SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our User Agreement and Privacy Policy.
SlideShare uses cookies to improve functionality and performance, and to provide you with relevant advertising. If you continue browsing the site, you agree to the use of cookies on this website. See our Privacy Policy and User Agreement for details.
Successfully reported this slideshow.
Activate your 30 day free trial to unlock unlimited reading.
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_regulador_-_francisco_perez_bes
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_regulador_-_francisco_perez_bes
1.
Si mi empresa ha ocultado el
incidente, ¿cómo se ha enterado
el regulador?
Francisco Pérez Bes
Abogado
@pacoperezbes
2.
La transparencia como tendencia regulatoria
¿Por qué no se revelan los incidentes?
El miedo a las represalias y la teoría del pito del sereno.
3.
El whistleblowing: ¿qué es?
Un canal de denuncia, efectivo, confidencial y seguro, a través del cual
revelar la comisión de una práctica ilícita que tiene o puede tener lugar,
en el seno de una organización, garantizando la protección efectiva del
denunciante frente a represalias.
4.
¿Tengo obligación de denunciar?
Sí, de conformidad con el artículo 259 de la Ley de Enjuiciamiento Criminal
(1882).
El que presenciare la perpetración de cualquier delito público está obligado a ponerlo
inmediatamente en conocimiento del Juez de instrucción, de paz, comarcal o municipal
o funcionario fiscal más próximo al sitio en que se hallare, bajo la multa de 25 a 250
pesetas.
Excepciones en los artículos siguientes: familiares, funcionarios, abogados…
5.
¿Hay una ley de whistleblowing?
Existen normas sectoriales que ya contemplaban la obligación de disponer de
mecanismos internos de denuncia (pe. En el ámbito de la competencia, de la
aviación civil…)
El DOUE de 26 de noviembre de 2019 publica la Directiva 2019/1937, del
Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la
protección de las personas que informen sobre infracciones del Derecho de la
Unión.
Su objeto es dictar unas normas mínimas comunes para la protección de las
personas que informen de determinadas infracciones.
6.
¿Incluye la ciberseguridad?
Considerando 14 de la Directiva de Whistleblowing:
Necesidad de desarrollar sistemas para que los denunciantes puedan
contribuir a la revelación de infracciones que puedan perjudicar el
interés público, incluidos los incidentes en prestadores de servicios
esenciales (pe. Energía, salud, transporte y banca) y proveedores de
servicios digitales (proveedores de cloud y suministradores de bienes
básicos como el agua, la electricidad o el gas) que por ley deban ser
notificados al regulador.
7.
¿Incluye la ciberseguridad?
Entre las infracciones a las que se refiere la ley están las que afectan a
la protección de la privacidad y los datos personales, y la seguridad de
las redes y sistemas de información.
Esas normas son:
- La Directiva e-privacy (2002/58/CE)
- El RGPD (Reglamento 2016/679)
- La Directiva NIS (Directiva 2016/1148)
8.
¿Incluye la ciberseguridad?
La Directiva NIS se traspuso en España a través del RD-Ley 12/2018:
Artículo 19: obligación de notificación de incidentes.
Artículo 20: protección del denunciante.
2. Los empleados y el personal que, por cualquier tipo de relación laboral o mercantil,
participen en la prestación de los servicios esenciales o digitales, que informen sobre
incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la
empresa, salvo en los supuestos en que se acredite mala fe en su actuación.
Se entenderán nulas y sin efecto legal las decisiones del empleador tomadas en
perjuicio o detrimento de los derechos laborales de los trabajadores que hayan actuado
conforme a este apartado.
9.
¿Incluye la ciberseguridad?
El RGPD se desarrolla en España a través de la LOPDGDD 3/2018, de 5
de diciembre.
Artículo 24. Sistemas de información de denuncias internas.
Obliga a garantizar la protección de la identidad y la confidencialidad.
10.
¿Incluye la ciberseguridad?
Medida 3 del Objetivo III de la Línea de Acción 4 (“impulsar la
ciberseguridad de ciudadanos y empresas”) de la Estrategia Nacional
de Ciberseguridad:
“Crear mecanismo ágiles y seguros de denuncia para el sector
privado y ciudadanos”.
11.
Otros aspectos
Excluye la protección de la información clasificada.
La protección contra represalias a trabajadores en sentido amplio.
Se promueve la denuncia interna antes que la externa
Obliga a empresas públicas. También privadas de 50 o más
trabajadores. O de menos si son actividades con riesgo para el medio
ambiente y la salud pública.
12.
Funcionamiento
Canales internos (orales y escritos) diseñados para proteger de forma segura la
confidencialidad de la identidad del denunciante.
Acuse de recibo en 7 días.
Designación de la persona o departamento responsable: ¿compliance, DPD…?
Plazo de respuesta inferior a 3 meses.
Información de seguimiento, y sobre los canales externos.
Registro de denuncias.
13.
Medidas de apoyo y protección
Prohibición de represalias: definición de “represalia”.
Protección frente a represalias: exención de responsabilidad legal al
whistleblower, salvo que cometa delito para obtener pruebas (pe. Hackeo).
Sanciones para la organización:
- Si impide o intenta impedir las denuncias
- Si adopta medidas de represalia
- Promueve medidas abusivas contra el denunciante
- Incumple el deber de mantener la confidencialidad de la identidad
14.
¿Cuándo es exigible?
Con carácter general, la transposición de la Directiva ha de tener lugar
antes de 17 de diciembre de 2021.
Para entidades jurídicas del sector privado que tengan de 50 a 249
trabajadores, los Estados miembros deben poner en vigor las
obligaciones antes del 17 de diciembre de 2023.
15.
Muchas gracias
Francisco Pérez Bes
Abogado
@pacoperezbes
0 likes
Be the first to like this
Views
Total views
299
On SlideShare
0
From Embeds
0
Number of Embeds
0
You have now unlocked unlimited access to 20M+ documents!
Unlimited Reading
Learn faster and smarter from top experts
Unlimited Downloading
Download to take your learnings offline and on the go
You also get free access to Scribd!
Instant access to millions of ebooks, audiobooks, magazines, podcasts and more.
Read and listen offline with any device.
Free access to premium services like Tuneln, Mubi and more.