BIENVENIDOS A ATGROUP

Últimas Noticias

A VUELTAS CON EL PHISING Y LOS RASOMWARE

ATAQUES COMO LOS SUFRIDOS POR EL INSTITUT MUNICIPAL DE INFORMATICA DE BARCELONA (IMI) O LA EMPRESA ANIMSA DE NAVARRA, DEJA AL DESCUBIERTO LA EFICACIA DE LOS ATAQUES Y LOS RIESGOS QUE PUEDEN COMPORTAR UNA CIBERSEGURIDAD DEFICIENTE O VULNERABLE.

Esta semana ha salido en los medios que el Institut Municipal de Informática órgano dependiente del Ayuntamiento de Barcelona ha sufrido un ataque mediante ingeniería social con la técnica no por conocida menos efectiva de la suplantación de facturas de proveedores legítimos por otras aparentemente también legitimas pero con el número de cuenta corriente bancaria cambiado a favor de otra, a nombre de una “mula” como se conoce en el argot a los titulares de cuentas corrientes que sirven para este tipo de estafas. Una vez la víctima realiza el pago en la cuenta de la mula, en el convencimiento que esta pagando a su proveedor, el dinero desaparece en cuestión de minutos, y a medida que pasan las horas, van efectuándose transacciones a terceras entidades de otros países, haciendo prácticamente imposible el rastreo y recuperación del capital si han pasado unos días desde el fraude.

A nuestro lector, seguro que le ha llamado la atención que la banca permita abrir cuentas corrientes y hacer disposiciones de fondos libremente y no pueda actuar contra estos colaboradores necesarios para este tipo de fraudes, máxime cuando es la máxima responsable de la identificación de su cliente real en virtud de la normativa sobre prevención de blanqueo de capitales y financiación del terrorismo. Pero a efectos prácticos, se siguen abriendo cuentas muy sospechosas, incluso de forma telemática, con insolventes o jubilados que por un porcentaje de la transacción se apuntan a colaborar en el fraude.

Entendemos que, a las entidades financieras, tan hábiles a la hora de clasificar los clientes cuando se trata de solvencia patrimonial, le seria extremadamente sencillo establecer reglas de disposición de fondos para ciertos tipos de cuentas (es extremadamente sospechoso que, a un jubilado con la pensión mínima, repentinamente en un corto periodo del tiempo le ingresen cantidades enormes de dinero y los trasfiera en cuestión de minutos a entidades de fuera del país…raro, muy raro ¿no?)

Pero no sólo la banca tiene algo que decir en este asunto, la verdad es que la actual legislación necesita urgentemente una nueva tipificación del ilícito penal, esta nueva legislación deberá obligar a los diferentes operadores, por un lado, a mejorar lo que se entiende por el “deber de autoprotección”, haciendo que la ciberseguridad sea una materia de especial atención en todas las empresas y organizaciones evitando mediante medidas técnicas, organizativas y jurídicas la victimización. Y, por otro lado, no es menos importante, el cambio legislativo en la rigurosidad de la aplicación de las medidas de supervisión y control bancario, y la posible retroacción de las transacciones fraudulentas durante un tiempo razonable, que permita a las fuerzas de seguridad solicitar el bloqueo de fondos cautelar mientras se tramita la solicitud al juzgado de instrucción correspondiente.

Con sólo este par de medidas, numerosas transacciones quedarían anuladas, identificados los estafadores y desarticulados los sistemas de enriquecimiento de estas tramas internacionales de delincuentes.

Todo ello respecto al phishing, cosa diferente ya diría a nuestro parecer algo más compleja de evitar son los ataques con ransomware, especialmente los ataques de clic cero, es decir aquellos que no necesitan ninguna acción de la víctima.

Recientemente hemos visto en los medios de comunicación como una entidad pública de Navarra (ANIMSA), que presta servicios informáticos a ciento setenta y nueve entidades públicas de esa comunidad autónoma, ha sufrido un ataque desde dos servidores (Hive y Cobalt Strike) ubicados en Letonia que ha tenido cómo consecuencia la encriptación de todos los sistemas de la entidad.

