Una nueva forma de ver la protección de datos

El nuevo Reglamento Europeo cambia radicalmente el enfoque de la protección de datos que teníamos hasta el momento. A diferencia de los países de tradición anglosajona, en España cuesta asumir esta nueva forma de regulación que parte de la base de que el responsable debe aplicar las medidas oportunas y eficaces, y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento.

 

Ya no se determinan las medidas a aplicar como en la normativa anterior, sino que se deberán determinar teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. Por este motivo será necesario realizar un análisis de riesgos previo.

 

El Sistema de Gestión de Protección de Datos se debe basar en los principios de protección de datos desde el diseño y por defecto. Esto implica que habrá que tener en consideración la privacidad de los interesados respecto de los cuales haya obtenido datos, durante toda “la vida del dato”, es decir, desde su obtención hasta su efectiva destrucción, pasando por todas las fases del tratamiento. El principal objetivo será garantizar que, por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos para los que fueron recabados.

 

La normativa recoge un tercer principio básico, el de responsabilidad proactiva: los responsables de tratamiento no tienen únicamente el deber de cumplir con la normativa, sino que además deben ser capaces de demostrarlo.

 

Si bien es cierto que esta nueva forma de regular nos da un margen mucho más amplio a la hora de determinar las medidas adecuadas para proteger los datos personales, también lo es que nos encontramos ante un escenario de mayor incertidumbre.

Un fallo obliga a suspender la firma digital de DNI: cómo saber si te afecta y qué hacer

La Policía ha desactivado la función de certificado digital de los DNI electrónicos que fueron expedidos desde abril desde 2015 para reforzar su seguridad, después de que un estudio de una universidad checa haya alertado de su posible vulnerabilidad. La desactivación es temporal, pero es la primera vez que se toma esta medida. ¿Cómo saber si te afecta y qué debes hacer si es así?
El posible fallo está siendo analizado por el Organismo de Certificación español, según informa la Dirección General de la Policía, que ha comenzado a modificar las funcionalidades de esos documentos para garantizar “la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España”.
¿Qué significa que la firma digital ha sido suspendida? Básicamente que no podrás realizar los trámites digitales que hacías hasta ahora para autorizar o firmar documentos de forma telemática. Ese DNI sigue siendo válido como método de identificación y como documento de viaje para viajar a los países de la UE.: nada cambia en ese frente. Pero si eres de los que por trabajo o cualquier otra actividad usabas con frecuencia las funciones de certificado digital, lo mejor será que lo renueves ahora mismo. Los nuevos DNI expedidos no tendrán el fallo de seguridad que presentan los expedidos a partir de abril de 2015.
Según la Policía, hasta que en “fechas próximas” no se implementen las soluciones técnicas necesarias, se desactivará la funcionalidad de los certificados digitales en los actuales DNIe. Cuando estén disponibles, serán los titulares quienes tengan que ir directamente a actualizarlos en las Oficinas de Documentación.
Estonia avisó del riesgo el pasado septiembre cuando aseguró que 750.000 de sus DNI electrónicos podían ser vulnerables a ataques
El problema de seguridad fue detectado recientemente y reside en un código usado para las claves de cifrado utilizado en muchos sistemas de certificación digital, como documentos de identificación nacional de múltiples países. Estonia avisó del riesgo el pasado septiembre cuando aseguró que 750.000 de sus DNI electrónicos podían ser vulnerables a ataques. El país cerró la base de datos de claves públicas del documento para evitar problemas. Ahora ha sido España la que ha tenido que tomar medidas.
El fallo podría, por ejemplo, permitir a ‘hackers’ robar la identidad de cualquier ciudadano con un DNI afectado, espiar los documentos que ha firmado con él o infectar con ‘malware’ software de idenficación y certificación digital. Ahora, de momento, y de forma temporal, el fallo está atajado en nuestro país. Está por ver si la medida se ha tomado demasiado tarde.

