BIENVENIDOS A ATGROUP

Últimas Noticias

¿QUÉ DEBO HACER PARA QUE NO ME ROBEN LA IDENTIDAD?

SI DOY MI IDENTIDAD A QUIEN NO DEBO, LAS CONSECUENCIAS PUEDEN SER MUY DOLOROSAS, EN ALGUNOS CASOS PUEDE SIGNIFICAR EL INICIO DE LAS PESADILLAS, DE ESAS QUE NO PARECEN QUE SE ACABEN NUNCA...

En los últimos meses nos estamos encontrando con un preocupante aumento de las consultas que recibimos en el despacho sobre robos de identidad de clientes y conocidos.

La realidad es que la digitalización de servicios bancarios y de medios de pago a supuesto una gran oportunidad para los amigos de lo ajeno, generando nuevos modus operendis para cometer delitos de los de siempre como son las estafas y fraudes.

Todos en un momento de descuido hemos bajado la guardia y hemos entregado una documentación o una información a un tercero que le presuponemos formalidad y garantía, pero que no hemos contrastado, ya sea en temas de comercio electrónico, la compraventa de vehículos o inmuebles o incluso la candidatura a algún puesto de trabajo.

Existen innumerables ocasiones en las cuales entregamos nuestra copia de DNI y el resto de los datos personales sin demasiadas o ninguna pregunta. Por suerte, en la mayoría de las ocasiones se tratan de operadores honestos y la aportación de documentación no tienen más trascendencia que el buen fin de la operación. Pero en alguna ocasión la cosa se puede complicar, especialmente si nuestros datos y nuestra documentación cae en manos de los profesiones de la suplantación.

En efecto, estos profesionales son especialistas en simular entornos digitales de operadores con garantías, haciéndose pasar por empresas reconocidas, por terceros identificados, etc. Todo ello con el fin de generar confianza y obtener aquello tan preciado que andan buscando: nuestra identidad.

Pero ¿para qué sirve mi identidad? ¿qué pueden hacer con ella? , históricamente hay un tipo de fraude muy conocido que consistía en solicitar créditos personales en base a un DNI robado o “distraído” , normalmente no solían ser créditos bancarios sino créditos al consumo tramitados por financieras, que históricamente no han sido tan puntillosas con la identificación de su cliente final como la banca, confiando en el gestor del crédito (normalmente el vendedor del bien comprado fraudulentamente) fuera diligente y comprobará que su cliente correspondía con la documentación aportada.

La realidad era que la pobre víctima recibía una notificación que estaba en una lista de morosos y tenia un montón de créditos pendientes por consumo de cosas que ni conocía ni había comprado.

En la actualidad, este tipo de fraude se sigue dando, pero corregido y aumentado con l irrupción del comercio electrónico, tanto B2C como B2B. Es decir, entre empresas y entre empresas y particulares. Por ejemplo, hemos detectado que algún comprador de una conocida web de venta de segunda mano solicita antes de realizar el pago que se le envíe copia del DNI del vendedor “como garantía” del dinero que va a ingresar…es evidente que se trata de una posible trampa ya que existen métodos más sencillos y seguros de garantizar el cobro en la misma aplicación.

En resumidas cuentas, nuestras recomendaciones para evitar este tipo de situaciones son:

  1. No entregar nuestros datos personales ni documentos alguno a desconocidos
  2. Denunciar de forma inmediata a la más mínima sospecha de fraude.
  3. En caso de ser una entidad bancaria o financiera, denunciar el posible fraude ante el COMPLIANCE OFFICER, u oficial de complimiento normativo.
  4. No dejar sin control ni a terceros nuestro móvil, pc etc.
  5. Cambiar frecuentemente las contraseñas.
  6. No conectar nuestro dispositivo a redes Wi Fi desconocidas especialmente en aeropuertos, estaciones y centros de gran afluencia de personas.
  7. No conectar el móvil a dispositivos de carga públicos sin garantías.
  8. No contestar ni clicar en los hiperenlaces de correos electrónicos sospechosos.
  9. Atender a los requerimientos de juzgados, policía o fiscalía de forma diligente y con ayuda profesional.
  10. Reclamar daños y perjuicios a las entidades que por su falta de diligencia en el control de identidades nos hayan ocasionado un daño o un perjuicio.
En todo caso, nuestra recomendación pasa por una correcta gestión de la incidencia siendo la diligencia y la actuación temprana una de las pocas herramientas que nos quedan ante la eventualidad del robo de identidad.

