisis o resolución requiere comunicar datos personales, su tratamiento se restringirá a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relación con la finalidad, de las indicadas, que se persiga en cada caso.

3. Supervisión

Las autoridades competentes podrán requerir alosoperadores de servicios esenciales que faciliten la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad. También se puede requerir auditar o exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente. Posteriormente, la autoridad competente podrá requerir al operador que subsane las deficiencias detectadas e indicarle cómo debe hacerlo (art. 32.2).

La autoridad competente solo inspeccionará el cumplimiento de estas obligaciones de los servicios digitales cuando tenga noticia de algún incumplimiento, incluyendo por petición razonada de otros órganos o denuncia (art. 33.1).

¿Qué sucede si se incumple lo previsto en la Ley de Ciberseguridad? Régimen sancionador

Los responsables serán los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de la Ley de Ciberseguridad.

Son infracciones muy graves, cuya comisión implica una sanción de multa de 500.001 hasta 1.000.000 euros:

  1. La falta de adopción de medidas para subsanar las deficiencias detectadas (artículos 32.2 o 33.1) cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y no se hubieran atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
  2. El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos (a partir del segundo incumplimiento) en el servicio.
  3. No tomar las medidas necesarias para resolver los incidentes (artículo 28.1) cuando éstos tengan un efecto perturbador significativo.

Son infracciones graves cuya comisión implica una sanción de multa de 100.001 hasta 500.000 euros:

  1. El incumplimiento de las instrucciones referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.
  2. La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.
  3. El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.
  4. La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.
  5. Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
  6. Poner obstáculos a la realización de auditorías por la autoridad competente.

Son infracciones leves cuya comisión implica una sanción de multa de hasta 100.000 euros o amonestación:

  1. El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.
  2. La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.
  3. No facilitar la información que sea requerida sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.
  4. No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.
  5. No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.
  6. La falta de notificación de los sucesos o incidencias para los que exista obligación de notificación en virtud del del artículo 19.2.
  7. No completar la información que debe reunir la notificación de incidentes o no remitir el informe justificativo sobre la imposibilidad de reunir la información.
  8. No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente.

Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el BOE y en el sitio de Internet de la autoridad competente.

Las sanciones se establecerán teniendo en cuenta los siguientes criterios:

  1. El grado de culpabilidad o la existencia de intencionalidad.
  2. La continuidad o persistencia en la conducta infractora.
  3. La naturaleza y cuantía de los perjuicios causados.
  4. La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
  5. El número de usuarios afectados.
  6. El volumen de facturación del responsable.
  7. La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
  8. Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.

El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

  1. Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados anteriormente.
  2. Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
  3. Cuando el infractor haya reconocido espontáneamente su culpabilidad.

Se podrá acordar, en lugar de iniciar el procedimiento sancionador, apercibir al sujeto responsable a fin de que, en el plazo que se determine, acredite la adopción de las medidas correctoras que resulten pertinentes, cuando concurran los siguientes presupuestos: que los hechos fuesen constitutivos de infracción leve o grave o que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de las infracciones previstas.

Si el apercibimiento no fuera atendido en el plazo determinado, procederá la apertura del procedimiento sancionador. NO podrán ser objeto de apercibimiento las infracciones leves previstas en los apartados c, d y e, así como la infracción grave por proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.

Por otra parte, NO se impondrán sanciones cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido, o cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.

Actualmente, estamos a la espera del desarrollo reglamentario de la Ley de Ciberseguridad que facilite su aplicación y detalle, entre otros, las medidas necesarias para el cumplimiento de las obligaciones que impone.

Dña. Alina Nastasache

23
Feb

Implicaciones jurídicas de la tecnología Blockchain

Los días 30 de marzo, 1 y 2 de abril, D. Fernando Mª Ramos Suárez, Abogado y Socio Director de DPO&It Law, impartirá un el curso «IMPLICACIONES JURÍDICAS DE LA TECNOLOGÍA BLOCKCHAIN» organizado por el Colegio de Abogados de Madrid.