UBER despide a su jefe de seguridad, tras reconocer el robo de datos de 57 millones de clientes

En octubre del año pasado un grupo de hackers logró acceder a la información de más de 57 millones de clientes y conductores de Uber. Entre los datos obtenidos figuraban los correos electrónicos, los números de teléfonos, las direcciones postales o los números del carnet de conducir en el caso de los trabajadores del conocido servicio de transporte.
Hasta ayer, nadie supo de la existencia de este ataque y la razón es que Uber pagó para que no se conociera. En el punto de mira de las autoridades estadounidenses por varios escándalos relativos al uso de datos personales de sus clientes, los entonces responsables de la compañía -con su fundador, Travis Kalanick, al frente- prefirieron ceder a las demandas de los atacantes antes que añadir un grave incidente de seguridad a la negativa cobertura mediática que la compañía recibía ya esos días.
Uber pagó 100.000 dólares por el silencio y disfrazó la cantidad como una “recompensa” por descubrir un agujero de seguridad. Estas recompensas son habituales entre las grandes empresas tecnológicas. Funcionan como un incentivo para que los hackers comuniquen a las compañías los fallos de seguridad que han pasado desapercibidos en vez de venderlos al mejor postor en diferentes foros de seguridad. Las compañías pueden trabajar así en un parche que solucione el problema antes de hacerlo público.
Uber, en cualquier caso, no contaba con uno de estos programas de recompensas en el momento del ataque y a pesar de que está obligada a publicar vulnerabilidades de seguridad ante los organismos estadounidenses de protección de datos, jamás reportó el suceso.
Los hackers consiguieron acceso a los datos gracias a un despiste de los ingenieros de la compañía, que dejaron las credenciales de acceso a sus bases de datos -alojadas en la infraestructura de Amazon Web Services- en el código fuente de la aplicación.
Los atacantes sólo tuvieron que ingeniárselas para entrar en el repositorio de este código, alojado en el popular servicio GitHub y usar esas credenciales para acceder a los datos. Uber asegura que los números de tarjetas de crédito o los datos de los viajes realizados por los clientes no se han visto afectados.
El fallo le ha costado el puesto al responsable de seguridad de al compañía, Joe Sullivan, que se unió a Uber en el año 2015. Su gestión ha estado plagada de errores y decisiones polémicas que han afectado de forma severa a la imagen pública de la compañía y que desde el mes pasado son el foco de atención de la junta directiva de la empresa.
El nuevo presidente de la compañía, Dara Khosrowshahi, tendrá que hacer frente ahora a una investigación formal por parte de la fiscalía del estado de Nueva York anunciada ayer tras conocerse los
detalles del ataque y una demanda colectiva que un usuario del servicio ha puesto ya en marcha. “Nada de esto tendría que haber ocurrido y no voy a inventar excusas para justificarlo”, dijo ayer Khosrowshahi.

Una trabajadora gana el pulso a su empresa en el control de su correo electrónico