En este punto, también nos gustaría destacar que a veces los delincuentes utilizan como tapadera empresas perfectamente legitimas y honradas, desconocedoras de las acciones fraudulentas que realizan terceros con su nombre. En este caso, nuestra recomendación es que las empresas sean extremadamente proactivas tanto en sus auditorias de COMPLIANCE, como en la reacción de investigación y puesta en conocimiento de la autoridad judicial cualquier circunstancia que pudiera ser susceptible de delito.

En caso contrario, la empresa y sus directivos podrán tener responsabilidades legales, y en algunos casos más extremos, incluso penales.

Finalmente, como siempre, quedamos a vuestra disposición para cualquier duda o consulta sobre este tema o algún otro que sea de vuestro interés.
Os seguiremos informando.
Un saludo.
--
Jorge Ortega

1 de Febrero de 2022

LA PROTECCIÓN DE DATOS Y LAS FUSIONES Y ADQUISICIONES

LAS DUE DILIGENCE PREVIAS A UNA FUSIÓN O ADQUISICIÓN NO SIEMPRE CONTEMPLAN EL CUMPLIMIENTO DEL RGPD Y DICHA OMISIÓN PUEDE COMPORTAR CARGAS OCULTAS Y RESPONSABILIDADES AL AUDITOR.

En estos tiempos tan convulsos estamos viendo como gran número de compañías van cambiando de manos, ya sea por compras de fondos de inversión o por compra de otras empresas del sector e incluso por fusiones entre compañías afines o complementarias.

En todo caso, es muy habitual que de forma previa a la compra o transmisión de la empresa ofertada se realice una auditoría de Diligencia Debida o due diligence.

El objeto de dicha auditoria no es otro que dar la imagen fiel de la compañía objeto de compra y suele abarcar todas las áreas de actividad de la empresa y no sólo la financiera, como son las áreas: comercial, Propiedad Industrial, recursos humanos, prevención de riesgos laborales, operaciones, logística, producción, etc.

Por ese mismo motivo, la multitud de áreas a auditar, el equipo de trabajo que realice la due diligence y analice la situación real empresarial no puede ser exclusivamente compuesto por personal del área financiera, ya que en numerosas ocasiones la imagen financiera no corresponde con la imagen real operativa de la empresa, siendo imprescindible la participación de un equipo multidisciplinar de profesionales, con conocimientos específicos de cada área.

Consciente de esa realidad, el legislador ha establecido la obligación para un tipo de empresas de realizar un informe de situación de estados no financieros, con la idea de acreditar esos otros parámetros de gestión no cuantificables en un balance o en una cuenta de explotación al uso (p.e. Medio

Ambiente, compliance, igualdad, etc).

En materia de protección de datos, los riesgos empresariales tienen una probabilidad estadística baja, pero un impacto sobre el negocio severo, las posibles consecuencias catastróficas en caso de incidente grave o muy grave pueden comportar sanciones que pueden llegar a los 20.000.000 de euros o el 4% de la facturación mundial.

En este sentido el auditor que realice una due diligence, tendrá que identificar y valorar la existencia de conductas de riesgo en materia de protección de datos personales como son: prácticas comerciales agresivas, falta de ciberseguridad, carencia de DPD, la falta de documentación adecuada, la existencia de requerimientos de la autoridad de control competente o de clientes, etc. Todas las conductas anteriores pueden ser indicativo de la existencia de un severo problema en la gestión de la compañía.

En el caso de una compra o fusión (M&M), la probabilidad del riesgo y el impacto en el negocio tendrían que constar y cuantificar de forma clara y concreta en el informe de Diligencia Debida (Due Diligence), siendo el comprador el que determine si es de interés continuar con la adquisición o no. También en el mencionado informe se pueden proponer medidas de transferencia o aseguramiento del riesgo como puede ser la subscripción de una póliza de seguros que cubra la ciberseguridad o las posibles repercusiones en materia de protección de datos.

En todo caso, la conclusión es que una correcta auditoria de due diligence deberá identificar y valorar los riesgos en materia de protección de datos, y en su caso proponer medidas paliativas o de transferencia del riesgo, con las consiguientes repercusiones económicas en el precio de adquisición.

Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de la auditoria de Diligencia Debida, el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD) así como para atender los requerimientos de información que el responsable de fichero les solicite dentro de sus funciones..