Descripción

El curso está dedicado a la comprensión del funcionamiento y naturaleza jurídica de la tecnología Blockchain, los aspectos clave del Bitcoin y otros cripto-activos, la financiación de proyectos tecnológicos mediante la Oferta Inicial de Criptomonedas (ICOs), las Organizaciones Autónomas Descentralizadas (DAO) y los Contratos Inteligentes (Smart Contracts).

Objetivo

Comprender a nivel teórico y práctico del funcionamiento de la tecnología Blockchain y el ecosistema de las Criptomonedas, su naturaleza e implicaciones desde un punto de vista jurídico, su eficacia probatoria, consideración como medio de pago, regulación en
Protección de Datos, Prevención del Blanqueo de Capitales, Fiscal, Contable.

Fechas y lugar

30 de marzo, 1 y 2 de abril de 2020, de 12 h. a 15 h, en el Centro de Estudios (C/ Serrano, nº 11-1ª planta) – aula 4

Programa

Se trataría de un curso de 9 horas o tres sesiones de tres horas.

DIA 1 (30 de marzo 2020 12:00 a 15:00 horas)

  1. LA DIGITALIZACIÓN Y LA TECNOLOGÍA
    1. La tecnología Exponencial y la Digitalización
    2. La digitalización del sector financiero
  2. LA REGULACIÓN DE LAS REDES DESCENTRALIZADA
    1. La tecnología Peer2Peer
    2. La regulación de la tecnología Peer2Peer
  3. ASPECTOS CLAVES DEL BITCOIN.
    1. La criptografía: métodos clásicos, era digital, simétrica, asimétrica, clave pública, clave privada, funciones hash, Merkle tree.
    2. El protocolo de comunicación
    3. Nodos
    4. Los Monederos
    5. Las transacciones
    6. Los Mineros
    7. Prueba de trabajo
    8. Consenso
    9. Forks
    10. Los Mercados de Compra y Venta de Monedas Virtuales.
  4. LA REGULACIÓN DE LAS CRIPTOMONEDAS.
    1. Naturaleza jurídica.
    2. Configuración como dinero electrónico o medio de pago
    3. Normativa de Prevención de Blanqueo de Capitales aplicable a las Monedas Virtuales.
    4. El bitcoin desde un punto de vista Fiscal y Contable.
    5. La Facturación de servicios con Monedas Virtuales.

DIA 2 (1 de abril de 12:00 a 15:00 horas).

  1. LAS INITIAL COIN OFFERING
    1. El origen de las ICOs.
    2. Naturaleza jurídica de las ICOs.
    3. El Crowdfounding.
    4. Securities Versus Utilities.
    5. Posicionamiento de la CNMV y el Banco de España.
    6. Las Fases de una ICO.
    7. El Fraude en las ICO.
    8. El trading en las ICOs.
    9. The Coin Governance System.       
  2. LABORATORIO JURÍDICO
    1. Creación de un Wallet en la Blockchain de Ethereum.
    2. Uso de Metamask o Myether wallet.
    3. Compraventas de ICOs en distingos mercados: Bittrex, Bancor, Eher Delta.
    4. Uso de Myether Wallet para la participación en una ICO.
    5. Uso de Myether wallet para el generación de pruebas en la Blockchain de Ethereum.

DIA 3 (2 de abril de 12:00 a 15:00 horas).