El Juzgado de lo social nº 19 de Madrid ha declarado la nulidad de un despido efectuado por la empresa Amadeus Soluciones tecnológicas, tras responder a las preguntas que el Tribunal Europeo de Derechos Humanos calificó en una reciente sentencia como test para comprobar la corrección de las actuaciones empresariales.
En este caso, las pruebas que fundamentaban el despido de la trabajadora por parte de la empresa, eran fruto de la monitorización del uso que hacía del portátil que la propia compañía le había proporcionado para realizar su trabajo. Un control que la empresa había llevado hasta el punto de acceder al contenido de los correos personales que la empleada enviaba, eso sí desde su correo profesional. Dado el carácter invasivo de dicha vigilancia, el juez ha considerado que era necesario evaluar su proporcionalidad e idoneidad, para así resolver si se había producido o no una vulneración de los derechos fundamentales a la intimidad y al secreto de las comunicaciones de la trabajadora despedida.
Para ello, en la sentencia se responde a las preguntas clave que el Tribunal de Estrasburgo en su sentencia de 5 de septiembre de 2017 – caso B?rbulescu contra Rumanía – estableció para verificar en cada caso si las medidas de vigilancia utilizadas por una empresa resultan adecuadas respecto al fin que pretende. Y es que, como bien explica Fe Quiñones, abogada laboralista de Javaloyes Legal que ha llevado este pleito, “la jurisprudencia de este Tribunal es directamente aplicable a nuestro ordenamiento jurídico, hasta el punto de que la Constitución Española debe interpretarse conforme a dicha jurisprudencia”.
La primera de esas cuestiones a la que hay que contestar, es si el trabajador ha sido informado de que la empresa puede tomar medidas para supervisar sus comunicaciones. En segundo lugar, cuál ha sido el alcance de ese control, es decir, si solo se verifica el flujo de comunicaciones o también se ha entrado en el contenido de las mismas. Así como si la empresa contaba con argumentos legítimos que justificaran la vigilancia o si podía haber utilizado otros medios de control menos intrusivos. Además, también es necesario valorar las consecuencias que esa supervisión ha supuesto para el empleado, es decir, si los resultados de la vigilancia se usaron efectivamente para alcanzar el objetivo que motivo la medida o no. Y por último, comprobar si se dieron las garantías adecuadas para evitar que la empresa tuviera acceso al contenido de las comunicaciones sin avisar al empleado de dicha eventualidad.
Analizando uno por uno estos aspectos, el juez ha concluido que en este caso la medida de monitorización del ordenador de la trabajadora en la forma en que se hizo no estaba justificada. En su argumentación mantiene que resultó desproporcionada, lesionando por tanto sus derechos a la intimidad y al secreto de sus comunicaciones.
En la carta de despido la empresa explicó que esta medida se tomó porque la empleada se negaba a hacer las tareas encomendadas, alegando que no tenía tiempo. De tal manera que la empresa lo que pretendía era determinar en qué empleaba su jornada laboral, cuál era su ocupación y si ésta era lo suficientemente completa como para no poder dedicar parte de su jornada a esas nuevas tareas que la compañía le había asignado. En opinión del juez del caso, para lograr ese objetivo era totalmente innecesario y desproporcionado conocer el contenido y los destinarios de sus correos personales, los cuales entraban dentro de la expectativa de intimidad de la trabajadora a pesar de haber sido enviados desde la dirección de correo electrónico del trabajo. Ni siquiera el hecho de que la compañía grabara lo que la empleada hacía en su ordenador y después lo visionara en una reproducción rápida, es una garantía de que el control no resultó invasivo, ya que solo se trataba de una forma de revisión más ágil.
Es necesario en este punto destacar, como lo hace la sentencia, que la política de uso aceptable de los sistemas de información, internet y correo electrónico establecida por la empresa, si bien indicaba que debían usarse para fines profesionales, añadía determinadas excepciones. En otras palabras, limitaba el uso de estas herramientas de trabajo para fines personales a lo que fuera estrictamente “necesario, mínimo y razonable”. A pesar de ello, la resolución considera evidente que Amadeus se extralimitó en la monitorización del equipo de la trabajadora, ya que como apunta Fe Quiñones, llegaron “hasta el punto de tener acceso al contenido de correos electrónicos de carácter personal, enviados a familiares y a su asesora legal”.
En definitiva, la sentencia resuelve que la actuación de la empresa no supera los criterios establecidos por el tribunal de Estrasburgo y por tanto supone una lesión de derechos fundamentales lo que a su vez provoca que el resultado de esa monitorización no pueda usarse como prueba para justificar el despido. “Una prueba que se obtiene con vulneración de derechos fundamentales, no solamente significa que dicha prueba no se puede utilizar en el proceso, sino que convierte el despido en nulo, como aquí ha ocurrido”, así lo explica la abogada Fe Quiñones.

Guía sobre la aplicación directa del Reglamento General de Protección de Datos

El pasado 24 de enero la Comisión Europea publicó (GDPR) a través de una Comunicación. El período de implementación de 2 años del GPDR está llegando a su fin y se aplicará a partir del 25 de mayo de 2018.

Aquí podréis ver la guía en cuestión: data-protection-communication-com.2018.43.3_en189871097

Entrevista en capital radio con José Helguero con motivo del día internacional de la protección de datos

El 28 de enero día tiene su origen en el año 2006 y se trata de una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea que conmemora la aprobación del Convenio 108 del Consejo de Europa dicho día en 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

La celebración de dicho día tiene como objetivo concienciar sobre el derecho a la protección de datos, promover las mejores prácticas y sensibilizar acerca de cómo una mala utilización de los datos e información personal puede acarrear riesgos, e incluso llegar a constituir un delito o facilitar su comisión por parte de terceras personas.

