BRECHAS DE SEGURIDAD: ALGUNAS TIPOLOGÍAS DE CASOS QUE PUEDEN DAR LUGAR A UN INCIDENTE

0-day (vulnerabilidad no conocida): Vulnerabilidad que permite a un atacante el acceso a los datos en la medida en que es una vulnerabilidad desconocida. Esta vulnerabilidad estará disponible hasta que el fabricante o desarrollador la resuelva.

APT (ataque dirigido): Se refiere a diferentes tipos de ataques dirigidos normalmente a recabar información fundamental que permita continuar con ataques más sofisticados. En esta categoría se encuadraría por ejemplo una campaña de envío de email con software malintencionado a empleados de una empresa hasta conseguir que alguno de ellos lo instale en su equipo y proporcione una puerta de entrada al sistema.

Denegación de servicio (DoS/DDoS): Consiste en inundar de tráfico un sistema hasta que no sea capaz de dar servicio a los usuarios legítimos del mismo.

Acceso a cuentas privilegiadas: El atacante consigue acceder al sistema mediante una cuenta de usuario con privilegios avanzados, lo que le confiere libertad de acciones. Previamente deberá haber conseguido el nombre de usuario y contraseña por algún otro método, por ejemplo un ataque dirigido.

Código malicioso: piezas de software cuyo objetivo es infiltrase o dañar un ordenador, servidor u otro dispositivo de red con finalidades muy diversas. Una de las posibilidad para que el código dañino alcance a una organización es que un usuario lo instale de forma involuntaria.

Compromiso de la información: Recoge todos los incidentes relacionados con el acceso y fuga, modificación o borrado de información no pública.

Robo y/o filtración de datos: Se incluye en esta categoría la pérdida/robo de dispositivos de almacenamiento con información.

Desfiguración (Defacement): Es un tipo de ataque dirigido que consiste en la modificación de la página web corporativa con la intención de colgar mensajes reivindicativos de algún tipo o cualquier otra intención. La operativa normal de la web queda interrumpida, produciéndose además daños reputacionales.

Explotación de vulnerabilidades de aplicaciones: Cuando un posible atacante logra explotar con éxito una vulnerabilidad existente en un sistema o producto consiguiendo comprometer una aplicación de la organización.

Ingeniería social: Son técnicas basadas en el engaño, normalmente llevadas a cabo a través de las redes sociales, que se emplean para dirigir la conducta de una persona u obtener información sensible. Por ejemplo, el usuario es inducido a pulsar sobre un enlace haciéndole pensar que es lo correcto.

Fuente: AEPD


  • Hackeo de la red y acceso a datos por terceros no autorizados
  • Ransomware  (virus que encriptan los datos y piden un rescate por ellos)
  • Malware u otro tipo de virus que puedan afectar a datos
  • Que los empleados o entre compañeros se compartan contraseñas para acceder a diferentes datos a los que no todos tienen permisos o autorizaciones de acceso.
  • Robo o pérdida de documentación o dispositivos (me han robado o he perdido el portátil, el Smartphone, incluidos los personales si sincronizan el correo de empresa)
  • Acceso no autorizado a las oficinas o instalaciones de la empresa, con la consecuente pérdida o robo de documentación o equipos.
  • Trabajar en remoto desde equipos en casa, pero que esos equipos no tengan las medidas de seguridad que hay en la empresa
  • Olvidar o perder una contraseña de un dispositivo y que no se pueda recuperar la información que almacenaba (no recuerdo la contraseña de un HDD extraíble con la copia de seguridad)

NOTIFICACIÓN BRECHAS DE SEGURIDAD (Protección de Datos)

Una de las novedades del Reglamento General de Protección de Datos (RGPD) es la  NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (violación de la seguridad de datos personales)

  • Deben notificarse a la autoridad de control, la  AEPD  (salvo que sea improbable que constituya un riesgo para los derechos y libertades de personas físicas).
  • Deben notificarse a los interesados, en los casos más graves y si así lo decide la AEPD
  • Hay establecido un plazo para ello: a más tardar, a las 72 horas de que se haya tenido constancia de ello.

¿Qué se considera una brecha de seguridad?  Ver enlace a nuestro sitio web

Las brechas de nuestros PROVEEDORES, que afecten a nuestros datos, también son brechas que debemos notificar.

CONSÚLTENOS en el caso de sufrir una brecha de seguridad. Les tutelaremos y acompañaremos en la valoración, documentación y posible necesidad de notificación.

¿Qué notificar?