  1. LA TECNOLOGÍA BLOCKCHAIN vs SMART CONTRACTS
    1. El concepto de Smart Contract.
    2. El concepto de Smart Property o propiedad inteligente.
    3. El concepto de la tecnología Blockchain.
    4. La BlockChain de Ethereum.
    5. El test BlockChain.
    6. La Red Alastria.
    7. Implicaciones jurídicas de la Tecnología.
      1. Protección jurídica de la Blockchain.
      2. Implicaciones en Protección de datos.
      3. Implicaciones en Prevención del Blanqueo de Capitales.
      4. Implicaciones en materia Fiscal y Contable.
      5. Eficacia Probatoria de la Blockchain.
  2. LAS ORGANIZACIONES AUTÓNOMAS DESCENTRALIZADAS (DAO)
    1. El Origen: The DAO.
    2. Aragon.one.
    3. The DAO: El ataque.
    4. Implicaciones jurídicas de las DAO.
  3. LABORATORIO JURÍDICO
    1. Creación de un Wallet en PC, Móvil y en proveedor de servicios.
    2. Realización de una Compra de Bitcoins y Criptomonedas en los principales mercados de referencia: Kraken, Coinbase, Bittrex, Bit2me, Binance …
    3. Transferencias de Bitcoins a través de distintos wallets.
  1.  
  1.  
  •  


9
Feb

Participamos en el curso Introducción al Blockchain del ICAM

El próximo día 12 de febrero, D. Gonzalo de la Cruz Larregla, Asociado Senior de DPO&It Law, participará en una nueva edición del curso «INTRODUCCIÓN A BLOCKCHAIN PARA EL MUNDO LEGAL» organizado por el Colegio de Abogados de Madrid, donde tendrá la ocasión de exponer las Implicaciones jurídicas de la tecnología blockchain.

DESCRIPCIÓN DEL CURSO

Introducción a la tecnología Blockchain y las criptomonedas más importantes como es Ethereum, Bitcoin, Ripple, etc incluyendo el planteamiento de estos proyectos, cómo es el desarrollo de aplicaciones, y en donde se encuentra actualmente la legislación apuntando en cuestiones tan relevantes como ICOs, fiscalidad, gestión de DAOS, etc.

OBJETIVOS

Blockchain es la siguiente revolución en la informática, y será clave para la modernización de los procesos de negocio y en la eliminación de intermediarios que no aportan valor en estos. No obstante, a pesar de ser una enorme promesa, todavía existe un enorme desconocimiento general de sus posibilidades y hacía donde se articulará el futuro y en donde los profesionales del mundo legal tendrán un papel muy importante en la modelización de los futuros contratos inteligentes que regirán estos nuevos procesos.

PROGRAMA

  1. INTRODUCCIÓN
    • Tecnologías Blockchain.
    • Aplicación de las tecnologías.
    • Confianza y Transacciones.
    • Gestión de Proyectos de Tecnología Disruptiva.
    • Un nuevo panorama desde el punto de vista legal.
  2. TECNOLOGIA
    • Fundamentos Básicos de programación para no programadores.
    • Criptografía para novatos
    • Introducción a Bitcoin.
    • Introducción a Ethereum.
    • Otras criptos importantes
    • Aspectos legales aplicables al mundo de las criptos 2
  3. NUEVOS MODELOS
    • Introducción a los modelos con blockchain.
    • Usos alternativos de Blockchain.
    • Nuevos modelos de financiación: ICOs.
    • Nuevos modelos organizativos: DAOs.
    • Aspectos Legales de los nuevos modelos organizativos

Más Información aquí.

9
Feb

Participamos en el Comité legal de Alastria sobre Protección de Datos y Blockchain permisionada

En su calidad de Socio Fundador, DPO&it law acudió el pasado 23 de enero al Comité Legal de Alastria proponiendo soluciones al conflicto existente entre la implantación de la tecnología Blockchain y el cumplimiento del RGPD en un modelo de cadena de bloques privada o permisionada.

En esta ocasión, al Comité Legal acudieron en representación de DPO&it law nuestros compañeros Fernando María Ramos Suárez (Socio Director), Gonzalo de la Cruz (Abogado Asociado Senior) y Alina Nastasache (Abogada TIC).

4
Feb

¿Existe incumplimiento de contrato en la Serie de TV La Casa de Papel?

La Sección 3ª del Juzgado de lo Mercantil de Madrid ha publicado con fecha 13/11/2019, la Sentencia Nº 392/2019, en la que se desestima la demanda interpuesta por Globo Media a Álex Pina y su productora, La Raspa Producciones, por un supuesto incumplimiento de contrato.