Este año el Día de Protección de Datos ha tomado un significado especial, ya que el Parlamento Europeo aprobó el año pasado el Reglamento General de Protección de Datos, que protege los datos de los ciudadanos de la UE, y será aplicable el 25 de mayo de 2018.

En la entrevista José Helguero habló sobre el impacto que el Reglamento supone para las empresas y animó a llevar cabo los necesarios procesos de adaptación a la nueva normativa.


HELAS CONSULTORES
, empresa de consultoría española, líder en Consultoría y Auditoría que centra su actividad en la prestación de servicios integrales encaminados al cumplimiento de las actuales legislaciones sobre Sistemas de Gestión e Información y, especialmente, en los ámbitos de Protección de Datos de Carácter Personal, Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, Responsabilidad Penal de la Persona Jurídica, Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, Seguridad de la Información y Derecho TIC, Gestión de la Seguridad de la Información, Gestión de la Continuidad de Negocio, Gestión de la Seguridad TIC, Esquema Nacional de Seguridad y Esquema Nacional de Interoperabilidad.

Para escuchar la entrevista completa con José Helguero, Director General de HELAS Consultores:

LA AEPD presenta nuevos materiales para ayudar a la PYMES a cumplir con el reglamento europeo de protección de datos

El Reglamento europeo de Protección de Datos entró en vigor el 25 de mayo de 2016 y será de obligatorio cumplimiento el 25 de mayo de 2018

Los nuevos materiales incluyen una ‘Guía del Reglamento para responsables’, ‘Directrices para elaborar contratos entre responsables y encargados’, y una ‘Guía para el cumplimiento del deber de informar’, todos ellos incluidos en una nueva sección web específica

Los recursos han sido elaborados por la Agencia Española, la Autoridad Catalana y la Agencia Vasca de Protección de Datos

Madrid, 26 de enero de 2017. La Agencia Española de Protección de Datos (AEPD) ha publicado hoy nuevos materiales y recursos con los que facilitar a las pequeñas y medianas empresas su adaptación al Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2016 y comenzará a aplicarse el 25 de mayo de 2018. Los materiales incluyen una ‘’Guía del Reglamento para responsables de tratamiento’’, ‘’Directrices para elaborar contratos entre responsables y encargados’’ y una ‘’Guía para el cumplimiento del deber de informar’’, todos ellos elaborados junto a la Autoridad Catalana y la Agencia Vasca de Protección de Datos.

La Agencia, en su faceta preventiva, quiere facilitar que, durante este periodo transitorio, las pymes conozcan el impacto que va a tener el Reglamento en la forma en la que tratan datos para que puedan adaptar sus procesos a la nueva normativa, ya que esta supone un cambio en el modelo de cumplimiento y exige un compromiso más activo. El objetivo es ofrecer la mayor información posible a las pymes, que suponen el 99% del tejido empresarial español. Los materiales presentados hoy son los siguientes:

– Guía del Reglamento General de Protección de Datos para responsables de tratamiento. El documento recoge las principales cuestiones que las organizaciones deben tener en cuenta para cumplir con las obligaciones recogidas en el Reglamento. La Guía incluye en su parte final una Lista de verificación con la que las entidades pueden determinar si han dado los pasos necesarios para estar en condiciones de hacer una correcta aplicación del RGPD. Guía del Reglamento General de Protección de Datos para responsables de tratamiento

Algunas de las recomendaciones que se ofrecen en la Guía pueden ponerse en práctica de forma casi inmediata, porque tienen que ver con actuaciones que debieran iniciarse ya durante este periodo transitorio. En otros casos, esas recomendaciones o propuestas solo deberán tenerse en cuenta en el momento en que el RGPD sea de aplicación, aunque se han incluido para fomentar que las entidades puedan ir anticipándose al momento en el que las medidas sean de obligado cumplimiento.

-Directrices para la elaboración de contratos entre responsables y encargados de tratamiento . El RGPD establece que las relaciones entre el responsable y el encargado deben formalizarse en un contrato o acto jurídico que les vincule, regulando de forma minuciosa su contenido mínimo. Estas directrices se han realizado con la finalidad de que los contratos reflejen todos los contenidos recogidos en el Reglamento.