Al parecer, en este ataque no se ha pedido ningún tipo de rescate en bitcoins, como es muy habitual en este tipo de delitos, sino que se trataría de un ataque puro seguramente conectado con la triste situación de Ucrania en estos momentos y la voluntad de Rusia de dar respuesta a las sanciones occidentales atacando a cualquier administración vulnerable de la otra parte del “Telón de Acero” como se diría en otras épocas que pensábamos olvidadas.No nos cansaremos de recomendar el seguimiento y observación de las directrices y sugerencias que las entidades públicas como son INCIBE para empresas y particulares y CCN para administraciones públicas en cuanto a la planificación y ejecución de un plan de ciberseguridad integral. En resumen, la ciberseguridad es una asignatura pendiente de forma permanente, ya sabemos que la seguridad absoluta no existe, pero eso no quita que dentro de nuestra agenda u hoja de ruta empresarial incluyamos la necesidad de construir un sistema robusto de ciberseguridad desde un punto de vista integral, personas, organización y máquinas.En ATGROUP tenemos la firma vocación de acompañaros en todo este proceso, ajustarlo a vuestras necesidades e incluso ayudaros a gestionar las crisis, defendiendo los intereses de nuestros clientes con todas las herramienta legales y tecnológicas que en cada momento se puedan disponer.

Os seguiremos informando.
Un cordial saludo.

30 de Mayo de 2022

LOS COMITES ETICOS Y LA INTELIGENCIA ARTIFICIAL

LOS ALGORITMOS QUE HACEN APRENDER A LAS MÁQUINAS, ¿TIENEN QUE SER ÉTICOS? ¿QUE PASA SI SUS DECISIONES VULNERAN DERECHOS DE PERSONAS? ¿DE QUIEN SERÁ LA RESPONSABILIDAD LEGAL Y MORAL?

En efecto, tanto administraciones públicas como empresas privadas están utilizando la inteligencia artificial (IA) para mejorar sus procesos, Ayuntamientos como el de Barcelona están aplicando el machine learning para sus procesos de atención al ciudadano y la misma Generalitat de Catalunya está utilizando el algoritmo de prevención del riesgo de reincidencia delincuencial RISCANVI, desde hace algunos años. En el mismo sentido de optimización y digitalización 4.0, numerosas empresas privadas están utilizando el Big Data para sus previsiones de incidencia de riesgo y cálculo actuarial en materia de seguros o de evaluación de solvencia patrimonial o crédito.

En todo caso, lo que hace muy pocos años nos parecían asuntos de ciencia ficción, la realidad nos esta llevando a que muchas empresas y administraciones se plantean o ya tengan en explotación algoritmos que hacen aprender a las máquinas (machine learning) y que toman decisiones de forma autónoma en base a la explotación de datos masivos.

Sin duda es un gran avance y es muy posible que el machine learning mejore muchos procesos de atención a las personas, pero esos algoritmos… ¿pueden ser discriminatorios? ¿pueden atentar contra derechos fundamentales?, ¿pueden generar perjuicios por el sesgo de sus decisiones?, en resumen, ¿Quién garantiza la neutralidad ética y legal del aprendizaje de las máquinas y de sus decisiones automatizadas?

La misma Unión Europea, consciente del problema entre otras resoluciones ha dictado la Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas (2020/2012(INL).

Si los algoritmos de la IA, trabajan sin control humano y aplicando criterios estrictamente numéricos/económicos, no hay duda que en un futuro breve existirán potentes desajustes sociales y legales, haciendo prácticamente imposible por ejemplo contratar una póliza de asistencia sanitaria a partir de una determinada edad o harán prohibitivo el precio de la póliza del hogar si vives en una isla donde exista un volcán activo (p.e. La Palma), o quizás nos pondrá en la cola de petición de ayudas públicas por no pertenecer a uno de los colectivos de especial protección detectados por la máquina según su sesgo social de aprendizaje automático, e incluso en una mala aplicación de reconocimiento facial, podrían vetarnos la entrada en un local de ocio nocturno, al no ajustarse nuestro rostro a las características étnicas y raciales de los clientes que ha seleccionado la máquina.