Os seguiremos informando.
Un saludo.
--
Jorge Ortega

30 de Diciembre de 2021

PLAN DE PREVENCIÓN DEL FRAUDE PARA AYUNTAMIENTOS, ¿UNA EXIGENCIA PARA EL COBRO DE LOS FONDOS PRTR-UE?

El PLAN DE RECUPERACIÓN, TRANSFORMACIÓN Y RESILENCIA (PRTR) DE LA U.E. es el instrumento creado para mitigar los impactos de la pandemia COVID-19.

En efecto, los fondos que vendrán de la UE en concepto del PRTR (Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo por el que se establece un Mecanismo de Recuperación y Resiliencia) , no van a ser fáciles de obtener, ya que la reticencia de los países del Norte de Europa a dar cantidades importantes de dinero a fondo perdido a los países de sur de Europa ha añadido nuevas reglas con el fin de limitar y acotar en todo lo posibles esta aportación, especialmente cuando se trata de estas partidas a fondo perdido.

En este sentido, lo trámites administrativos y de control son especialmente duros, exigiendo la implantación efectiva en cada proyecto bonificable de un riguroso sistema de gestión mediante la fijación de hitos y eventos, con puntos de control periódicos y reportes continuos a la superioridad sobre desviaciones sobre el cronograma fijado (Orden HFP/1031/2021, de 29 de septiembre, por la que se establece el procedimiento y formato de la información a proporcionar por las Entidades del Sector Público Estatal, Autonómico y Local para el seguimiento del cumplimiento de hitos y objetivos y de ejecución presupuestaria y contable de las medidas de los componentes del Plan de Recuperación, Transformación y Resiliencia).

En todo caso, el mencionado Sistema de Gestión implantado en los fondos derivados del PRTR, está orientado a definir, planificar, ejecutar, seguir y controlar los proyectos y subproyectos que formen parte del Plan de Recuperación, Transformación y Resiliencia. Una de los elementos estrella del mencionado sistema de gestión propuesto es el «Plan de medidas antifraude», el cual deberá cumplir los siguientes requerimientos mínimos:

 a) Aprobación por la entidad decisora o ejecutora, en un plazo inferior a 90 días desde la entrada en vigor de la presente Orden o, en su caso, desde que se tenga conocimiento de la participación en la ejecución del PRTR.

 b) Estructurar las medidas antifraude de manera proporcionada y en torno a los cuatro elementos clave del denominado «ciclo antifraude»: prevención, detección, corrección y persecución.

 c) Prever la realización, por la entidad de que se trate, de una evaluación del riesgo, impacto y probabilidad de riesgo de fraude en los procesos clave de la ejecución del Plan de Recuperación, Transformación y Resiliencia y su revisión periódica, bienal o anual según el riesgo de fraude y, en todo caso, cuando se haya detectado algún caso de fraude o haya cambios significativos en los procedimientos o en el personal.

 d) Definir medidas preventivas adecuadas y proporcionadas, ajustadas a las situaciones concretas, para reducir el riesgo residual de fraude a un nivel aceptable.

 e) Prever la existencia de medidas de detección ajustadas a las señales de alerta y definir el procedimiento para su aplicación efectiva.

 f) Definir las medidas correctivas pertinentes cuando se detecta un caso sospechoso de fraude, con mecanismos claros de comunicación de las sospechas de fraude.

 g) Establecer procesos adecuados para el seguimiento de los casos sospechosos de fraude y la correspondiente recuperación de los Fondos de la UE gastados fraudulentamente.

 h) Definir procedimientos de seguimiento para revisar los procesos, procedimientos y controles relacionados con el fraude efectivo o potencial, que se transmiten a la correspondiente revisión de la evaluación del riesgo de fraude.

 i) Específicamente, definir procedimientos relativos a la prevención y corrección de situaciones de conflictos de interés conforme a lo establecido en los apartados 1 y 2 del artículo 61 del Reglamento Financiero de la UE. En particular, deberá establecerse como obligatoria la suscripción de una DACI por quienes participen en los procedimientos de ejecución del PRTR, la comunicación al superior jerárquico de la existencia de cualquier potencial conflicto de intereses y la adopción por este de la decisión que, en cada caso, corresponda.

En todo caso la mencionada norma exige cierta independencia en la auditoria e implementación de dicho Plan Antifraude, teniendo especial relevancia la no existencia de conflicto de intereses entre la organización interna o externa que propone las medidas antifraude y la Administración Local que deberá implantar el mismo.