– Guía para el cumplimiento del deber de informar. El RGPD concede gran importancia a la información que debe proporcionarse a los ciudadanos cuyos datos van a tratarse, estableciendo una lista exhaustiva de los contenidos que deben ser expuestos de forma clara y accesible. Esta Guía ofrece recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información.

Estos recursos están incluidos en una nueva sección web específica sobre el Reglamento, que también incorpora otros elementos que pueden resultar útiles para que las entidades puedan adaptarse de forma paulatina al RGPD. La AEPD, por otro lado, se encuentra preparando una herramienta de autoevaluación online dirigida a favorecer que pequeñas y medianas empresas puedan valorar de forma rápida y sencilla si sólo realizan tratamientos que en principio plantean un bajo o muy bajo riesgo para los derechos de los interesados, y ofrecerles el acceso a las medidas de cumplimiento que el Reglamento Europeo exige en estos casos.

Helas Consultores considera clave la fase de análisis y evaluación de riesgos en un plan de compliance

Tras la introducción de la responsabilidad penal de las personas jurídicas, en la última reforma del Código Penal, todas las empresas de cualquier actividad y tamaño deben que desarrollar estrategias y proyectos de cumplimiento normativo o compliance para protegerse de la posible responsabilidad penal, así como para minimizar el consiguiente riesgo reputacional y económico al que se podrían enfrentar.

Las empresas están asumiendo las consecuencias que pueden llegar a tener por los delitos cometidos por actividades de sus directivos y empleados. Está siendo un proceso lento quizás por el desconocimiento de las posibles y graves implicaciones que pueden tener en caso de un procedimiento penal.

Las organizaciones que si han tomado conciencia de la posible responsabilidad penal de la persona jurídica están desarrollando planes de Compliance con distintas metodologías y enfoques.

Nos vamos a centrar en una de las primeras etapas de estos planes como es el análisis y evaluación de riesgos en la organización, tarea muy importante en el diseño y la arquitectura de un modelo de Compliance en las empresas.

Una práctica muy habitual que se está extendiendo en las empresas es centrar el análisis únicamente en los aspectos legales. A saber, se identifican las actividades que realizan los  empleados o directivos, los posibles delitos en los que pueden incurrir y las consecuencias que conllevarían, sanción o pena. Este enfoque muy jurista no tiene en cuenta la probabilidad de que ese riesgo se materialice, el impacto que dicho riesgo supone para la organización o los controles ya existentes e implantados en la organización.

El objetivo principal de esta etapa clave para un adecuado modelo de Compliance es identificar, analizar y evaluar los riesgos en la organización, determinando los procesos de negocio afectados y las actividades o áreas más vulnerables dentro de la organización.

El método a aplicar debe estar basado en el análisis de los factores más probables y graves, de acuerdo a una serie de fuentes, como son; los riesgos identificados, los antecedentes y casos relevantes habidos en la organización, la normativa o legislación de aplicación, etc. Adicionalmente, se tienen en cuenta, una serie de criterios que tratan de objetivizar el proceso de análisis. Entre otros; la complejidad de la estructura de la organización, las líneas de negocio afectadas por el posible riesgo, el alcance territorial, la propia cultura institucional de la organización, el número de empleados implicados en el posible riesgo, la existencia de procedimientos que rebajan el riesgo, o la periodicidad y eficacia de los controles establecidos.

Fruto de entrevistas personales con responsables y empleados de la empresa y el análisis de la información y documentación disponible, se podrá elaborar un mapa de riesgos, el cual facilita la obtención de una visión global de los riesgos penales que aplican a la organización.

Tras la identificación de los riesgos y amenazas, se realizará el análisis detallado de los mismos. Para ello se tienen en cuenta, como parámetros de análisis, la probabilidad y el impacto. La probabilidad, que expresa la posibilidad real de que la amenaza se materialice, y el impacto, en función del efecto que pueda producir en la empresa en caso de que se produzca el posible delito. En la valoración del impacto se pueden tener en cuenta distintos factores como la pena asociada al delito, la estimación de posible pérdida de clientes, la pérdida reputacional o la cuantificación económica.