Estas posibles injusticias, incluyendo los problemas legales que se puedan derivar, en muchas ocasiones emanan de los sesgos éticos y sociales que haya ido adquiriendo el algoritmo en el proceso de aprendizaje, que, en caso de no ser debidamente corregidos y tutorizados por humanos competentes, se corre el peligro de que afecten tanto a la reputación de la administración pública o la empresa que haya puesto en explotación la IA sin las debidas garantías éticas y legales como a los desarrolladores que han comercializado un producto no ajustado a la normativa vigente ni a la ética del cliente. Dichos incumplimientos pueden tener repercusiones reputacionales, pero también severas consecuencias económicas ya sea por reclamaciones directas de los colectivos afectados como por las posibles sanciones administrativas o judiciales que se pudieran derivar de la mala gobernanza del algoritmo.

Pero ¿cómo se evita el sesgo ético negativo o incluso ilegal en el proceso de machine learnig?, no es fácil, pero lo que esta claro es que hoy por hoy se necesita una tutoría humana de la máquina, y no basta con una gestión puramente técnica, hará falta un equipo multidisciplinar de expertos que valoren y corrijan el proceso, consiguiendo que el algoritmo final puesto en explotación tenga un sesgo ético-social adecuado y sobre todo que cumpla fielmente con la legalidad vigente en cada momento.

En este sentido, desde ATGROUP proponemos la creación de los COMITÉS ETICOS IA en todas las empresas e instituciones que desarrollen y/o apliquen la IA en su operativa, ya sean meros desarrolladores o usuarios finales de dichos algoritmos.

La doctrina propone como elementos transversales en dichos comités la participación de expertos en ética digital, la inclusión de los representantes de los colectivos afectados, la participación de los representantes de los trabajadores, la participación de expertos externos independientes, la aplicación de políticas eficaces de transparencia y comunicación, etc.

Los desarrolladores podrán proponer el COMITÉ ETICO IA, como un valor añadido a sus servicios y aplicaciones, garantizando un resultado conforme a las especificaciones éticas y legales que espera el cliente.

En el caso de organizaciones que explotan ya los algoritmos de la IA, el COMITÉ ETICO IA, es la herramienta de gestión de incidencias y resolución de conflictos, tanto éticos, operativos como legales.

En resumen, el COMITÉ ÉTICO IA tendrá como funciones la gobernanza ética de los algoritmos que se apliquen o desarrollen en la institución. Es evidente que este comité deberá estar estrechamente coordinado con los otros garantes de cumplimiento normativo como son la figura del delegado de Protección de Datos y el Oficial de cumplimiento normativo (Compliance Officer) en su caso.

Si estáis explotando algoritmos de IA o tenéis proyectado escalar del 3.0 al mundo 4.0, no dudéis en contactar con nosotros, donde os asesoraremos gustosamente sobre los requisitos y necesidades a cubrir.

29 de Abril de 2022

LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS INCREMENTA UN 337% EL IMPORTE DE LAS MULTAS EN EL AÑO 2021

RECIENTEMENTE SE HA PUBLICADO LA MEMORIA 2021 DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS DONDE DESTACAN DOS CIFRAS MUY SIGNIFICATIVAS: LA PRIMERA EL INCREMENTO DE LOS PROCEDIMIENTOS SANCIONADORES EN UN 54% Y LA SEGUNDA LA SUBIDA DE LOS IMPORTES DE LAS SANCIONES EN UN 337%.

En efecto, la AEPD en su memoria anual nos expone el estado de los trabajos realizados en el pasado año 2021, enumerando actividades y acciones realizadas en estos tiempos tan complejos y cambiantes.

Sin duda la AEPD se modernizado y ha asumido el reto de la incorporación a nuestro Ordenamiento Jurídico y social el RGPD con eficacia y profesionalidad. Iniciativas como el Pacto Digital o el Canal prioritario de denuncias así lo avalan.

También hay que destacar la gran actividad informativa y difusora de información, mediante numerosos eventos y actividades que permiten difundir de forma eficaz los nuevos paradigmas y garantías en materia de privacidad.

También nos permitimos destacar, por ser de indudable interés para nuestros lectores y colaboradores el cambio de orientación que se ha constatado en la nueva Memoria 2021, nos referimos al gran incremento del número de procedimientos sancionadores, un 54 % con respecto al año 2020, y sobre todo a la fuerte subida de los importes de las sanciones impuestas, donde destaca el incremento del 337% respecto al año 2020.

Por sectores de actividad destacan los clásicos ya conocidos en anteriores memorias, nos referimos al sector de la publicidad, telecomunicaciones, entidades financieras, etc.

Aunque en esta Memoria 2021 cabe destacar el fuerte aumento de sanciones derivadas de asuntos laborales (con un incremento del 6.368 % con respecto al 2020), situación que sin duda ha tenido mucho que ver con la pandemia y las medidas de teletrabajo.

También toma interés el incremento del 89 % de los procedimientos sancionadores finalizados en el 2021 derivados de una quiebra de seguridad. Es evidente que las quiebras de seguridad han de ser gestionadas de forma diligente y profesional, ya que en caso de incidente pueden ser y son una de las vías de apertura de expediente sancionador por parte de la autoridad de control.

La conclusión de lo expuesto es que la AEPD está harmonizando su actividad sancionadora y los importes de las sanciones al resto de autoridades de control europeas, (incluso en los fundamentos de Derecho de las resoluciones sancionadoras se menciona doctrina y resoluciones jurisprudenciales de otros países de nuestro entorno europeo). Esta harmonización ha comportado un incremento muy sustancial del importe de las sanciones impuestas en base al vigente RGPD, rompiendo los viejos paradigmas y precedentes administrativos en cuanto a cuantías y valoración de las infracciones de la antigua LOPD.

Por las incidencias detectadas y la actividad realizada hasta la fecha (finales de marzo), el año 2022 promete ser aún más intenso que el pasado 2021 para la AEPD.

31 de Marzo de 2022

EL CENTRO CRIPTOLOGICO NACIONAL (CCN) RECOMIENDA AUMENTAR LAS MEDIDAS DE CIBERSERGURIDAD POR MOTIVOS DE LA CRISIS DE UCRANIA, ¿CÓMO PUEDE AFECTAR A MI EMPRESA?

ANTERIORES CIBERATAQUES PROCEDENTES PRESUNTAMENTE DE RUSIA HAN DEJADO FUERA DE SERVICIO ADMINISTRACIONES PUBLICAS MUY DESTACADAS, COMO ES EL SEPE, AYUNTAMIENTOS Y UNIVERSIDADES. SE ESPERA QUE CON LAS SEVERAS SANCIONES ECONOMICAS Y PERSONALES ADOPTADAS POR OCCIDENTE CONTRA RUSIA Y SUS OLIGARCAS, LOS CIBERATAQUES SE INCREMENTARÁN NOTORIAMENTE.

En los últimos días diferentes medios de comunicación han difundido noticias donde se expone la recomendación que ha difundido el CCN para que se aumenten de forma significativa las medidas de ciberseguridad en administraciones e instituciones, ya que es muy posible que se aumenten los ataques a estas organizaciones.

En efecto, las severas medidas económicas que se han adoptado como sanciones se prevé que tengan un gran impacto en la economía rusa, e incluso las medidas personales contra ciertos oligarcas hace más que previsible la posibilidad de “intentar devolver el golpe” con ciber ataques de diverso tipo e intensidad en los sectores estratégicos de todos los países que estén el sector occidental, especialmente los que pertenecen a la OTAN.

En principio, está bastante claro que se están aplicando sanciones insólitas a Rusia (p.e. la expulsión del sistema bancario SWIFT), que a buen seguro van a tener una fuerte consecuencia en la economía y la competitividad de sus empresas y banca. Por tanto, está prácticamente asegurado que uno de los objetivos de Rusia será el complicar la economía y la administración de los países de la OTAN, y más si es de forma “oscura”, oculta o más o menos impune y en muchos casos con un alto beneficio económico por los rescates de datos o fraudes como el del “hombre interpuesto” que tendrán que pagar las empresas occidentales víctimas de los ciber ataques.

Las recomendaciones, no por ya conocidas restan efectividad a la prevención y la respuesta ante posibles ciberataques:

  1. Cambiar las contraseñas de todos los equipos, sustituyéndolas por contraseñas robustas.
  2. Custodia y gestión adecuada de las contraseñas, evitando su pérdida o substracción.
  3. Apagar los equipos en el tiempo que no se usan, especialmente servidores en fin de semana, y resto de dispositivos conectados a Internet.
  4. Especial atención a dispositivos conectados a Internet como son maquinaria industrial, telemedicina, domótica, etc. (Es más fácil atacar nuestra Smart TV o la CCTV que un servidor bien configurado y protegido.)
  5. Monitorizar adecuadamente en todo momento nuestros dispositivos, detectando la activación de alguna bomba lógica de forma rápida y temprana.
  6. Tener las copias de seguridad actualizadas y con una copia física desconectada (que contenga datos y entorno para reproducir).
  7. Nunca pagar un rescate por nuestros datos. Si somos víctimas de un ransomware, nunca fomentemos esta práctica pagando rescates.
  8. En caso de ser oportuno, presentar la correspondiente denuncia ante las autoridades competentes por los delitos de daños informáticos que se puedan haber sufrido.
En principio, estas serían una enumeración no exhaustiva sino meramente enunciativa y a modo de ejemplo ya que cada organización necesita adecuar sus medidas de seguridad según sus necesidades, objetivos y capacidades. Como siempre, quedamos a vuestra disposición para ayudar en la correcta gestión de cualquier Ciber incidencia, ya sea mínima o un gran ataque.
Con la esperanza y sincero deseo que todo acabe lo antes posible y la paz y la concordia se imponga entre las partes, como siempre, quedamos a vuestra disposición para cualquier duda o consulta sobre este tema o algún otro que sea de vuestro.

Os seguiremos informando.
Un saludo.
--
Jorge Ortega

28 de Febrero de 2022

¿QUÉ DEBO HACER PARA QUE NO ME ROBEN LA IDENTIDAD?

SI DOY MI IDENTIDAD A QUIEN NO DEBO, LAS CONSECUENCIAS PUEDEN SER MUY DOLOROSAS, EN ALGUNOS CASOS PUEDE SIGNIFICAR EL INICIO DE LAS PESADILLAS, DE ESAS QUE NO PARECEN QUE SE ACABEN NUNCA...

En los últimos meses nos estamos encontrando con un preocupante aumento de las consultas que recibimos en el despacho sobre robos de identidad de clientes y conocidos.

La realidad es que la digitalización de servicios bancarios y de medios de pago a supuesto una gran oportunidad para los amigos de lo ajeno, generando nuevos modus operendis para cometer delitos de los de siempre como son las estafas y fraudes.

Todos en un momento de descuido hemos bajado la guardia y hemos entregado una documentación o una información a un tercero que le presuponemos formalidad y garantía, pero que no hemos contrastado, ya sea en temas de comercio electrónico, la compraventa de vehículos o inmuebles o incluso la candidatura a algún puesto de trabajo.

Existen innumerables ocasiones en las cuales entregamos nuestra copia de DNI y el resto de los datos personales sin demasiadas o ninguna pregunta. Por suerte, en la mayoría de las ocasiones se tratan de operadores honestos y la aportación de documentación no tienen más trascendencia que el buen fin de la operación. Pero en alguna ocasión la cosa se puede complicar, especialmente si nuestros datos y nuestra documentación cae en manos de los profesiones de la suplantación.

En efecto, estos profesionales son especialistas en simular entornos digitales de operadores con garantías, haciéndose pasar por empresas reconocidas, por terceros identificados, etc. Todo ello con el fin de generar confianza y obtener aquello tan preciado que andan buscando: nuestra identidad.

Pero ¿para qué sirve mi identidad? ¿qué pueden hacer con ella? , históricamente hay un tipo de fraude muy conocido que consistía en solicitar créditos personales en base a un DNI robado o “distraído” , normalmente no solían ser créditos bancarios sino créditos al consumo tramitados por financieras, que históricamente no han sido tan puntillosas con la identificación de su cliente final como la banca, confiando en el gestor del crédito (normalmente el vendedor del bien comprado fraudulentamente) fuera diligente y comprobará que su cliente correspondía con la documentación aportada.

La realidad era que la pobre víctima recibía una notificación que estaba en una lista de morosos y tenia un montón de créditos pendientes por consumo de cosas que ni conocía ni había comprado.

En la actualidad, este tipo de fraude se sigue dando, pero corregido y aumentado con l irrupción del comercio electrónico, tanto B2C como B2B. Es decir, entre empresas y entre empresas y particulares. Por ejemplo, hemos detectado que algún comprador de una conocida web de venta de segunda mano solicita antes de realizar el pago que se le envíe copia del DNI del vendedor “como garantía” del dinero que va a ingresar…es evidente que se trata de una posible trampa ya que existen métodos más sencillos y seguros de garantizar el cobro en la misma aplicación.

En resumidas cuentas, nuestras recomendaciones para evitar este tipo de situaciones son:

  1. No entregar nuestros datos personales ni documentos alguno a desconocidos
  2. Denunciar de forma inmediata a la más mínima sospecha de fraude.
  3. En caso de ser una entidad bancaria o financiera, denunciar el posible fraude ante el COMPLIANCE OFFICER, u oficial de complimiento normativo.
  4. No dejar sin control ni a terceros nuestro móvil, pc etc.
  5. Cambiar frecuentemente las contraseñas.
  6. No conectar nuestro dispositivo a redes Wi Fi desconocidas especialmente en aeropuertos, estaciones y centros de gran afluencia de personas.
  7. No conectar el móvil a dispositivos de carga públicos sin garantías.
  8. No contestar ni clicar en los hiperenlaces de correos electrónicos sospechosos.
  9. Atender a los requerimientos de juzgados, policía o fiscalía de forma diligente y con ayuda profesional.
  10. Reclamar daños y perjuicios a las entidades que por su falta de diligencia en el control de identidades nos hayan ocasionado un daño o un perjuicio.
En todo caso, nuestra recomendación pasa por una correcta gestión de la incidencia siendo la diligencia y la actuación temprana una de las pocas herramientas que nos quedan ante la eventualidad del robo de identidad.

En este punto, también nos gustaría destacar que a veces los delincuentes utilizan como tapadera empresas perfectamente legitimas y honradas, desconocedoras de las acciones fraudulentas que realizan terceros con su nombre. En este caso, nuestra recomendación es que las empresas sean extremadamente proactivas tanto en sus auditorias de COMPLIANCE, como en la reacción de investigación y puesta en conocimiento de la autoridad judicial cualquier circunstancia que pudiera ser susceptible de delito.

En caso contrario, la empresa y sus directivos podrán tener responsabilidades legales, y en algunos casos más extremos, incluso penales.

Finalmente, como siempre, quedamos a vuestra disposición para cualquier duda o consulta sobre este tema o algún otro que sea de vuestro interés.
Os seguiremos informando.
Un saludo.
--
Jorge Ortega

1 de Febrero de 2022

LA PROTECCIÓN DE DATOS Y LAS FUSIONES Y ADQUISICIONES

LAS DUE DILIGENCE PREVIAS A UNA FUSIÓN O ADQUISICIÓN NO SIEMPRE CONTEMPLAN EL CUMPLIMIENTO DEL RGPD Y DICHA OMISIÓN PUEDE COMPORTAR CARGAS OCULTAS Y RESPONSABILIDADES AL AUDITOR.

En estos tiempos tan convulsos estamos viendo como gran número de compañías van cambiando de manos, ya sea por compras de fondos de inversión o por compra de otras empresas del sector e incluso por fusiones entre compañías afines o complementarias.

En todo caso, es muy habitual que de forma previa a la compra o transmisión de la empresa ofertada se realice una auditoría de Diligencia Debida o due diligence.

El objeto de dicha auditoria no es otro que dar la imagen fiel de la compañía objeto de compra y suele abarcar todas las áreas de actividad de la empresa y no sólo la financiera, como son las áreas: comercial, Propiedad Industrial, recursos humanos, prevención de riesgos laborales, operaciones, logística, producción, etc.

Por ese mismo motivo, la multitud de áreas a auditar, el equipo de trabajo que realice la due diligence y analice la situación real empresarial no puede ser exclusivamente compuesto por personal del área financiera, ya que en numerosas ocasiones la imagen financiera no corresponde con la imagen real operativa de la empresa, siendo imprescindible la participación de un equipo multidisciplinar de profesionales, con conocimientos específicos de cada área.

Consciente de esa realidad, el legislador ha establecido la obligación para un tipo de empresas de realizar un informe de situación de estados no financieros, con la idea de acreditar esos otros parámetros de gestión no cuantificables en un balance o en una cuenta de explotación al uso (p.e. Medio

Ambiente, compliance, igualdad, etc).

En materia de protección de datos, los riesgos empresariales tienen una probabilidad estadística baja, pero un impacto sobre el negocio severo, las posibles consecuencias catastróficas en caso de incidente grave o muy grave pueden comportar sanciones que pueden llegar a los 20.000.000 de euros o el 4% de la facturación mundial.

En este sentido el auditor que realice una due diligence, tendrá que identificar y valorar la existencia de conductas de riesgo en materia de protección de datos personales como son: prácticas comerciales agresivas, falta de ciberseguridad, carencia de DPD, la falta de documentación adecuada, la existencia de requerimientos de la autoridad de control competente o de clientes, etc. Todas las conductas anteriores pueden ser indicativo de la existencia de un severo problema en la gestión de la compañía.

En el caso de una compra o fusión (M&M), la probabilidad del riesgo y el impacto en el negocio tendrían que constar y cuantificar de forma clara y concreta en el informe de Diligencia Debida (Due Diligence), siendo el comprador el que determine si es de interés continuar con la adquisición o no. También en el mencionado informe se pueden proponer medidas de transferencia o aseguramiento del riesgo como puede ser la subscripción de una póliza de seguros que cubra la ciberseguridad o las posibles repercusiones en materia de protección de datos.

En todo caso, la conclusión es que una correcta auditoria de due diligence deberá identificar y valorar los riesgos en materia de protección de datos, y en su caso proponer medidas paliativas o de transferencia del riesgo, con las consiguientes repercusiones económicas en el precio de adquisición.

Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de la auditoria de Diligencia Debida, el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD) así como para atender los requerimientos de información que el responsable de fichero les solicite dentro de sus funciones..

Os seguiremos informando.
Un saludo.
--
Jorge Ortega

30 de Diciembre de 2021

PLAN DE PREVENCIÓN DEL FRAUDE PARA AYUNTAMIENTOS, ¿UNA EXIGENCIA PARA EL COBRO DE LOS FONDOS PRTR-UE?

El PLAN DE RECUPERACIÓN, TRANSFORMACIÓN Y RESILENCIA (PRTR) DE LA U.E. es el instrumento creado para mitigar los impactos de la pandemia COVID-19.

En efecto, los fondos que vendrán de la UE en concepto del PRTR (Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo por el que se establece un Mecanismo de Recuperación y Resiliencia) , no van a ser fáciles de obtener, ya que la reticencia de los países del Norte de Europa a dar cantidades importantes de dinero a fondo perdido a los países de sur de Europa ha añadido nuevas reglas con el fin de limitar y acotar en todo lo posibles esta aportación, especialmente cuando se trata de estas partidas a fondo perdido.

En este sentido, lo trámites administrativos y de control son especialmente duros, exigiendo la implantación efectiva en cada proyecto bonificable de un riguroso sistema de gestión mediante la fijación de hitos y eventos, con puntos de control periódicos y reportes continuos a la superioridad sobre desviaciones sobre el cronograma fijado (Orden HFP/1031/2021, de 29 de septiembre, por la que se establece el procedimiento y formato de la información a proporcionar por las Entidades del Sector Público Estatal, Autonómico y Local para el seguimiento del cumplimiento de hitos y objetivos y de ejecución presupuestaria y contable de las medidas de los componentes del Plan de Recuperación, Transformación y Resiliencia).

En todo caso, el mencionado Sistema de Gestión implantado en los fondos derivados del PRTR, está orientado a definir, planificar, ejecutar, seguir y controlar los proyectos y subproyectos que formen parte del Plan de Recuperación, Transformación y Resiliencia. Una de los elementos estrella del mencionado sistema de gestión propuesto es el «Plan de medidas antifraude», el cual deberá cumplir los siguientes requerimientos mínimos:

 a) Aprobación por la entidad decisora o ejecutora, en un plazo inferior a 90 días desde la entrada en vigor de la presente Orden o, en su caso, desde que se tenga conocimiento de la participación en la ejecución del PRTR.

 b) Estructurar las medidas antifraude de manera proporcionada y en torno a los cuatro elementos clave del denominado «ciclo antifraude»: prevención, detección, corrección y persecución.

 c) Prever la realización, por la entidad de que se trate, de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal.

 d) Definir medidas preventivas adecuadas y proporcionadas, ajustadas a las situaciones concretas, para reducir el riesgo residual de fraude a un nivel aceptable.

 e) Prever la existencia de medidas de detección ajustadas a las señales de alerta y definir el procedimiento para su aplicación efectiva.

 f) Definir las medidas correctivas pertinentes cuando se detecta un caso sospechoso de fraude, con mecanismos claros de comunicación de las sospechas de fraude.

 g) Establecer procesos adecuados para el seguimiento de los casos sospechosos de fraude y la correspondiente recuperación de los Fondos de la UE gastados fraudulentamente.

 h) Definir procedimientos de seguimiento para revisar los procesos, procedimientos y controles relacionados con el fraude efectivo o potencial, que se transmiten a la correspondiente revisión de la evaluación del riesgo de fraude.

 i) Específicamente, definir procedimientos relativos a la prevención y corrección de situaciones de conflictos de interés conforme a lo establecido en los apartados 1 y 2 del artículo 61 del Reglamento Financiero de la UE. En particular, deberá establecerse como obligatoria la suscripción de una DACI por quienes participen en los procedimientos de ejecución del PRTR, la comunicación al superior jerárquico de la existencia de cualquier potencial conflicto de intereses y la adopción por este de la decisión que, en cada caso, corresponda.

En todo caso la mencionada norma exige cierta independencia en la auditoria e implementación de dicho Plan Antifraude, teniendo especial relevancia la no existencia de conflicto de intereses entre la organización interna o externa que propone las medidas antifraude y la Administración Local que deberá implantar el mismo.

Según la Secretaria General de Fondos Europeos, el Plan incluye disposiciones relativas a medidas para prevenir, detectar y corregir la corrupción, el fraude y los conflictos de intereses en la utilización de los fondos proporcionados en el marco de dicho Reglamento, para evitar la doble financiación, así como para garantizar el pleno respeto a la normativa reguladora de las Ayudas de Estado.

Por tanto, no es nada recomendable que sea la empresa o el departamento que se encarga de gestionar la llegada y supervisión de las ayudas públicas el que sea el encargado del desarrollo e implementación del mencionado Plan Antifraude. También conviene destacar la necesidad de implicación de las más altas instancias de la Administración donde se pretenda implantar el Plan Antifraude, ya que en todo momento deberá ser validado y refrendado, si pretendemos cumplir fehacientemente con lo expuesto en la norma.

o.

Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de dar respuesta al traslado de la AEPD, siendo el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD).

Os seguiremos informando.

Un saludo.
--
Jorge Ortega

30 de Noviembre de 2021