  • La naturaleza (y, si es posible, categoría y número de interesados y número de registros afectados) 
  • Datos del DPD y/o de contacto
  • Describir posibles consecuencias
  • Describir las medidas adoptadas o propuestas
  • Si todo de una vez no fuera posible, ir facilitando la información gradualmente
  • Deberá documentarse cualquier violación de seguridad de datos personales notificada
  • Puede llegar a tenerse que comunicarse la violación de la seguridad a los interesados afectados

La propia AEPD tiene un Formulario de notificación de brechas de seguridad, que contempla:

  • Datos de la notificación
  • Identificación del DPD o contacto
  • Identificación del responsable del tratamiento
  • Identificación del encargado del tratamiento
  • Información temporal de la brecha
  • Tipología de la brecha
  • Información datos afectados
  • Información sujetos afectados
  • Posibles consecuencias
  • Comunicación a interesados
  • Implicaciones transfronterizas
  • Documentación referida

Así como también una lista de “Criterios valorativos para la notificación de brechas de seguridad” que ayuda a la toma de decisiones relacionadas con la necesidad, o no, de notificación a la AEPD, teniendo en cuenta unos parámetros matemáticos que contemplan:

  • Volumen
  • Tipología
  • Impacto

¿ PUBLICAS CONTENIDOS AUDIOVISUALES EN TU PÁGINA WEB ?

Podrías ser considerado un servicio de comunicación audiovisual.

El crecimiento y desarrollo de los servicios prestados por los portales y páginas web por los operadores de la sociedad de la información, ha propiciado que muchos de estos portales y servicios pongan a disposición del público contenidos audiovisuales y/o emisiones o programas de televisión a través de los mismos. En estos casos, además de la normativa en materia de servicios de la sociedad de la información, estos portales web deberán cumplir con la normativa relativa a los servicios de comunicación audiovisual.

En la UE, el marco normativo es desarrollado por la Directiva 2010/13/UE, incorporado al derecho español por la Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual, y desarrollada por el Real Decreto 847/2015 de 28 de Septiembre, por el que se regula el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual y el procedimiento de comunicación previa al inicio de la actividad.

A este respecto cabe destacar la sentencia del Tribunal de Justicia C‑347/14, en la que se interpreta el concepto de servicio de comunicación audiovisual, estableciendo en qué medida la inclusión de contenidos audiovisuales en portales web determinará que el titular de la web sea considerado prestador de servicios de comunicación audiovisual.

Según la Directiva, el concepto de servicio de comunicación audiovisual se entenderá como el servicio cuya responsabilidad editorial corresponde al prestador del servicio de comunicación y cuya finalidad es proporcionar programas, con objeto de informar, entretener o educar al público en general a través de redes de comunicaciones electrónicas, se excluyen las páginas web privadas y los servicios consistentes en la prestación de servicios o distribución de contenido audiovisual generado por usuarios privados con el fin de compartirlo entre grupos de interés (el caso de Youtube).

Así pues, habrá de tener en cuenta la finalidad principal del portal web (o subdominio) en el que se publiquen los vídeos, y si el contenido audiovisual facilitado en el mismo constituye un programa. En cualquier caso, se consideran programas de televisión los largometrajes, las manifestaciones deportivas, las series, los documentales, los programas infantiles y las obras de teatro originales, así como las retransmisiones en directo de acontecimientos culturales o de cualquier tipo.

En resumidas cuentas, para ser considerado un servicio de comunicación audiovisual según lo dispuesto en la Directiva:

  • El prestador de servicios tendrá responsabilidad editorial de los contenidos audiovisuales.
  • Que el objeto principal sea el audiovisual. No serán considerados servicios de comunicación audiovisual aquellos portales webs que tengan el audiovisual como finalidad auxiliar o complementaria.
  • Estar destinado al público en general.
  • Ser difundido mediante redes de comunicaciones electrónicas.

Los efectos de que tu portal web se considere un servicio de comunicación audiovisual son la aplicación de la respectiva normativa en la materia, que incluye ciertas obligaciones entre las que se incluyen:

  • facilitar determinada información a los receptores del servicio,
  • prohibición de incluir contenidos que inciten al odio por razón de raza, sexo, religión o nacionalidad,
  • requisitos específicos que deberán cumplir las comunicaciones comerciales,
  • el régimen de los servicios o programas patrocinados,
  • la prohibición de emplazamiento de productos,

y en el caso de España

  • la inscripción del prestador del servicio en el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual
  • y el procedimiento de comunicación previa de inicio de actividad, entre otras.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO)

Conocida popularmente como DPO (en inglés, Data Protection Officer), el delegado de protección de datos (1) constituye uno de los elementos claves del Reglamento europeo de protección de datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Al Delegado de Protección de Datos, o DPO, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD (2) entre las que destacan las de informar y asesorar, así como supervisar el cumplimiento del RGPD por parte del responsable o encargado.

El DPO deberá contar con conocimientos especializados del Derecho, y en protección de datos, y actuará de forma independiente, aunque conviene precisar dos cuestiones al respecto:

  • El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
  • El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

La Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENA) los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación:

  • un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.
  • Y otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.

