BIENVENIDOS A ATGROUP

Últimas Noticias

PLAN DE PREVENCIÓN DEL FRAUDE PARA AYUNTAMIENTOS, ¿UNA EXIGENCIA PARA EL COBRO DE LOS FONDOS PRTR-UE?

El PLAN DE RECUPERACIÓN, TRANSFORMACIÓN Y RESILENCIA (PRTR) DE LA U.E. es el instrumento creado para mitigar los impactos de la pandemia COVID-19.

En efecto, los fondos que vendrán de la UE en concepto del PRTR (Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo por el que se establece un Mecanismo de Recuperación y Resiliencia) , no van a ser fáciles de obtener, ya que la reticencia de los países del Norte de Europa a dar cantidades importantes de dinero a fondo perdido a los países de sur de Europa ha añadido nuevas reglas con el fin de limitar y acotar en todo lo posibles esta aportación, especialmente cuando se trata de estas partidas a fondo perdido.

En este sentido, lo trámites administrativos y de control son especialmente duros, exigiendo la implantación efectiva en cada proyecto bonificable de un riguroso sistema de gestión mediante la fijación de hitos y eventos, con puntos de control periódicos y reportes continuos a la superioridad sobre desviaciones sobre el cronograma fijado (Orden HFP/1031/2021, de 29 de septiembre, por la que se establece el procedimiento y formato de la información a proporcionar por las Entidades del Sector Público Estatal, Autonómico y Local para el seguimiento del cumplimiento de hitos y objetivos y de ejecución presupuestaria y contable de las medidas de los componentes del Plan de Recuperación, Transformación y Resiliencia).

En todo caso, el mencionado Sistema de Gestión implantado en los fondos derivados del PRTR, está orientado a definir, planificar, ejecutar, seguir y controlar los proyectos y subproyectos que formen parte del Plan de Recuperación, Transformación y Resiliencia. Una de los elementos estrella del mencionado sistema de gestión propuesto es el «Plan de medidas antifraude», el cual deberá cumplir los siguientes requerimientos mínimos:

 a) Aprobación por la entidad decisora o ejecutora, en un plazo inferior a 90 días desde la entrada en vigor de la presente Orden o, en su caso, desde que se tenga conocimiento de la participación en la ejecución del PRTR.

 b) Estructurar las medidas antifraude de manera proporcionada y en torno a los cuatro elementos clave del denominado «ciclo antifraude»: prevención, detección, corrección y persecución.

 c) Prever la realización, por la entidad de que se trate, de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal.

 d) Definir medidas preventivas adecuadas y proporcionadas, ajustadas a las situaciones concretas, para reducir el riesgo residual de fraude a un nivel aceptable.

 e) Prever la existencia de medidas de detección ajustadas a las señales de alerta y definir el procedimiento para su aplicación efectiva.

 f) Definir las medidas correctivas pertinentes cuando se detecta un caso sospechoso de fraude, con mecanismos claros de comunicación de las sospechas de fraude.

 g) Establecer procesos adecuados para el seguimiento de los casos sospechosos de fraude y la correspondiente recuperación de los Fondos de la UE gastados fraudulentamente.

 h) Definir procedimientos de seguimiento para revisar los procesos, procedimientos y controles relacionados con el fraude efectivo o potencial, que se transmiten a la correspondiente revisión de la evaluación del riesgo de fraude.

 i) Específicamente, definir procedimientos relativos a la prevención y corrección de situaciones de conflictos de interés conforme a lo establecido en los apartados 1 y 2 del artículo 61 del Reglamento Financiero de la UE. En particular, deberá establecerse como obligatoria la suscripción de una DACI por quienes participen en los procedimientos de ejecución del PRTR, la comunicación al superior jerárquico de la existencia de cualquier potencial conflicto de intereses y la adopción por este de la decisión que, en cada caso, corresponda.

En todo caso la mencionada norma exige cierta independencia en la auditoria e implementación de dicho Plan Antifraude, teniendo especial relevancia la no existencia de conflicto de intereses entre la organización interna o externa que propone las medidas antifraude y la Administración Local que deberá implantar el mismo.

