Noticias De Lorenzo Abogados

20
12
2021

DE SANCIÓN A DESPIDO: ¿QUÉ PASA POR ROBAR DATOS SANITARIOS CONFIDENCIALES?


¿Qué le puede ocurrir a un empleado si roba datos de su empresa? ¿Qué medidas puede tomar una compañía para proteger información confidencial? Después de que el pasado mes de noviembre Pfizer amenazase con el despido de uno de sus trabajadores por, supuestamente, haber compartido en internet miles de archivos de la farmacéutica, incluidos algunos relacionados con la vacuna contra el Covid-19, en Redacción Médica nos hemos preguntado qué dice al respecto la legislación española, cuáles son las consecuencias y qué puede hacer la empresa para preservar los datos más valiosos.

Ricardo De Lorenzo Aparici, director del Área de Derecho Digital de De Lorenzo Abogados, explica a este periódico que la legislación varía en función de si la empresa ha implantado o no medidas técnicas y organizativas para cumplir con la normativa de protección de datos. En el primer caso, el empleado se enfrenta a tres situaciones diferentes según la perspectiva desde la que se aborde (laboral, civil o penal).

Desde el punto de vista laboral, el letrado informa de que el robo de datos y/o documentos “supondría un incumplimiento del deber de confidencialidad y sigilo profesional de los trabajadores” (recogido en el artículo 5a del Estatuto de los Trabajadores) que podrían derivar tanto en sanciones como amonestaciones, suspensiones de empleo y sueldo e, incluso, el despido, siempre que suponga “un incumplimiento grave y culpable”, matiza De Lorenzo Aparici.

También se trata de una infracción que vulnera el cumplimiento del artículo 1258 del Código Civil, en el que se recoge que “los contratos se perfeccionan por el mero consentimiento, y desde entonces obligan, no sólo al cumplimiento de lo expresamente pactado, sino también a todas las consecuencias que, según su naturaleza, sean conformes a la buena fe, al uso y a la ley”, añade el experto.

Por último, desde el punto de vista penal, el artículo 3.1. de la Ley 1/2019 “considera ilícita toda copia no autorizada de dichos datos, y en el caso de que la conducta fuera tendente a su revelación frente a terceros (por ejemplo, otros laboratorios interesados en adquirir datos de investigaciones realizadas con pacientes o datos de pacientes potenciales), podría alcanzar la consideración de un delito de descubrimiento de secretos, castigado con el artículo 197 del Código Penal”, defiende el abogado.

La legislación española demanda pruebas a la compañía si quiere emprender acciones penales o despedir al trabajador por incumplir la normativa de protección de datos

Con todo, De Lorenzo Aparici recuerda que, para el ejercicio de acciones penales o de despido del trabajador, el empresario debe tener pruebas. Así, recomienda al empleador medidas técnicas como el cifrado de la información confidencial corporativa; la instalación, configuración y actualización de cortafuegos; la monitorización y control de equipos o las herramientas de control de dispositivos externos de almacenamiento y dispositivos extraíbles como USB para evitar fugas de información. Mientras, las medidas organizativas que podrían implantarse son, entre otras, acciones de formación y/o concienciación y la firma de contratos de confidencialidad e instrucciones del tratamiento “que permitan, no solo dar a conocer las obligaciones del trabajador en lo que respecta al tratamiento de datos, sino repetirles el importe de las infracciones impuestas por las autoridades de control”, indica.

No obstante, destaca que si no se cuenta con esta última opción se podría igualmente proceder a la imposición de amonestaciones o sanciones. También sería posible el despido del trabajador “de conformidad con la graduación de la infracción”, así como el ejercicio de acciones penales siempre y cuando la compañía cuente con evidencias, advierte.

La pena de cárcel, descartada por falta de competencias

Mientras, la pena de cárcel por incumplir la normativa de protección de datos no es posible a día de hoy dada “la falta de competencias en materia penal que padecen las instituciones europeas”, declara. Por ello, recuerda que el artículo 84 RGPD señala que "los Estados miembros deben elaborar un desarrollo normativo sancionador aplicable a las conductas que constituyen infracciones de derechos, en particular las infracciones que no se sancionen con multas administrativas y que las mismas deben ser efectivas, proporcionales y disuasorias”.

Es por esta razón que, desde De Lorenzo Abogados, recomiendan una buena formación de los responsables del área de protección de datos como medida preventiva y reactiva pues, en este caso, conocerán los mecanismos de defensa de los que disponen si hay una infracción.