De la valoración de todos estos parámetros y teniendo en cuenta los procedimientos y controles ya implantados en la organización, se obtendrá el nivel de riesgo residual de cada tipo penal. Se definen entonces distintos grados de aceptación o tolerancia del riesgo en el seno de la empresa, es decir los niveles de riesgo asumibles por la organización y aquellos que resultan inasumibles o intolerables.

En este punto, un aspecto muy valorado en las empresas es visualizar la situación actual de cada uno de los riesgos existentes y establecer un escenario objetivo de dicho riesgo en la empresa, lo que puede considerarse el primer paso del proceso de mejora continua del modelo de Compliance.

Así, el mapa de riesgos debe ser revisado periódicamente. Debe estar vivo. Esto responde sencillamente a que la empresa no es un ente inamovible sino que cambia constantemente con sucesivas adaptaciones a las vicisitudes del mercado y del entorno en el que opera. Compras, adquisiciones, fusiones, joint ventures, procesos de expansión internacional, son evoluciones diversas que pueden desarrollar las organizaciones. Debemos, en todo momento, tenerlas en cuenta y evaluar su impacto en el Compliance.

Una tentación en la que caen algunas empresas es reutilizar los análisis de riesgos de otra empresa. El “cortar y pegar” que muchos están haciendo o el copiar el mapa de riesgos y el plan de cumplimiento de otra empresa, por el mero hecho de operar en el mismo sector de actividad es un craso error. Cada empresa es diferente, ya que tiene unos riesgos distintos según sus actividades, opera en unos mercados específicos, y tiene su propio modelo de negocio que en ningún caso es aplicable a otras empresas. Por ello, cada organización debe tener su propio mapa de riesgos, debiendo alinearse con su actividad, objetivos y estrategia, y siendo éste único e irrepetible. El problema de no profundizar y no realizar un trabajo adaptado, afectará a una posible estrategia de defensa en caso de enfrentarse a un procedimiento penal.

Como podemos observar, estos aspectos tienen una gran importancia para el correcto funcionamiento y aplicación del Compliance en las empresas. Tener este tipo de cuestiones atendidas es muy importante para evitar problemas legales para la compañía en un futuro. Para ello, contar con los mejores asesores, que aporten conocimiento en esta materia, es fundamental para estar actualizados en todo momento. El apoyo externo ha de integrar diferentes perfiles, no solo de abogados sino de consultores y auditores.

Ha llegado el momento de no correr riesgos por no implementar programas de cumplimiento ha llegado.  Antes de la reforma del Código Penal podía tener alguna justificación no haber implantado un programa de cumplimiento, pero desde julio de 2015 es una temeridad no disponerlo.  Si se tiene la intención y el convencimiento, hay que hacerlo bien, desde el inicio y siempre enfocado a tu negocio. La norma establece que se prevean los delitos concretos que pudieran ser aplicables a la empresa, no de forma general,  porque para eso ya está el Código Penal.  Hay que adaptar el modelo de Compliance a las actividades y realidades de cada empresa, y si no se hace así, el programa no será efectivo.

Sólo un plan de cumplimiento normativo realista y hecho a medida, implementado con transparencia y conocimiento de toda la organización y en constante revisión, podrá constituir un auténtico pilar de la estrategia de Compliance en las organizaciones, y que en última instancia sirva para instaurar una verdadera cultura de cumplimiento en la empresa que prevenga, evite y detecte el foco de posible delito.

HELAS Consultores en la Jornada de Daas Compliance

La Jornada organizada por DAAS Compliance tenía por  objetivo analizar los aspectos procesales del nuevo régimen de responsabilidad penal de la persona jurídica desde distintos puntos de vista de los factores que intervienen en el proceso, con experiencias y consejos sobre estrategias de defensa, analizando casos prácticos.

Con la reforma del código Penal se abre una nueva área de práctica en el ámbito penal, “La defensa Penal de la Persona Jurídica”. Cada vez más, tanto la Fiscalía como las acusaciones particulares piden el procesamiento de las empresas si el delito cometido se encuentra entre los relacionados en el 31-bis de CP.