Según la Secretaria General de Fondos Europeos, el Plan incluye disposiciones relativas a medidas para prevenir, detectar y corregir la corrupción, el fraude y los conflictos de intereses en la utilización de los fondos proporcionados en el marco de dicho Reglamento, para evitar la doble financiación, así como para garantizar el pleno respeto a la normativa reguladora de las Ayudas de Estado.

Por tanto, no es nada recomendable que sea la empresa o el departamento que se encarga de gestionar la llegada y supervisión de las ayudas públicas el que sea el encargado del desarrollo e implementación del mencionado Plan Antifraude. También conviene destacar la necesidad de implicación de las más altas instancias de la Administración donde se pretenda implantar el Plan Antifraude, ya que en todo momento deberá ser validado y refrendado, si pretendemos cumplir fehacientemente con lo expuesto en la norma.

o.

Finalmente, no nos cansaremos de recomendar la intervención del Delegado de Protección de Datos de la organización en toda la gestión de dar respuesta al traslado de la AEPD, siendo el DPD el interlocutor natural con la autoridad de control y el profesional cualificado para asesorar y coordinar todo el proceso de respuesta a las denuncias interpuestas (art. 37 RGPD).

Os seguiremos informando.

Un saludo.
--
Jorge Ortega

30 de Noviembre de 2021

Homologados por el CSUC como proveedor de servicios de asesoramiento e implementación de RGPD-LOPDGDD

El pasado martes día 9 de noviembre El Consorci de Serveis Universitaris de Catalunya (CSUC) homologó a ATGROUP como uno de sus proveedores oficiales en servicios de asesoramiento e implementación de RGPD y LOPDGDD.

El CSUC es una entidad de derecho público que agrupa a la mayor parte de las universidades catalanas, tanto públicas como privadas, para la realización de acciones conjuntas. El proceso de homologación tiene como objetivo garantizar que los servicios de los principales proveedores cuenten con un conjunto de servicios de consultoría, auditoría y soporte de naturaleza tanto técnica como jurídica, necesarios para conseguir, y mantener durante la vigencia de la contratación, la adecuación, cumplimiento de la normativa asociada al Esquema Nacional de Seguridad (ENS), ISO 27001 y al Reglamento General de Protección de Datos (RGPD), y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

A continuación los tres servicios por los que hemos sido homologados:

LOTE 2. Servicios de Protección de Datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación de un servicio concreto y que tienen como objetivo la realización de una tarea concreta y la entrega de un informe resultante de su ejecución. Los servicios contemplados en este lote requieren de la participación de un equipo por parte del proveedor en el que se pueden requerir competencias jurídicas, técnicas o de gestión.

LOTE 3: Servicios profesionales en protección de datos:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la colaboración con los equipos de protección de datos de las universidades para el desarrollo de una actividad concreta y principalmente por parte de una persona altamente calificada de la empresa adjudicataria donde las competencias personal de la persona asignada son el elemento relevante en la ejecución de la misma.

LOTE 4: Oficina técnica de apoyo al DPD:
Este lote contempla aquellos servicios en materia de protección de datos que tienen como objetivo la prestación del servicio de oficina técnica de soporte al Delegado de Protección de Datos de cada centro.

23 de Noviembre de 2021

La Ley de Secretos Empresariales… esa gran desconocida

La Ley de Secretos Empresariales… esa gran desconocida ¿TENGO PROTEGIDOS LOS SECRETOS DE MI EMPRESA?, ¿PUEDO DEFENDERME EN CASO DE ROBO O SUSTRACCIÓN?¿QUE RECURSOS LEGALES TENGO?

Cuando hablamos de información de la empresa podemos hablar de todo tipo de datos, ya sean personales como estrictamente mercantiles. En todo caso la información en las organizaciones es vital para su funcionamiento, y alguna información en concreto deviene en estratégica y vital para la supervivencia de la empresa.

Existe una protección legal para cierto tipo de contenidos como son las patentes, las marcas comerciales, e incluso la obra artística, técnica o literaria. La Ley de Propiedad Intelectual y la Ley de Patentes y Marcas contemplan la protección de la invención, la imagen de marca, la obra artística entre otras obras humanas aplicables al mundo empresarial.