Redacción Médica

Leer más

20
12
2021

LA ASOCIACIÓN ESPAÑOLA DE NORMALIZACIÓN, UNE, HA PUBLICADO LA NORMA UNE-EN ISO/IEC 27701:2021. TÉCNICAS DE SEGURIDAD. EXTENSIÓN DE LAS NORMAS ISO/IEC 27001 E ISO/IEC 27002 PARA LA GESTIÓN DE PRIVACIDAD DE LA INFORMACIÓN. REQUISITOS Y DIRECTRICES. SE TRATA DE LA VERSIÓN OFICIAL ESPAÑOLA DE LA NORMA ISO/IEC 27701:2019.


Esta Norma establece los requisitos para asegurar una adecuada gestión de la privacidad de la Información Personal Identificable a través de la implantación de un SGPI, alcanzando con él un nivel superior en las dimensiones de seguridad, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de información que manejan este tipo de información. No olvidemos que, según lo establecido en el artículo 4. 1 del RGPD, son datos personales toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador.

Principalmente, será determinante en cuanto al cumplimiento del principio de responsabilidad proactiva del RGPD, que requiere, en general, la gestión continua del cumplimiento normativo ,y en particular, de los riesgos que el tratamiento de la Información Personal Identificable supone para los derechos y libertades de sus interesados y amplía los controles recogidos en las dos citadas Normas, adaptándolos y mejorándolos para afianzar la seguridad de la Información Personal Identificable, operados dentro de los sistemas de información de las entidades. Igualmente, se añaden nuevos requisitos, diferenciados entre aquellos destinados a la gestión del dato por parte de los responsables del tratamiento; y por parte de encargados del tratamiento y subencargados del tratamiento.

20
12
2021

LA SECRETARÍA GENERAL DE SALUD DIGITAL, INFORMACIÓN E INNOVACIÓN PARA EL SISTEMA NACIONAL DE SALUD PUBLICÓ, CON FECHA 2 DE DICIEMBRE DE 2021, LA NUEVA ESTRATEGIA DE SALUD DIGITAL DEL SISTEMA NACIONAL DE SALUD.


Los principios rectores son fundamentalmente los derivados del artículo 43 de la Constitución Española, que reconoce a todas las personas el derecho a la protección de la salud y de sus

normas de desarrollo, siendo las más relevantes la Ley 14/1986, General de Sanidad, Ley 16/2003 de cohesión y calidad del SNS y la Ley 33/2011, General de Salud Pública.

Los objetivos estratégicos están directamente vinculados con los retos identificados para el SNS y se articulan en cuatro componentes: las personas, los procesos, los datos y la innovación en las

ciencias de la salud. Estos cuatro componentes deben reforzarse entre sí, incrementando la eficiencia del sistema en su conjunto.

Las líneas estratégicas tienen un carácter transversal y deben reforzarse mutuamente dentro de los proyectos concretos en los que se desagreguen los objetivos:

1. Desarrollo de Servicios Públicos Digitales en el sector salud.

2. Impulso de la interoperabilidad de la información sanitaria, en el ámbito nacional e internacional, al servicio tanto de la vigilancia en salud como de las intervenciones sanitarias de cualquier naturaleza facilitando la toma de decisiones por las autoridades, gestores y profesionales sanitarios.

3. Extensión y refuerzo de la analítica de datos y de la explotación de información para la “inteligencia de negocio” del SNS.

20
12
2021

RESOLUCIÓN DE 29 DE NOVIEMBRE DE 2021, DE LA SECRETARÍA DE ESTADO DE EMPLEO Y ECONOMÍA SOCIAL, POR LA QUE SE PUBLICA EL ACUERDO DE CONSEJO DE MINISTROS DE 16 DE NOVIEMBRE DE 2021, POR EL QUE SE APRUEBA EL PLAN ESTRATÉGICO DE LA INSPECCIÓN DE TRABAJO Y SEGURIDAD SOCIAL 2021-2023.


Este Plan tiene como objetivo modernizar y reforzar la ITSS, convirtiéndola en un elemento esencial del Estado social para contribuir a superar la situación económica provocada por la pandemia durante los próximos tres años. Las principales actuaciones serán las relativas al control y revisión de los ERTE, teletrabajo, falsos autónomos, empleadas del hogar, discriminación por razón de sexo y brecha salarial, medidas de protección frente al Covid-19 en las empresas y control de la contratación temporal y a tiempo a parcial.