Los dos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.

Esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, aunque obtenerla supone una garantía tanto de la competencia profesional certificada, como del ejercicio de la mencionada competencia.

(Fuente: Blog AEPD)

(1)

1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

(2)

1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Los proveedores de Internet en EE.UU. podrán vender los datos de sus usuarios. ¿Qué es el Escudo de Privacidad UE – EE. UU. y por qué lo necesitamos?.

El acuerdo Escudo de Privacidad (el “Privacy Shield”, aprobado por la Comisión Europea el 12 de julio de 2016 a raíz de la sentencia de 6 de octubre de 2015 -asunto C/362/14- que anuló la decisión de la Comisión Europea de considerar a Estados Unidos como “puerto seguro”  -Safe Harbor- a efectos de la cesión de datos personales de ciudadanos europeos) se basa en los siguientes principios:

  1. Obligaciones rigurosas para las empresas de los EE.UU. que trabajan con datos.
  2. Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense.
  3. Protección eficaz de los derechos individuales.
  4. Mecanismo de revisión conjunta anual.

La Unión Europea (UE) y los Estados Unidos (EE. UU.) mantienen fuertes lazos comerciales. Las transferencias de datos personales constituyen una parte importante y necesaria de la relación transatlántica, en particular, en la economía digital global de hoy en día. Son muchas las operaciones en las que se recaban y usan datos personales, por ejemplo, nombre, número de teléfono, fecha de nacimiento, domicilio y dirección de correo electrónico, número de tarjeta de crédito, número de seguridad social, nombre de usuario, sexo y estado civil o cualquier otro tipo de información que permita identificarnos. Por ejemplo, existe la posibilidad de que recabe nuestros datos en la UE una sucursal, o un socio comercial de una empresa estadounidense que los usará posteriormente en los EE. UU. Eso es lo que sucede, por ejemplo, cuando compramos bienes o contratamos servicios a través de internet, cuando usamos las redes sociales o servicios de almacenamiento en la nube, o en el caso de los empleados de empresas con sede en la UE pero que utilizan otra empresa en los EE. UU. (por ejemplo la sociedad matriz) para tratar los datos personales. La legislación de la UE exige que los datos personales sigan gozando de un alto nivel de protección al ser transferidos a EE. UU. Y aquí es donde interviene el Escudo de Privacidad entre la UE y los EE. UU. El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la UE a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. La protección conferida a los datos personales se aplica con independencia de si se es o no ciudadano de la Unión Europea.

De aquí la preocupación al conocerse la noticia de que los proveedores de Internet en EEUU podrán vender los datos de sus usuarios si prospera -como parece ser que ocurrirá- el proyecto de ley que elimina las garantías de privacidad en la red impuestas por el ex presidente Barack Obama y que ahora permitirá a los proveedores de Internet vender datos de sus usuarios, como los historiales de búsqueda o la localización. Este proyecto revoca un reglamento (redactado para la Comisión Federal de Comunicaciones) que exigía a los proveedores obtener el permiso de sus usuarios antes de vender sus datos. Con la anulación de la norma, y según diversas fuentes:

-“Los estadounidenses no estarán nunca a salvo de tener sus datos personales sigilosamente examinados y vendidos al mejor postor”.

-“Se permitirá la difusión incontrolada de datos personales, como el historial de navegación, que pueden revelar creencias religiosas, ideologías, orientaciones sexuales, estado de salud o informaciones geográficas de los usuarios”.

-“Los consumidores deben poder controlar qué hacen las empresas con ellas”.

(Fuentes: AEPD y El Mundo)

VÍCTOR ALTIMIRA – INBLAC (CURSO PRÁCTICO DE ACTUALIZACIÓN)

Nuestro socio Víctor Altimira, a su vez Presidente de INBLAC, participará en Madrid el próximo día 16 de Junio en una jornada en el que se impartirá un “Curso Práctico de Actualización” en materia de prevención de blanqueo de capitales y financiación del terrorismo.

Programa-inblac-1170x252

CURSO PRÁCTICO DE ACTUALIZACIÓN

  • PROGRAMA

Madrid 16 de junio 2016

9:30 – 10:00h     Palabras del Presidente de la Asociación INBLAC, Víctor Altimira.

10:00 – 11:00h   Especificaciones técnicas aprobadas por el SEPBLAC de operaciones No Presenciales a través de Videoconferencia y su implicación en materia de Protección de Datos de Carácter personal; Víctor Altimira, Socio Abogado Logic Data Consulting.

11:00 – 11:20h   Coffee Break.

