Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_regulador_-_francisco_perez_bes

80 views

Published on

RootedCON https://www.rootedcon.com
Marzo/March 5-7 2020 Madrid (Spain)

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_regulador_-_francisco_perez_bes

  1. 1. Si mi empresa ha ocultado el incidente, ¿cómo se ha enterado el regulador? Francisco Pérez Bes Abogado @pacoperezbes
  2. 2. La transparencia como tendencia regulatoria ¿Por qué no se revelan los incidentes? El miedo a las represalias y la teoría del pito del sereno.
  3. 3. El whistleblowing: ¿qué es? Un canal de denuncia, efectivo, confidencial y seguro, a través del cual revelar la comisión de una práctica ilícita que tiene o puede tener lugar, en el seno de una organización, garantizando la protección efectiva del denunciante frente a represalias.
  4. 4. ¿Tengo obligación de denunciar? Sí, de conformidad con el artículo 259 de la Ley de Enjuiciamiento Criminal (1882). El que presenciare la perpetración de cualquier delito público está obligado a ponerlo inmediatamente en conocimiento del Juez de instrucción, de paz, comarcal o municipal o funcionario fiscal más próximo al sitio en que se hallare, bajo la multa de 25 a 250 pesetas. Excepciones en los artículos siguientes: familiares, funcionarios, abogados…
  5. 5. ¿Hay una ley de whistleblowing? Existen normas sectoriales que ya contemplaban la obligación de disponer de mecanismos internos de denuncia (pe. En el ámbito de la competencia, de la aviación civil…) El DOUE de 26 de noviembre de 2019 publica la Directiva 2019/1937, del Parlamento Europeo y del Consejo, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Su objeto es dictar unas normas mínimas comunes para la protección de las personas que informen de determinadas infracciones.
  6. 6. ¿Incluye la ciberseguridad? Considerando 14 de la Directiva de Whistleblowing: Necesidad de desarrollar sistemas para que los denunciantes puedan contribuir a la revelación de infracciones que puedan perjudicar el interés público, incluidos los incidentes en prestadores de servicios esenciales (pe. Energía, salud, transporte y banca) y proveedores de servicios digitales (proveedores de cloud y suministradores de bienes básicos como el agua, la electricidad o el gas) que por ley deban ser notificados al regulador.
  7. 7. ¿Incluye la ciberseguridad? Entre las infracciones a las que se refiere la ley están las que afectan a la protección de la privacidad y los datos personales, y la seguridad de las redes y sistemas de información. Esas normas son: - La Directiva e-privacy (2002/58/CE) - El RGPD (Reglamento 2016/679) - La Directiva NIS (Directiva 2016/1148)
  8. 8. ¿Incluye la ciberseguridad? La Directiva NIS se traspuso en España a través del RD-Ley 12/2018: Artículo 19: obligación de notificación de incidentes. Artículo 20: protección del denunciante. 2. Los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participen en la prestación de los servicios esenciales o digitales, que informen sobre incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación. Se entenderán nulas y sin efecto legal las decisiones del empleador tomadas en perjuicio o detrimento de los derechos laborales de los trabajadores que hayan actuado conforme a este apartado.
  9. 9. ¿Incluye la ciberseguridad? El RGPD se desarrolla en España a través de la LOPDGDD 3/2018, de 5 de diciembre. Artículo 24. Sistemas de información de denuncias internas. Obliga a garantizar la protección de la identidad y la confidencialidad.
  10. 10. ¿Incluye la ciberseguridad? Medida 3 del Objetivo III de la Línea de Acción 4 (“impulsar la ciberseguridad de ciudadanos y empresas”) de la Estrategia Nacional de Ciberseguridad: “Crear mecanismo ágiles y seguros de denuncia para el sector privado y ciudadanos”.
  11. 11. Otros aspectos Excluye la protección de la información clasificada. La protección contra represalias a trabajadores en sentido amplio. Se promueve la denuncia interna antes que la externa Obliga a empresas públicas. También privadas de 50 o más trabajadores. O de menos si son actividades con riesgo para el medio ambiente y la salud pública.
  12. 12. Funcionamiento Canales internos (orales y escritos) diseñados para proteger de forma segura la confidencialidad de la identidad del denunciante. Acuse de recibo en 7 días. Designación de la persona o departamento responsable: ¿compliance, DPD…? Plazo de respuesta inferior a 3 meses. Información de seguimiento, y sobre los canales externos. Registro de denuncias.
  13. 13. Medidas de apoyo y protección Prohibición de represalias: definición de “represalia”. Protección frente a represalias: exención de responsabilidad legal al whistleblower, salvo que cometa delito para obtener pruebas (pe. Hackeo). Sanciones para la organización: - Si impide o intenta impedir las denuncias - Si adopta medidas de represalia - Promueve medidas abusivas contra el denunciante - Incumple el deber de mantener la confidencialidad de la identidad
  14. 14. ¿Cuándo es exigible? Con carácter general, la transposición de la Directiva ha de tener lugar antes de 17 de diciembre de 2021. Para entidades jurídicas del sector privado que tengan de 50 a 249 trabajadores, los Estados miembros deben poner en vigor las obligaciones antes del 17 de diciembre de 2023.
  15. 15. Muchas gracias Francisco Pérez Bes Abogado @pacoperezbes

×