20
12
2021

SE APRUEBA EL PRIMER ACUERDO MUNDIAL SOBRE LA ÉTICA DE LA INTELIGENCIA ARTIFICIAL


A finales de noviembre, los 193 Estados miembros de la UNESCO aprobaron un acuerdo que pasará a la historia por ser la primer Norma a nivel mundial que sienta las bases sobre la ética de la inteligencia artificial.

Este texto pionero, plasma los pilares para la infraestructura jurídica del futuro y el desarrollo seguro de la Inteligencia Artificial (IA). Los Estados Miembros de la UNESCO adoptan el primer acuerdo mundial sobre la ética de la inteligencia artificial.

El contenido de esta Norma establece principios fundamentales, tales como:

• Proporcionalidad e inocuidad. Las tecnologías de la IA no garantizan necesariamente, por sí mismas, la prosperidad de los seres humanos. En particular, los sistemas de IA no deberían utilizarse con fines de calificación social o vigilancia masiva.

• Seguridad y protección. Se propiciarán el desarrollo de marcos de acceso a los datos que sean sostenibles, respeten la privacidad y fomenten un mejor entrenamiento y validación de los modelos de IA que utilicen datos de calidad.

• Equidad y no discriminación. Los actores de la IA deberían promover la justicia social, la salvaguardar la equidad y la lucha contra todo tipo de discriminación.

• Sostenibilidad. La llegada de las tecnologías de la IA puede beneficiar los objetivos de sostenibilidad, pero se debe realizar una evaluación continua de los efectos humanos.

• Derecho a la intimidad y protección de datos. Estos derechos deben ser respetados, protegidos y promovidos a lo largo del ciclo de vida de los sistemas de IA.

• Supervisión y decisión humanas. Un sistema de IA nunca podrá reemplazar la responsabilidad final de los seres humanos y su obligación de rendir cuentas.

• Gobernanza y colaboración adaptativas y de múltiples partes interesadas. La participación de las diferentes partes interesadas a lo largo del ciclo de vida de los sistemas de IA es necesaria para garantizar enfoques inclusivos de la gobernanza de la misma.

Estos principios sientan las bases a tener en cuenta en los distintos ámbitos de actuación, tales como, como la política, el medio ambiente, el gobierno de los datos o la educación.

La IA se encuentra cada día más impregnada en todos los campos de la sociedad y el sector sanitario no es ninguna excepción. De hecho, el impacto de los avances en IA ya están comenzando a dejarse notar en tecnologías como escáneres de detección temprana y modelos de predicción hasta la monitorización de pacientes con diagnósticos poco comunes. Cabe resaltar la importancia de la protección jurídica en el tratamiento de los datos sensibles, como los datos de salud. Atendiendo a esta necesidad de protección, ya se pronunció, en el mes de Junio la Organización Mundial de la Salud (OMS) quien publicó el primer informe mundial sobre inteligencia artificial (IA) aplicada a la salud y los seis principios rectores relativos a su concepción y utilización. La OMS publica el primer informe mundial sobre inteligencia artificial (IA) aplicada a la salud y seis principios rectores relativos a su concepción y utilización (who.int)

Es indudable que la IA ya se encuentra omnipresente en nuestro día a día con tecnología tan habitual como los asistentes de voz.

Por ello, ante este panorama tecnológico, la Unión Europa se encuentra trabajando bajo el paraguas del plan de estrategia digital denominado “Shaping Europe"s Digital Future,” habiendo presentado el 21 de abril su Propuesta de Reglamento sobre Inteligencia Artificial (“Propuesta de Reglamento IA”) EUR-Lex - 52021PC0206 - EN - EUR-Lex (europa.eu) para crear el marco normativo de esta tecnología que avanza a pasos agigantados.

Es evidente que la IA debe continuar creciendo, pero debe ir acompañada de la creación de una normativa sólida por parte de los Estados, dado los dilemas éticos que puede conllevar esta nueva tecnología, como afirmó de la Directora General de la UNESCO Audrey Azoulay: “El mundo necesita reglas para que la inteligencia artificial beneficie a la humanidad.”

Artículo de Carolina Sanabrias.

20
12
2021

CANAL DE DENUNCIAS Y CUMPLIMIENTO DE LA NORMATIVA DE PROTECCIÓN DE DATOS


Con el objetivo de proteger a las personas que alerten de conductas ilícitas e irregulares, el 16 de diciembre de 2019 entró en vigor la Directiva Europea del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión - Directiva 2019/1937-. Una de las principales obligaciones que establece esta Directiva es la creación de canales de denuncia internos.

¿Objetivos de la Directiva?

• Detectar y prevenir conductas ilícitas e irregulares en una fase temprana.

• Contribuir al funcionamiento y mejora de los procesos y políticas internas de la empresa mediante el establecimiento de canales de denuncias eficaces, confidenciales y seguros.

• Proteger a los denunciantes de posibles represalias.

¿Sujetos obligados?

Se encuentran obligados a establecer canales de denuncias internos:

• Las entidades jurídicas del sector privado que tengan más de 50 trabajadores.

• Las entidades jurídicas privadas de menos de 50 trabajadores, cuando estas empresas se encuentren vinculadas con los servicios productos y mercados financieros o sean sujetos obligados por cuestiones de prevención del blanqueo de capitales y financiación del terrorismo.

• Todas las entidades jurídicas del sector público entre las que se encuentran los municipios de más de 10.000 habitantes o que cuenten con más de 50 trabajadores.

El hecho de la obligación de implantar un canal de denuncias interno no exime de que este tenga que cumplir con la normativa vigente en materia de protección de datos de carácter personal, pues no debemos olvidar que conlleva el tratamiento de datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), en su artículo 24, aborda los puntos que se deben tener en cuenta para la regulación del canal de denuncias.

El tratamiento de datos personales a través de estos sistemas tiene que fundamentar su licitud en una de las siguientes bases legales del artículo 6 del RGPD:

1) Para el sector privado. Artículo 6.1.c) del RGPD: El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el artículo 6.1.f) del RGPD: el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.

2) Para el sector público. Artículo 6.1.c) del RGPD: El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el artículo 6.1.e) del RGPD: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público.

Se deberá proceder a la actualización del registro de actividades de tratamiento, incluyendo toda la información necesaria (artículo 30 del RGPD), ya que implica una recogida y tratamiento de datos de carácter personal que podrían ser de especial sensibilidad. Posteriormente, se tendrá que realizar un análisis de riesgos que nos permita determinar las posibles amenazas, definir el nivel de riesgos de las mismas y especificar los protocolos para prevenir y gestionar dichos riesgos.

Se deberá comunicar a empleados y terceros sobre la implantación del canal de denuncias explicando su funcionamiento. Además, se tendrá que facilitar la información del tratamiento de datos que conlleva la formulación de una denuncia (artículos 13 y 14 del RGPD y 11 de la LOPDGDD) tanto a los denunciantes como los potenciales denunciados. Está información se tendrá que facilitar al denunciado cuando haya transcurrido un tiempo prudencial en el que se haya podido realizar la investigación preliminar de los hechos, permitiéndole defender debidamente sus intereses, sin que ello implique revelar la identidad del denunciante.

Del mismo modo, la información obtenida a través del canal de denuncias debe respetar en todo momento el principio de proporcionalidad y limitación de la finalidad, no pudiendo utilizar la información recabada por este medio para fines que no sean la detección y prevención de conductas ilícitas e irregulares en el seno de la Organización.

Se deben adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad, respecto este punto es importante señalar que la LOPDGDD permite la creación de sistemas de denuncias anónimas. En los supuestos de que la denuncia no sea anónima, se debe garantizar la privacidad e impedir la identificación del denunciado, para ello se deben adoptar las medidas necesarias que impidan cualquier acceso no autorizado, se debe limitar los accesos permitiendo que únicamente pueda tratar la información el órgano designado por la Organización para gestionar la instrucción de la denuncia.

Por último, la Organización deberá fijar el plazo de conservación, según lo establecido en el artículo 5.1.e. del RGPD, de la denuncia, limitándose al tiempo necesario para la investigación de los hechos y, como máximo, a la tramitación de los procedimientos judiciales que pudiesen derivarse de la misma. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la Organización. Respecto este punto, es importante tener en cuenta la respuesta que la Agencia Española de Protección da a la consulta formulada por la Asociación Española de Compliance (ASCOM) en la que aclara que deberá procederse a su supresión del concreto sistema de información de denuncias internas, pasando a integrarse en los sistemas propios del órgano de cumplimiento o, en su caso, del que tenga a su cargo la gestión de recursos humanos.

Artículo de Fernando Aguado.