Glomedia demanda a Álex Pina y La Raspa por incumplimiento del contrato firmado en abril de 2016 al no presentarles con anterioridad el proyecto de la serie de TV “La Casa de Papel” y empezar a preparar para Atresmedia la mencionada Serie. Según el contrato del 2016 Globo Media incluía una cláusula de prioridad o preferencia sobre las creaciones de Álex Pina.

Álex Pina es un guionista y productor español que ha mantenido con Globo Media una relación profesional durante años, firmando varios contratos desde el año 1998 hasta el año 2016, siendo el objeto de estos la elaboración, desarrollo, producción y coordinación de proyectos audiovisuales.

En el último contrato firmado por las partes, el 21 de abril de 2016, con el mismo objeto de producción ejecutiva de proyectos audiovisuales, se incluía la posibilidad de que terceras personas, trabajadores de la productora La Raspa, pudieran participar como guionistas o productores, no teniendo que ser Álex Pina quien realizara esos trabajos personalmente. Además, se estableció un régimen de prioridad y preferencia para Globomedia sobre las creaciones de Álex Pina y su productora, La Raspa.

Sin embargo, el demandado, con una nueva productora creada el 13 de julio de 2016, , creó otro proyecto para Atresmedia, La Casa de Papel (originalmente Los Desahuciados), sin presentarlo antes a Globo Media, a pesar del régimen de prioridad y preferencia establecido en el contrato firmado unos meses antes.

Como establece la sentencia, es obvio que el proyecto otorgado a Atresmedia fue concebido y preparado durante la vigencia del contrato, por lo que la falta de ofrecimiento constituiría un incumplimiento del contrato de prestación de servicios, si atendemos a las cláusulas de prioridad y preferencia incluidas en el mismo.

Sin embargo, el juzgado de lo Mercantil hace una interpretación de la cláusula de prioridad y preferencia del contrato desestimando las pretensiones de Globomedia establecidas en la demanda.

El último contrato firmado con Globomedia, establecía que Álex Pina y sus productoras podían utilizar a terceras personas para prestar sus servicios, incluso simultáneamente a otros operadores, lo que permitiría trabajar en otros proyectos al demandado, aunque fuera para otros operadores. Por otra parte, el Juez establece que la prioridad o preferencia establecida en el contrato no significa exclusividad, como sí podían incluir contratos anteriores.  La Sentencia establece que “prioritario” no significa que se debieran presentar los proyectos a Globo Media en primer lugar, pudiendo presentarlos a otros tras el rechazo de ésta, si no que “prioritario” debe referirse a la distribución del tiempo y atención necesarios para realizar sus proyectos.

Por lo tanto, dada la interpretación del juez sobre la prioridad, La Raspa no tenía obligación de someter a Globo Media la posibilidad de asumir todos sus proyectos, por lo que no puede considerarse que se produjera un incumplimiento contractual por el hecho de ofrecer a Atresmedia la producción audiovisual de La Casa de Papel.

Esta sentencia, contra la que cabe recurso, pone de manifiesto la necesidad de redactar unas cláusulas claras y precisas en los contratos, que eviten una interpretación contraria a los intereses de la productora.

31
Ene

Participamos en el Curso Superior de Protección de Datos de la ETJ Law & Business School

Durante el próximo 2 de abril, participaremos con la ponencia «Los sujetos intervinientes: deberes y responsabilidad. Régimen de Infracciones y Sanciones» en el Curso Superior de Protección de Datos de la Escuela de Técnica Jurídica Law & Business School, perteneciente a la Universidad Rey Juan Carlos.

Dentro de la ponencia que impartirá Fernando Ramos Suárez, Socio Fundador en DPO&itlaw, se abordarán temas como:

  • El responsable del tratamiento: posición, deberes, responsabilidad.
  • El encargado del tratamiento: contrato de encargado del tratamiento y posibilidad de subcontratación
  • Usuarios: deberes de los usuarios.
  • Régimen de infracciones y sanciones.

 

Más información:

www.etj.es

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies