Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Si mi empresa ha ocultado el
incidente, ¿cómo se ha enterado
el regulador?
Francisco Pérez Bes
Abogado
@pacoperezbes
La transparencia como tendencia regulatoria
¿Por qué no se revelan los incidentes?
El miedo a las represalias y la teoría ...
El whistleblowing: ¿qué es?
Un canal de denuncia, efectivo, confidencial y seguro, a través del cual
revelar la comisión d...
¿Tengo obligación de denunciar?
Sí, de conformidad con el artículo 259 de la Ley de Enjuiciamiento Criminal
(1882).
El que...
¿Hay una ley de whistleblowing?
Existen normas sectoriales que ya contemplaban la obligación de disponer de
mecanismos int...
¿Incluye la ciberseguridad?
Considerando 14 de la Directiva de Whistleblowing:
Necesidad de desarrollar sistemas para que ...
¿Incluye la ciberseguridad?
Entre las infracciones a las que se refiere la ley están las que afectan a
la protección de la...
¿Incluye la ciberseguridad?
La Directiva NIS se traspuso en España a través del RD-Ley 12/2018:
Artículo 19: obligación de...
¿Incluye la ciberseguridad?
El RGPD se desarrolla en España a través de la LOPDGDD 3/2018, de 5
de diciembre.
Artículo 24....
¿Incluye la ciberseguridad?
Medida 3 del Objetivo III de la Línea de Acción 4 (“impulsar la
ciberseguridad de ciudadanos y...
Otros aspectos
Excluye la protección de la información clasificada.
La protección contra represalias a trabajadores en sen...
Funcionamiento
Canales internos (orales y escritos) diseñados para proteger de forma segura la
confidencialidad de la iden...
Medidas de apoyo y protección
Prohibición de represalias: definición de “represalia”.
Protección frente a represalias: exe...
¿Cuándo es exigible?
Con carácter general, la transposición de la Directiva ha de tener lugar
antes de 17 de diciembre de ...
Muchas gracias
Francisco Pérez Bes
Abogado
@pacoperezbes
Prochain SlideShare
Chargement dans…5
×

Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_regulador_-_francisco_perez_bes

109 vues

Publié le

RootedCON https://www.rootedcon.com
Marzo/March 5-7 2020 Madrid (Spain)

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_regulador_-_francisco_perez_bes

  1. 1. Si mi empresa ha ocultado el incidente, ¿cómo se ha enterado el regulador? Francisco Pérez Bes Abogado @pacoperezbes
  2. 2. La transparencia como tendencia regulatoria ¿Por qué no se revelan los incidentes? El miedo a las represalias y la teoría del pito del sereno.
  3. 3. El whistleblowing: ¿qué es? Un canal de denuncia, efectivo, confidencial y seguro, a través del cual revelar la comisión de una práctica ilícita que tiene o puede tener lugar, en el seno de una organización, garantizando la protección efectiva del denunciante frente a represalias.
  4. 4. ¿Tengo obligación de denunciar? Sí, de conformidad con el artículo 259 de la Ley de Enjuiciamiento Criminal (1882). El que presenciare la perpetración de cualquier delito público está obligado a ponerlo inmediatamente en conocimiento del Juez de instrucción, de paz, comarcal o municipal o funcionario fiscal más próximo al sitio en que se hallare, bajo la multa de 25 a 250 pesetas. Excepciones en los artículos siguientes: familiares, funcionarios, abogados…
  5. 5. ¿Hay una ley de whistleblowing? Existen normas sectoriales que ya contemplaban la obligación de disponer de mecanismos internos de denuncia (pe. En el ámbito de la competencia, de la aviación civil…) El DOUE de 26 de noviembre de 2019 publica la Directiva 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Su objeto es dictar unas normas mínimas comunes para la protección de las personas que informen de determinadas infracciones.
  6. 6. ¿Incluye la ciberseguridad? Considerando 14 de la Directiva de Whistleblowing: Necesidad de desarrollar sistemas para que los denunciantes puedan contribuir a la revelación de infracciones que puedan perjudicar el interés público, incluidos los incidentes en prestadores de servicios esenciales (pe. Energía, salud, transporte y banca) y proveedores de servicios digitales (proveedores de cloud y suministradores de bienes básicos como el agua, la electricidad o el gas) que por ley deban ser notificados al regulador.
  7. 7. ¿Incluye la ciberseguridad? Entre las infracciones a las que se refiere la ley están las que afectan a la protección de la privacidad y los datos personales, y la seguridad de las redes y sistemas de información. Esas normas son: - La Directiva e-privacy (2002/58/CE) - El RGPD (Reglamento 2016/679) - La Directiva NIS (Directiva 2016/1148)
  8. 8. ¿Incluye la ciberseguridad? La Directiva NIS se traspuso en España a través del RD-Ley 12/2018: Artículo 19: obligación de notificación de incidentes. Artículo 20: protección del denunciante. 2. Los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participen en la prestación de los servicios esenciales o digitales, que informen sobre incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación. Se entenderán nulas y sin efecto legal las decisiones del empleador tomadas en perjuicio o detrimento de los derechos laborales de los trabajadores que hayan actuado conforme a este apartado.
  9. 9. ¿Incluye la ciberseguridad? El RGPD se desarrolla en España a través de la LOPDGDD 3/2018, de 5 de diciembre. Artículo 24. Sistemas de información de denuncias internas. Obliga a garantizar la protección de la identidad y la confidencialidad.
  10. 10. ¿Incluye la ciberseguridad? Medida 3 del Objetivo III de la Línea de Acción 4 (“impulsar la ciberseguridad de ciudadanos y empresas”) de la Estrategia Nacional de Ciberseguridad: “Crear mecanismo ágiles y seguros de denuncia para el sector privado y ciudadanos”.
  11. 11. Otros aspectos Excluye la protección de la información clasificada. La protección contra represalias a trabajadores en sentido amplio. Se promueve la denuncia interna antes que la externa Obliga a empresas públicas. También privadas de 50 o más trabajadores. O de menos si son actividades con riesgo para el medio ambiente y la salud pública.
  12. 12. Funcionamiento Canales internos (orales y escritos) diseñados para proteger de forma segura la confidencialidad de la identidad del denunciante. Acuse de recibo en 7 días. Designación de la persona o departamento responsable: ¿compliance, DPD…? Plazo de respuesta inferior a 3 meses. Información de seguimiento, y sobre los canales externos. Registro de denuncias.
  13. 13. Medidas de apoyo y protección Prohibición de represalias: definición de “represalia”. Protección frente a represalias: exención de responsabilidad legal al whistleblower, salvo que cometa delito para obtener pruebas (pe. Hackeo). Sanciones para la organización: - Si impide o intenta impedir las denuncias - Si adopta medidas de represalia - Promueve medidas abusivas contra el denunciante - Incumple el deber de mantener la confidencialidad de la identidad
  14. 14. ¿Cuándo es exigible? Con carácter general, la transposición de la Directiva ha de tener lugar antes de 17 de diciembre de 2021. Para entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, los Estados miembros deben poner en vigor las obligaciones antes del 17 de diciembre de 2023.
  15. 15. Muchas gracias Francisco Pérez Bes Abogado @pacoperezbes

×