José Helguero, Director General de HELAS y Asesor de DAAS Compliance, participó en la Jornada y centró su intervención en la forma de diseñar e implantar un modelo de compliance tanto para desarrollar una cultura de cumplimiento en las empresas como para servir en un futuro en la defensa penal de la persona jurídica en caso de resultar imputada.

La clave de los modelos o programas de compliance que realiza HELAS para sus clientes es el enfoque práctico de los mismos, nada teóricos, y la adaptación y personalización a la realidad de cada organización. Ningún plan es igual a otro. Aunque operen en un mismo sector de actividad, la estructura, la cultura, los procedimientos, los clientes, etc. de las empresas son diferentes y ello se debe plasmar en los modelos de compliance.

Asimismo, se puso de manifiesto la oportunidad de disponer de estos planes de compliance porque cada vez es más creciente que los stakeholders, terceros con los que las empresas tienen relaciones comerciales, los están exigiendo. Aquellas compañías que no desarrollen modelos de compliance perderán oportunidades de negocio.

Los planes de compliance deben de partir de un análisis riguroso de los riesgos penales que le afectan a la empresa en concreto y a partir de ello realizar las acciones de control necesarias para gestionar y mitigar dichos riesgos. Se deben aplicar técnicas y metodologías apropiadas de análisis de riesgos y para ello es muy valorado que se integren perfiles profesionales multidisciplinares de abogados, consultores y auditores en la realización de estos planes.

Esta jornada estaba dirigida a los abogados penalistas, asesores y directivos para profundizar en el conocimiento práctico y teórico del ámbito procesal así como en el conocimiento de los Planes de Prevención de Delitos y de Compliance ante la creciente demanda que se está produciendo en el mercado.

HELAS Consultores es una compañía española que desde hace unos años está desarrollando proyectos de compliance y cuenta con un amplio número de referencias en distintos sectores de actividad.

El responsable de la falta alerta de los misiles en Hawai se fotografió con la contraseña

Los habitantes de Hawai amanecieron el sábado con una alerta que rezaba “Una amenaza de misil balístico se dirige hacia Hawai. Busque un refugio inmediatamente. Esto no es un simulacro”.

El aviso recibido en los teléfonos móviles de decenas de miles de personas despertó el pánico en el archipiélago pero, afortunadamente, se trataba de una falsa alarma.Tres días después del ataque, la imagen del responsable de operar la alerta de misiles de Hawai se volvió viral. Se trata de una instantánea tomada por la agencia Asociated Press el pasado mes de julio en la que el hombre posa su puesto de trabajo. Al fondo, se encuentra su pantalla de ordenador con un post it pegado.

En dicho post it, aparece una contraseña manuscrita que resulta legible.Un descubrimiento ha contribuido a poner aún más en entredicho la profesionalidad de la Agencia de Emergencias de Hawai y que ha desatado un debate en Estados Unidos sobre la seguridad informática de un organismo oficial tan sensible, así como interrogantes sobre cómo pudieron cometer el error de mostrar sus contraseñas en una imagen pública. Sin embargo, la publicación de la contraseña no fue responsable de la falsa alarma del sábado. Su activación se debió a otro mal uso de la seguridad informática: Al parecer, según ha informado la Agencia de Emergencias de Hawai, el fallo se produjo porque un empleado se confundió a la hora de hacer click en el menú de opciones de su ordenador, que cuenta con una interfaz anticuada y confusa. En lugar de hacer click sobre la opción del simulacro (Drill, en inglés), seleccionó la opción de lanzar la alerta real. La falsa alarma del pasado sábado se produjo en un clima de tensión nuclear sin precedentes desde la guerra fría fruto de la escalada verbal entre el presidente de Estados Unidos, Donald Trump, y el dictador norcoreano, Kim Jong Un. Sin embargo, la de Hawai no se fue la primera falsa alerta nuclear del mundo. Durante la Guerra Fría, un fallo en una pieza de tan sólo 40 centavos provocó que los sistemas de radar de Estados Unidos avisaran por error de que 2.200 misiles balísticos soviéticos se dirigían hacia Estados Unidos. En la Unión Soviética, también vivieron una crisis nuclear similar en la que una anomalía atmosférica confundió a su sistema de radar, que avisó de varios lanzamientos contra el territorio soviético.