Pero la realidad es que no toda la información de valor estratégico para la empresa tenia una protección legal directa. En efecto, por ejemplo un listado de proveedores clave, es un documento interno sin mayor singularidad, ya que no se puede patentar, ni es una marca, ni es una obra artística ni nada semejante, por tanto su protección ante terceros mediante las anteriores normas quedaba en la mayoría de las ocasiones fuera de lugar y tenían que refugiarse en los tipos generales de la Ley de Competencia Desleal, que de forma genérica recogía algunas conductas de captación y uso no autorizado de información empresarial como ilícitas.

En todo caso, para solventar este déficit de protección y en transposición de la Directiva 943/2016 sobre protección de los conocimientos técnicos empresariales, el legislador promulgó la Ley 1/2019, de 20 de febrero, la llamada Ley de Secretos Empresariales. Dicha norma, no ha tenido un gran impacto mediático por motivos diversos, como es la crisis COVID, pero es una norma vigente, y bajo nuestro punto de vista, de gran interés para la empresa. Dicha norma establece que es información secreta empresarial, como hay que protegerla y como se puede defender contra el acceso, uso y distribución ilegal de la misma.

La recomendación en todas las auditorias de servicios que realizamos desde ATGROUP es que se protejan los activos intangibles incluyendo los sistemas y formas que establece la normativa sectorial aplicable (p.e. RGPD, CP, etc.), en coordinación y yuxtaposición a lo que establece la Ley de Secretos Empresariales.

Con esta configuración mixta, la información empresarial podrá gozar de varias capas de protección jurídica ( según los casos, administrativa, penal, civil y mercantil).

También hay que tener presente, que en los procesos de auditoría, tanto de RGPD como de COMPLIANCE PENAL, es necesario realizar un inventario de activos, análisis de seguridad de la información, revisión de procesos, control de accesos, etc. Todos esos trabajos son esenciales también para la implementación de la Ley de Secretos Empresariales en la organización.

Por tanto, desde ATGROUP recomendamos la implementación de la Ley de Secretos Empresariales en todas las organizaciones, y si la hacemos coincidir con una auditoria de otra materia, es más que posible que se generen sinergias que puedan hacer que el presupuesto para este tipo de proyectos sea considerablemente más reducido.

Un saludo.

Mas información: info@atgroup.es

29 de Octubre de 2021

¿CAJA NEGRA EN MI COCHE INTELIGENTE?

EN QUE ME PUEDE AFECTAR LA CAJA NEGRA AUTOMOTRIZ EN MI VEHÍCULO PARTICULAR.

Paco con su coche nuevo de alta gama, circulaba por la N II, de madrugada, prácticamente sólo en la carretera, a una velocidad algo elevada, cruzando poblaciones, pero sin reducir velocidad a sabiendas que en esa zona no hay radares fijos ni móviles, por eso estaba muy tranquilo, ya que era prácticamente imposible que fuera detectado su exceso de velocidad.
Al girar una rotonda, ve un destello azul y le da el alto una patrulla de la Guardia Civil de Tráfico, en el alto policial, le solicitan la realización de test de detección de alcohol y sustancias psicotrópicas y drogas, después de unos segundos tensos, el resultado de las pruebas de detección da negativo en consumos prohibidos. Paco se siente a salvo, pero el agente se conecta mediante IoT con la caja negra del vehículo nuevo de Paco, y una vez realizada la lectura…nuestro amigo Paco acaba detenido por un presunto delito contra la seguridad del Tráfico, de los tipificados en el Código Penal… ¿Qué ha pasado?
Pues muy sencillo, la tecnología de grabación de datos de actividad de los automóviles ha ido evolucionando del muy básico EDR (Event Data Recorder) donde sólo se captan elementos básico de consumos y datos técnicos de motor, tales como presiones, temperaturas, pero las nuevas capacidades y necesidades del coche autónomo no ha llevado al DSSAD (Sistema de almacenamiento de datos para conducción automatizada) donde se recogen trayectorias, motores, etc o en futuras versiones avanzadas donde ya se permite incorporar cajas negras automotrices en todos los vehículos privados e interconectarse mediante tecnología IoT, mediante IP e incluso mediante RFID, pudiéndose realizar en tiempo real lecturas de velocidades, trayectorias GPS, datos de actividad de motor, etc.
En la actualidad sólo los talleres tienen acceso a la CPU o unidad de procesamiento o al EDR, mediante el conector de enlace de diagnóstico (DLC), estas conexiones limitadas y verticales exclusivas del taller, es previsible que en muy breve puedan ser on line mediante tecnología IoT vía IP y conexión 5G, sin necesitar contacto físico con el vehículo.
En este sentido y dado el cariz que tienen las diferentes autoridades de control en materia de Seguridad Vial y las líneas maestras marcada por la UE, esta claro que se quiere accidentes cero, y una de las herramientas que van a dotar a los agentes encargados de regulación y control del tráfico será sin duda alguna es el acceso directo a la DSSAD, tanto para investigación de accidentes como para supervisión y vigilancia del tráfico.
El paso del acceso del taller a la unidad policial en carretera es sumamente sencillo dado el estado de la técnica de IoT vinculada al 4G y 5G.
En materia de protección de datos, este dispositivo DSSAD o las versiones futuras más avanzadas, pueden tener repercusiones muy severas en materia de protección de datos de carácter personal, ya que los datos de actividad del vehículo pueden ser vinculados a una persona física identificada e identificable, y esos datos pueden incluir excesos de velocidad, salidas de vía, etc, y en algunos casos más extremos pudieran tener severas repercusiones penales, e incluso nos puede indicar la existencia de un accidente grave (p.e. reducción instantánea de la velocidad del vehículo, por ejemplo por un impacto contra un árbol por una salida de vía en una autopista…)

La Dirección General de Tráfico, esta buscando hace tiempo la reducción de la velocidad de los vehículos en la vía como la mejor herramienta para bajar los accidentes graves. La existencia de una “caja negra” en nuestros vehículos puede comportar que las autoridades puedan acceder a nuestra actividad como conductores, siendo nuestro propio vehículo el principal testigo de cargo en el caso de infracción administrativa o penal por exceso de velocidad.
También hay que tener en cuenta, que Internet of Things, o Internet de las cosas (IoT) , puede hacer que el vehículo, la vía , los fabricantes, las autoridades y otros operadores estén interconectados en tiempo real. Es evidente que estas interconexiones comportan un gran volumen de datos, de sumo interés para los diferentes operadores de la movilidad, ya que la aplicación de la Inteligencia Artificial (IA) puede aportar predicciones y prospectivas de sumo interés, tanto para fabricantes, autoridades de control de movilidad, compañías de seguros, etc. como para las autoridades de control del tráfico, tanto locales, autonómicas y estatales.
Sin duda la “caja negra” interconectada mediante IoT, puede ser un elemento de ayuda y soporte tanto en la investigación de accidentes como para el análisis y regulación de la movilidad, pero es evidente que estas acciones de supervisión y control tendrán que ser tamizadas y ajustadas a la normativa de privacidad aplicable en cada momento, especialmente el RGPD y la LOPDGDD.
.Lo veremos en un tiempo, estaremos a la espera y os tendremos informados.
Un saludo.

29 de Septiembre de 2021

POSIBLES PROBLEMAS LEGALES DE LA CLONACIÓN DE LA VOZ HUMANA

Recientemente empresas tecnológicas han anunciado que bastan 30 segundos de conversación de alguien para clonar su voz y transmitir cualquier mensaje con la voz clonada.

¿Qué pasaría si alguien dice que hemos enviado un mensaje de voz aceptando un contrato de prestación de servicios vía teléfono? ¿Qué pasaría si pedimos el audio y resulta que suena como si fuéramos nosotros mismos?

Sin duda, todas estas situaciones son perfectamente factibles con la tecnología actual. Existen empresas en el mercado que ya publicitan dicha capacidad (p.e. Aflorithmics Labs o Vicomtech), la tecnología actualmente permite que con sólo treinta segundos de conversación nos puedan clonar la voz. El sistema no es sencillo, se aplica Inteligencia Artificial mediante un mastering automatizado en la nube, en un breve instante de tiempo ya tenemos la aplicación parametrizada para clonar la voz de sujeto inicial.

En resumen, una voz clonada, es una voz exactamente igual a nuestra, con nuestro tono, timbre, acento, ritmo, y quien tenga el control de dicha voz clonada tendrá la capacidad de emitir mensajes y comunicaciones exactamente igual que nosotros, pero sin nuestra participación. Recientemente un anuncio en televisión de una conocida marca de cervezas reproducía no sólo la voz sino también la imagen de una famosa artista folclórica fallecida hace décadas.

Es evidente que el uso de nuestra voz clonada puede tener múltiples aplicaciones, unas legítimas, otras de dudosa legalidad y en determinadas ocasiones manifiestamente ilegítimas.

Conviene destacar que estos avances tecnológicos sobre la clonación de la voz coinciden en el tiempo, (y no es por casualidad), con la evolución de la voz como interface digital, la voz ha tomado carta de naturaleza en cuanto a sistema de seguridad e interface de comunicación con los dispositivos electrónicos, aplicaciones como Siri u Ok Google, ya permiten gestionar nuestro hogar domótico o cualquier otra actividad digital simplemente con comandos de voz.

Pero esta facilidad de gestión mediante la voz también puede comportar riesgos importantes en el caso de clonación ilegítima o ilegal ya que cualquiera podrá enviar mensajes o hacerse pasar por nosotros sin limitaciones, ante estos riesgos ¿Cuáles serían las vías de protección legal?

En principio, y vaya por delante, que en materia de privacidad la voz es un dato personal incuestionable,( RGPD art. 4.1) ya que nos identifica de forma singular y diferenciador.

La forma de protección más contundente ante los ilícitos más graves, es el ámbito del Derecho penal. Es evidente que la suplantación de personalidad mediante la clonación de voz puede ser un ilícito de los contemplados en el artículo 401 del Código Penal. También la clonación de la voz puede ser. Un elemento idóneo para realizar engaño bastante en el delito de estafa. La famosa estafa del CEO, puede adquirir unas derivadas muy peligrosas en el caso de la voz sea efectivamente la de nuestro Jefe y nos pida realizar una transferencia a una cuenta bancaria desconocida (si ya es un tipo de estafa habitual mediante correo, ahora añadiendo la voz clonada, ya toma un cariz francamente peligroso). También podría ser un delito la utilización de la voz clonada de un locutor para acciones comerciales o de explotación publicitaria sin autorización (art. 270 y ss. CP), por ejemplo haciendo un anuncio comercial con la voz exacta de un locutor famoso, pero sin su participación o autorización.

En el aspecto civil, podríamos suponer la realización de actividades de especial proyección mediática, imaginemos un personaje público que realiza unas declaraciones incendiarias contra otra persona del mundo del espectáculo…nos podemos imaginar el impacto que pueden tener en las redes sociales, y como consecuencia en la imagen pública de la persona que ha realizado dichas declaraciones. Pero…esa persona no ha sido culpable de nada, muy al contrario ha sido víctima de una suplantación que ha menguado su imagen y su honor. A parte de las acciones penales que pudieran interponerse, también cabrían las acciones civiles contempladas en la Ley 1/82, de protección civil del derecho al honor la imagen y la intimidad. Dicha norma permite la interposición de las correspondientes reclamaciones legales incluyendo en la misma los daños y perjuicios causados, incluido el daño emergente y el lucro cesante que puede darse por la rescisión de contratos publicitarios y similares.

Finalmente, tendríamos la protección administrativa, en concreto al tratarse la voz de un dato personal, su captación, procesamiento y utilización posterior estará sujeta a lo establecido en el Reglamento Europeo de Protección de Datos y por la Ley orgánica de Protección de Datos y Garantías de Derechos Digitales, junto a su legislación complementario y/o concordante.

En este punto hay que destacar, como ya hemos comentado, que si bien en las acciones penales pueden tener consecuencias de duras penas de cárcel o en el caso civil podemos tener situaciones de indemnizaciones económicas importantes, todo ello queda ensombrecido con la capacidad sancionadora que otorga el RGPD a las autoridades de control competentes, en España, al AEPD..

Las sanciones en materia de protección de datos pueden en los casos más graves llegar a 20 millones de euros o el 4% de la facturación mundial del infractor. En estas circunstancias nos podemos encontrar que una infracción muy grave en materia de protección de datos como pudiera ser la falta de consentimiento en el tratamiento de clonación, donde se haya sacado un beneficio económico pueda comportar sanciones millonarias.

En todo caso, parece evidente que la voz como elemento de comunicación va a comportar numerosas dudas sobre autoría y no manipulación. Si estamos hablando de clonación, esteremos delante de una copia exacta de nuestra voz, por tanto sólo se podrá distinguir las posibles manipulaciones por peritos informáticos muy cualificados , aquí recomendamos visitar la web de la Asociación Profesional de Peritos Informático (ASPEI), www.aspei.es

Os iremos informando de esta y otras novedades.

30 de Julio de 2021