Según la Secretaria General de Fondos Europeos, el Plan incluye disposiciones relativas a medidas para prevenir, detectar y corregir la corrupción, el fraude y los conflictos de intereses en la utilización de los fondos proporcionados en el marco de dicho Reglamento, para evitar la doble financiación, así como para garantizar el pleno respeto a la normativa reguladora de las Ayudas de Estado.

Por tanto, no es nada recomendable que sea la empresa o el departamento que se encarga de gestionar la llegada y supervisión de las ayudas públicas el que sea el encargado del desarrollo e implementación del mencionado Plan Antifraude. También conviene destacar la necesidad de implicación de las más altas instancias de la Administración donde se pretenda implantar el Plan Antifraude, ya que en todo momento deberá ser validado y refrendado, si pretendemos cumplir fehacientemente con lo expuesto en la norma.

o.

Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de dar respuesta al traslado de la AEPD, siendo el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD).

Os seguiremos informando.

Un saludo.

30 de Noviembre de 2021

Homologados por el CSUC como proveedor de servicios de asesoramiento e implementación de RGPD-LOPDGDD

El pasado martes día 9 de noviembre El Consorci de Serveis Universitaris de Catalunya (CSUC) homologó a ATGROUP como uno de sus proveedores oficiales en servicios de asesoramiento e implementación de RGPD y LOPDGDD.

El CSUC es una entidad de derecho público que agrupa a la mayor parte de las universidades catalanas, tanto públicas como privadas, para la realización de acciones conjuntas. El proceso de homologación tiene como objetivo garantizar que los servicios de los principales proveedores cuenten con un conjunto de servicios de consultoría, auditoría y soporte de naturaleza tanto técnica como jurídica, necesarios para conseguir, y mantener durante la vigencia de la contratación, la adecuación, cumplimiento de la normativa asociada al Esquema Nacional de Seguridad (ENS), ISO 27001 y al Reglamento General de Protección de Datos (RGPD), y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

A continuación los tres servicios por los que hemos sido homologados:

LOTE 2. Servicios de Protección de Datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación de un servicio concreto y que tienen como objetivo la realización de una tarea concreta y la entrega de un informe resultante de su ejecución. Los servicios contemplados en este lote requieren de la participación de un equipo por parte del proveedor en el que se pueden requerir competencias jurídicas, técnicas o de gestión.

LOTE 3: Servicios profesionales en protección de datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la colaboración con los equipos de protección de datos de las universidades para el desarrollo de una actividad concreta y principalmente por parte de una persona altamente calificada de la empresa adjudicataria donde las competencias personal de la persona asignada son el elemento relevante en la ejecución de la misma.

LOTE 4: Oficina técnica de apoyo al DPD:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación del servicio de oficina técnica de soporte al Delegado de Protección de Datos de cada centro.

23 de Noviembre de 2021

La Ley de Secretos Empresariales… esa gran desconocida

La Ley de Secretos Empresariales… esa gran desconocida ¿TENGO PROTEGIDOS LOS SECRETOS DE MI EMPRESA?, ¿PUEDO DEFENDERME EN CASO DE ROBO O SUSTRACCIÓN?¿QUE RECURSOS LEGALES TENGO?

Cuando hablamos de información de la empresa podemos hablar de todo tipo de datos, ya sean personales como estrictamente mercantiles. En todo caso la información en las organizaciones es vital para su funcionamiento, y alguna información en concreto deviene en estratégica y vital para la supervivencia de la empresa.

Existe una protección legal para cierto tipo de contenidos como son las patentes, las marcas comerciales, e incluso la obra artística, técnica o literaria. La Ley de Propiedad Intelectual y la Ley de Patentes y Marcas contemplan la protección de la invención, la imagen de marca, la obra artística entre otras obras humanas aplicables al mundo empresarial.

Pero la realidad es que no toda la información de valor estratégico para la empresa tenia una protección legal directa. En efecto, por ejemplo un listado de proveedores clave, es un documento interno sin mayor singularidad, ya que no se puede patentar, ni es una marca, ni es una obra artística ni nada semejante, por tanto su protección ante terceros mediante las anteriores normas quedaba en la mayoría de las ocasiones fuera de lugar y tenían que refugiarse en los tipos generales de la Ley de Competencia Desleal, que de forma genérica recogía algunas conductas de captación y uso no autorizado de información empresarial como ilícitas.

En todo caso, para solventar este déficit de protección y en transposición de la Directiva 943/2016 sobre protección de los conocimientos técnicos empresariales, el legislador promulgó la Ley 1/2019, de 20 de febrero, la llamada Ley de Secretos Empresariales. Dicha norma, no ha tenido un gran impacto mediático por motivos diversos, como es la crisis COVID, pero es una norma vigente, y bajo nuestro punto de vista, de gran interés para la empresa. Dicha norma establece que es información secreta empresarial, como hay que protegerla y como se puede defender contra el acceso, uso y distribución ilegal de la misma.

La recomendación en todas las auditorias de servicios que realizamos desde ATGROUP es que se protejan los activos intangibles incluyendo los sistemas y formas que establece la normativa sectorial aplicable (p.e. RGPD, CP, etc.), en coordinación y yuxtaposición a lo que establece la Ley de Secretos Empresariales.

Con esta configuración mixta, la información empresarial podrá gozar de varias capas de protección jurídica ( según los casos, administrativa, penal, civil y mercantil).

También hay que tener presente, que en los procesos de auditoría, tanto de RGPD como de COMPLIANCE PENAL, es necesario realizar un inventario de activos, análisis de seguridad de la información, revisión de procesos, control de accesos, etc. Todos esos trabajos son esenciales también para la implementación de la Ley de Secretos Empresariales en la organización.

Por tanto, desde ATGROUP recomendamos la implementación de la Ley de Secretos Empresariales en todas las organizaciones, y si la hacemos coincidir con una auditoria de otra materia, es más que posible que se generen sinergias que puedan hacer que el presupuesto para este tipo de proyectos sea considerablemente más reducido.

Un saludo.

Mas información: info@atgroup.es

29 de Octubre de 2021

¿CAJA NEGRA EN MI COCHE INTELIGENTE?

EN QUE ME PUEDE AFECTAR LA CAJA NEGRA AUTOMOTRIZ EN MI VEHÍCULO PARTICULAR.

Paco con su coche nuevo de alta gama, circulaba por la N II, de madrugada, prácticamente sólo en la carretera, a una velocidad algo elevada, cruzando poblaciones, pero sin reducir velocidad a sabiendas que en esa zona no hay radares fijos ni móviles, por eso estaba muy tranquilo, ya que era prácticamente imposible que fuera detectado su exceso de velocidad.
Al girar una rotonda, ve un destello azul y le da el alto una patrulla de la Guardia Civil de Tráfico, en el alto policial, le solicitan la realización de test de detección de alcohol y sustancias psicotrópicas y drogas, después de unos segundos tensos, el resultado de las pruebas de detección da negativo en consumos prohibidos. Paco se siente a salvo, pero el agente se conecta mediante IoT con la caja negra del vehículo nuevo de Paco, y una vez realizada la lectura…nuestro amigo Paco acaba detenido por un presunto delito contra la seguridad del Tráfico, de los tipificados en el Código Penal… ¿Qué ha pasado?
Pues muy sencillo, la tecnología de grabación de datos de actividad de los automóviles ha ido evolucionando del muy básico EDR (Event Data Recorder) donde sólo se captan elementos básico de consumos y datos técnicos de motor, tales como presiones, temperaturas, pero las nuevas capacidades y necesidades del coche autónomo no ha llevado al DSSAD (Sistema de almacenamiento de datos para conducción automatizada) donde se recogen trayectorias, motores, etc o en futuras versiones avanzadas donde ya se permite incorporar cajas negras automotrices en todos los vehículos privados e interconectarse mediante tecnología IoT, mediante IP e incluso mediante RFID, pudiéndose realizar en tiempo real lecturas de velocidades, trayectorias GPS, datos de actividad de motor, etc.
En la actualidad sólo los talleres tienen acceso a la CPU o unidad de procesamiento o al EDR, mediante el conector de enlace de diagnóstico (DLC), estas conexiones limitadas y verticales exclusivas del taller, es previsible que en muy breve puedan ser on line mediante tecnología IoT vía IP y conexión 5G, sin necesitar contacto físico con el vehículo.
En este sentido y dado el cariz que tienen las diferentes autoridades de control en materia de Seguridad Vial y las líneas maestras marcada por la UE, esta claro que se quiere accidentes cero, y una de las herramientas que van a dotar a los agentes encargados de regulación y control del tráfico será sin duda alguna es el acceso directo a la DSSAD, tanto para investigación de accidentes como para supervisión y vigilancia del tráfico.
El paso del acceso del taller a la unidad policial en carretera es sumamente sencillo dado el estado de la técnica de IoT vinculada al 4G y 5G.
En materia de protección de datos, este dispositivo DSSAD o las versiones futuras más avanzadas, pueden tener repercusiones muy severas en materia de protección de datos de carácter personal, ya que los datos de actividad del vehículo pueden ser vinculados a una persona física identificada e identificable, y esos datos pueden incluir excesos de velocidad, salidas de vía, etc, y en algunos casos más extremos pudieran tener severas repercusiones penales, e incluso nos puede indicar la existencia de un accidente grave (p.e. reducción instantánea de la velocidad del vehículo, por ejemplo por un impacto contra un árbol por una salida de vía en una autopista…)

La Dirección General de Tráfico, esta buscando hace tiempo la reducción de la velocidad de los vehículos en la vía como la mejor herramienta para bajar los accidentes graves. La existencia de una “caja negra” en nuestros vehículos puede comportar que las autoridades puedan acceder a nuestra actividad como conductores, siendo nuestro propio vehículo el principal testigo de cargo en el caso de infracción administrativa o penal por exceso de velocidad.
También hay que tener en cuenta, que Internet of Things, o Internet de las cosas (IoT) , puede hacer que el vehículo, la vía , los fabricantes, las autoridades y otros operadores estén interconectados en tiempo real. Es evidente que estas interconexiones comportan un gran volumen de datos, de sumo interés para los diferentes operadores de la movilidad, ya que la aplicación de la Inteligencia Artificial (IA) puede aportar predicciones y prospectivas de sumo interés, tanto para fabricantes, autoridades de control de movilidad, compañías de seguros, etc. como para las autoridades de control del tráfico, tanto locales, autonómicas y estatales.
Sin duda la “caja negra” interconectada mediante IoT, puede ser un elemento de ayuda y soporte tanto en la investigación de accidentes como para el análisis y regulación de la movilidad, pero es evidente que estas acciones de supervisión y control tendrán que ser tamizadas y ajustadas a la normativa de privacidad aplicable en cada momento, especialmente el RGPD y la LOPDGDD.
.Lo veremos en un tiempo, estaremos a la espera y os tendremos informados.
Un saludo.

29 de Septiembre de 2021

POSIBLES PROBLEMAS LEGALES DE LA CLONACIÓN DE LA VOZ HUMANA

Recientemente empresas tecnológicas han anunciado que bastan 30 segundos de conversación de alguien para clonar su voz y transmitir cualquier mensaje con la voz clonada.

¿Qué pasaría si alguien dice que hemos enviado un mensaje de voz aceptando un contrato de prestación de servicios vía teléfono? ¿Qué pasaría si pedimos el audio y resulta que suena como si fuéramos nosotros mismos?

Sin duda, todas estas situaciones son perfectamente factibles con la tecnología actual. Existen empresas en el mercado que ya publicitan dicha capacidad (p.e. Aflorithmics Labs o Vicomtech), la tecnología actualmente permite que con sólo treinta segundos de conversación nos puedan clonar la voz. El sistema no es sencillo, se aplica Inteligencia Artificial mediante un mastering automatizado en la nube, en un breve instante de tiempo ya tenemos la aplicación parametrizada para clonar la voz de sujeto inicial.

En resumen, una voz clonada, es una voz exactamente igual a nuestra, con nuestro tono, timbre, acento, ritmo, y quien tenga el control de dicha voz clonada tendrá la capacidad de emitir mensajes y comunicaciones exactamente igual que nosotros, pero sin nuestra participación. Recientemente un anuncio en televisión de una conocida marca de cervezas reproducía no sólo la voz sino también la imagen de una famosa artista folclórica fallecida hace décadas.

Es evidente que el uso de nuestra voz clonada puede tener múltiples aplicaciones, unas legítimas, otras de dudosa legalidad y en determinadas ocasiones manifiestamente ilegítimas.

Conviene destacar que estos avances tecnológicos sobre la clonación de la voz coinciden en el tiempo, (y no es por casualidad), con la evolución de la voz como interface digital, la voz ha tomado carta de naturaleza en cuanto a sistema de seguridad e interface de comunicación con los dispositivos electrónicos, aplicaciones como Siri u Ok Google, ya permiten gestionar nuestro hogar domótico o cualquier otra actividad digital simplemente con comandos de voz.

Pero esta facilidad de gestión mediante la voz también puede comportar riesgos importantes en el caso de clonación ilegítima o ilegal ya que cualquiera podrá enviar mensajes o hacerse pasar por nosotros sin limitaciones, ante estos riesgos ¿Cuáles serían las vías de protección legal?

En principio, y vaya por delante, que en materia de privacidad la voz es un dato personal incuestionable,( RGPD art. 4.1) ya que nos identifica de forma singular y diferenciador.

La forma de protección más contundente ante los ilícitos más graves, es el ámbito del Derecho penal. Es evidente que la suplantación de personalidad mediante la clonación de voz puede ser un ilícito de los contemplados en el artículo 401 del Código Penal. También la clonación de la voz puede ser. Un elemento idóneo para realizar engaño bastante en el delito de estafa. La famosa estafa del CEO, puede adquirir unas derivadas muy peligrosas en el caso de la voz sea efectivamente la de nuestro Jefe y nos pida realizar una transferencia a una cuenta bancaria desconocida (si ya es un tipo de estafa habitual mediante correo, ahora añadiendo la voz clonada, ya toma un cariz francamente peligroso). También podría ser un delito la utilización de la voz clonada de un locutor para acciones comerciales o de explotación publicitaria sin autorización (art. 270 y ss. CP), por ejemplo haciendo un anuncio comercial con la voz exacta de un locutor famoso, pero sin su participación o autorización.

En el aspecto civil, podríamos suponer la realización de actividades de especial proyección mediática, imaginemos un personaje público que realiza unas declaraciones incendiarias contra otra persona del mundo del espectáculo…nos podemos imaginar el impacto que pueden tener en las redes sociales, y como consecuencia en la imagen pública de la persona que ha realizado dichas declaraciones. Pero…esa persona no ha sido culpable de nada, muy al contrario ha sido víctima de una suplantación que ha menguado su imagen y su honor. A parte de las acciones penales que pudieran interponerse, también cabrían las acciones civiles contempladas en la Ley 1/82, de protección civil del derecho al honor la imagen y la intimidad. Dicha norma permite la interposición de las correspondientes reclamaciones legales incluyendo en la misma los daños y perjuicios causados, incluido el daño emergente y el lucro cesante que puede darse por la rescisión de contratos publicitarios y similares.

Finalmente, tendríamos la protección administrativa, en concreto al tratarse la voz de un dato personal, su captación, procesamiento y utilización posterior estará sujeta a lo establecido en el Reglamento Europeo de Protección de Datos y por la Ley orgánica de Protección de Datos y Garantías de Derechos Digitales, junto a su legislación complementario y/o concordante.

En este punto hay que destacar, como ya hemos comentado, que si bien en las acciones penales pueden tener consecuencias de duras penas de cárcel o en el caso civil podemos tener situaciones de indemnizaciones económicas importantes, todo ello queda ensombrecido con la capacidad sancionadora que otorga el RGPD a las autoridades de control competentes, en España, al AEPD..

Las sanciones en materia de protección de datos pueden en los casos más graves llegar a 20 millones de euros o el 4% de la facturación mundial del infractor. En estas circunstancias nos podemos encontrar que una infracción muy grave en materia de protección de datos como pudiera ser la falta de consentimiento en el tratamiento de clonación, donde se haya sacado un beneficio económico pueda comportar sanciones millonarias.

En todo caso, parece evidente que la voz como elemento de comunicación va a comportar numerosas dudas sobre autoría y no manipulación. Si estamos hablando de clonación, esteremos delante de una copia exacta de nuestra voz, por tanto sólo se podrá distinguir las posibles manipulaciones por peritos informáticos muy cualificados , aquí recomendamos visitar la web de la Asociación Profesional de Peritos Informático (ASPEI), www.aspei.es

Os iremos informando de esta y otras novedades.

30 de Julio de 2021

PLATAFORMA DE VEHÍCULO CONECTADO, DGT 3.0, APLICACIÓN DE LA DIRECCIÓN GENERAL DE TRÁFICO., ¿NUEVO RETO EN MATERIA DE PROTECCIÓN DE DATOS?

LA ENTRADA EN VIGOR DEL REAL DECRETO 159/2021, DE 16 DE MARZO, POR EL QUE SE REGULAN LOS SERVICIOS DE AUXILIO EN LAS VÍAS PÚBLICAS, EL PRÓXIMO 1 DE JULIO, CONSOLIDA LA TENDENCIA DE LA MOVILIDAD CONECTADA QUE FOMENTA LA DGT DESDE SU PROPUESTA DE PLATAFORMA DE MOVILIDAD INTELIGENTE , DGT 3.0

Recientemente ha vuelto a salir en prensa (La Vanguardia, 26/05/2021) que la Dirección General de Tráfico tiene muy avanzada una aplicación informática que interconectará a los conductores entre sí, con la vía y les notificará en tiempo real las diferentes incidencias y novedades que puedan tener en la ruta.

El objetivo no puede ser más interesante: accidentes cero, heridos cero y fallecidos cero para el famoso año 2050.

Para el desarrollo de esta aplicación se han destinado recursos económicos importantes, que ascienden a más de tres millones de euros y se han implicado prestigiosas empresas e instituciones en su desarrollo. También se han tenido presentes los diferentes operadores que tengan datos o conocimientos para aportar en la mejora de la movilidad, como son los fabricantes de vehículos, centros de coordinación de emergencias o de control de tráfico rodado.

A nadie se le escapa que la potencia y el alcance de esta aplicación va en paralelo a la evolución de las nuevas tecnologías como son el 4G y el 5G, y sobre todo el llamado Internet de las Cosas (IoT), donde millones de dispositivos se conectan en tiempo real, interactuando de forma automatizada. Las previsiones son que una vez este implantado el 5G la plataforma DGT 3.0 entre en pleno funcionamiento.

Sin duda el saber la situación de la vía, si hay un accidente, un tramo de obras o esta cortada por una inclemencia meteorológica es una valiosa información, que a buen seguro será apreciada por los conductores y aportará mejoras en la seguridad y la reducción de la contaminación, optimizando trayectos y reduciendo caravanas e incidentes.

Con la entrada en vigor del RD 159/2021, de 16 de mayo, por el cual se reforma el Reglamento General de Vehículos, se da un paso más en esa dirección, dicha norma, modifica el Reglamento General de Vehículos y regula la conexión a la nube de la DGT, no sólo de los vehículos con incidencia en la vía ( señales luminosas e interconexión bajo protocolo V.16), sino de los servicios de asistencia en ruta, creando un registro de homologación de los operadores de dichos servicios, de obligada inscripción en el Registro Estatal de Auxilio en Vías Públicas (REAV), así como a la señalización en tiempo real de las actividades de asistencia , geoposicionando los servicios en tiempo real de la ubicación de los trabajos con el protocolo de comunicaciones asignado (V.2, V.23 y V.24).

De todas estas novedades en materia de movilidad y seguridad vía echamos a faltar un elemento importante, el estudio de la evaluación del impacto en materia de privacidad.

En efecto, la realidad es que detrás de cada vehículo, u operador de movilidad hay personas físicas, identificadas o identificables (titulares, conductores, peatones afectados, personal técnico de asistencia en ruta, etc.), haciendo poco o nada creíble que esos datos masivos utilizados se traten exclusivamente de forma anónima sin posibilidad de reversión por ninguno de los operadores afectados.

La interconexión de todos los elementos de movilidad urbana en interurbana mediante el 5G e IoT, junto a la IA, hace que el cerco sobre la esfera de la intimidad sea cada vez más estrecho, y más si lo asociamos al uso masivo de nuestros inseparables smartphone.

El cruce de datos entre todos los dispositivos interconectados en tiempo real puede abrir la puerta no sólo a las conductas de asistencia en carretera o ayuda ante incidentes, sino a la supervisión de fiel y estricto cumplimiento de las normas de circulación, ya que será nuestro propio vehículo el que vaya indicando a la Autoridad de Control las situaciones que pudieran constituir infracción administrativa e incluso penal.

Y de todo ello, no parece que nadie vaya a informar adecuadamente según el RGPD y la LOPDGDD a los usuarios e incluso a los terceros afectados, como pudieran ser pasajeros o viandantes.

Por tanto, entendemos que dichas nuevas plataformas de gestión de la movilidad, ya sea urbana o interurbana, compartidas o no , necesitan un análisis profundo desde el punto de vista de la afectación o los riesgos que pueda tener en materia de privacidad desde el punto de vista del RGPD Y.

No basta con enunciar que serán datos anónimos, el principio de Responsabilidad Activa del artículo 5.2 del RGPD nos exige poder acreditar en todo momento los hechos, por tanto, se hace imprescindible que en todo proyecto donde pueda haber uso masivo de datos que pudieran ser vinculados a personas se haga la correspondiente evaluación del riesgo y los oportunos Planes de Evaluación de Impacto, y todo ello, por supuesto, antes de la puesta en explotación, como nos indica el principio de privacidad desde el diseño del artículo 25 del RGPD.

No perdemos la esperanza de que en breve se publicaran los informes correspondientes por parte del Delegado de Protección de Datos de la Dirección General de Tráfico respecto a la plataforma DGT 3.0.

28 de Mayo de 2021

Memoria AEPD 2020: Refrendo del Tribunal Supremo a las Sanciones Impuestas por la AEPD: 95%

Imagen de Hans Braxmeier en Pixabay
En la recientemente publicada memoria del 2020 de la agencia española de protección de datos, se constata la tendencia del TS de confirmar de forma abrumadora las resoluciones sancionadoras de la AEPD.

En un sistema jurídico con garantías, como es el español, las resoluciones administrativas sancionadoras pueden ser revisadas por los jueces según establecen las leyes procesales oportunas.

En el caso de las resoluciones sancionadoras interpuestas por la Agencia Española de Protección de Datos, el órgano juzgador competente en primera instancia es la Audiencia Nacional y en segunda instancia seria el Tribunal Supremo.

Históricamente , al ser la AEPD un operador jurídico con garantías y amplia experiencia procesal, las resoluciones sancionadoras que eran recurridas por los afectados eran en primera instancia mayoritariamente desestimadas total o parcialmente y en algunos casos inadmitidas, siendo las pocas estimadas a favor del recurrente normalmente por cuestiones procesales más que de fondo del asunto (p.e. prescripciones, caducidad, errores materiales, etc) o por cambios legislativos favorables.

Es evidente que una vez pasada la primera instancia procesal , (la Audiencia Nacional), cuando el asunto llega a la segunda instancia, (el Tribunal Supremo), ya ha sido juzgado por un órgano judicial colegiado y cualificado, siendo poco probable que no se hayan tenido en cuenta argumentos o situaciones con relevancia jurídica que puedan modificar el sentido de un fallo. En todo caso, como el error humano existe, la segunda instancia verifica si se ajusta el fallo recurrido a la Ley, como muestra de lo anterior cave destacar que en este año 2020, ha habido una sentencia estimada por el TS , aunque también conviene destacar que han sido desestimadas otras 17...

En todo caso, es un hecho innegable, que las estadísticas históricas de los fallos judiciales actúan como elemento disuasorio a la hora de plantearse un recurso judicial contra la AEPD, haciéndolo sólo recomendable en los casos que verdaderamente exista un sustento jurídico claro y preciso.

En todo caso, en la solución de conflictos en materia de RGPD, si que nos gustaría destacar desde estas líneas la importancia que esta cobrando el sistema de “Traslado” de actuaciones que esta adoptando la AEPD, consistente en dar conocimiento al denunciado de la existencia de una denuncia contra su persona física o jurídica, indicándole la posibilidad de prestar alegaciones y aclarar los hechos antes de iniciarse las actuaciones inspectoras.

Entendemos que este procedimiento previo , el “Traslado” es una gran oportunidad para solventar posibles malos entendidos e incidencias y evitar ulteriores procedimientos sancionadores de resultado incierto y muy probablemente onerosos Desde ATGROUP os iremos informado de las novedades sobre este y otros temas que os puedan ser de interés en materia de RGPD.

30 de Abril de 2021