11:25 – 12:30h   Casuísticas en el Sector Inmobiliario; Héctor Borge, Responsable PBC/FT &Anti-Fraude en Anticipa Real Estate

12:35 – 13:35h   Cómo integrar los controles de Prevención de Blanqueo de Capitales y de la Financiación de Terrorismo con los sistemas de la ISO 19600; Luis Rodríguez, Socio – Director Broseta

13:35 – 14:00h   Preguntas

Tarde

15:00 – 16:00h   La subjetividad en el análisis de riesgo en PBC-FT; Joaquín Mena, Director General en Quimena Consulting

16:00 – 17:00h   Automatización y monitorización continúa de controles internos en la empresa con ACL; Enrique Stampa, Socio Director en PM Partners

17:00 – 17:15h Coffee Break.

17:20 – 18:20h   Tendencias de los delitos relacionados con blanqueo de capitales; Francisco Bonatti, Socio Director de Bonatti Penal & Compliance

18:20 – 19:20h   El mapa de riesgo. Análisis de la naturaleza de los riesgos subyacentes y tipologías; Joaquim Altafaja Diví, Socio Director Itadvisory Partners y miembro del Consejo Consultivo del RASI-CGCEE.

19:20 – 20:00h   Palabras de Cierre del Presidente de la Asociación INBLAC, Víctor Altimira

Lugar: Hotel Catalonia Atocha

Calle Atocha, 81  –  Madrid

Precio de la Jornada: 90€

Asociados miembros de INBLAC: Gratis

Asociados miembros de RASI: 50€

Dirección de las jornadas: Adriana Mendoza, Vocal de INBLAC, Consultoría independiente de PBC&FT.

Coordinadora de las Jornadas: Irene López, Vocal de INBLAC, Socia Abogada de Logic Data Consulting.

Los interesados en apuntarse al Curso Práctico de Actualización lo pueden hacer en: info@inblac.org

 

*El programa y horarios pueden sufrir cambios de última hora.

CERTIFICADO DE DELITOS DE NATURALEZA SEXUAL

El 1 de marzo de 2016 entró en vigor el Registro Central de Delincuentes Sexuales regulado a través del Real Decreto 1110/2015, de 11 de diciembre.

El Registro se crea sobre la base del derecho fundamental del menor a que su interés superior sea prioritario, de conformidad con las normas nacionales y supranacionales, y para desarrollar un sistema para conocer si quienes pretenden acceder y ejercer profesiones, oficios y actividades que impliquen un contacto habitual con menores carecen de condenas y facilitar la investigación e identificación de los autores de delitos contra la libertad e indemnidad sexuales. En este Registro se recogen los datos de identidad (incluido el registro de ADN) y procesales de personas condenadas por este tipo de delitos.

Así, los condenados en España y en otros países por delitos contra la libertad e indemnidad sexuales y trata de seres humanos con fines de explotación sexual, incluida la pornografía, con independencia de la edad de la víctima no podrán realizar actividades, trabajos o voluntariado en los que estén en contacto con menores.

Todo aquel cuya profesión o actividad implique contacto habitual con menores deberá presentar un Certificado de Delitos de Naturaleza Sexual. Si el solicitante no es de nacionalidad española, además de este certificado (que solicitará al Registro Central de Delitos Sexuales) deberá obtener un certificado de su país de nacionalidad.

Anteriormente no existía este Registro y se debía facilitar el certificado de antecedentes penales, pero se entendía que invadía en cierta medida la privacidad de las personas solicitantes, ya que en él podían aparecer condenas de otros delitos que no implicaban ningún impedimento para el desarrollo de su profesión.

Como hemos avanzado, lo deberán de presentar personas en contacto habitual con menores, según la normativa de protección del menor y demás informes (entre ellos el 0401/2015 de la Agencia Española de Protección de Datos –AEPD-) siempre que la profesión en sí misma implique, por su propia naturaleza y esencia, un contacto habitual con menores, teniéndoles por ejemplo como destinatarios prioritarios de los servicios prestados, por ser -por ejemplo- servicios específicamente destinados a menores. Por lo tanto, las personas que trabajen o vayan a trabajar como educadores, profesionales de servicios de pediatría, catequistas, canguros, monitores de tiempo libre, técnicos de actividades deportivas, voluntarios de ONG’s, y puede que hasta los empleados y empleadas de hogar, deberán de presentar dicho Certificado; a expensas de mayor concreción por vía reglamentaria.

La solicitud de este Certificado de Delitos de Naturaleza Sexual será gratuita y se hará, preferentemente, por medios electrónicos con certificado electrónico en la Sede Electrónica del Ministerio de Justicia, de forma presencial o por correo postal. Si se quiere solicitar de forma presencial o por correo electrónico se deberá cumplimentar un formulario en las Gerencias Territoriales del Ministerio de Justicia y se deberá aportar original o fotocopia compulsada del DNI, Tarjeta de Residencia, Pasaporte, Carnet de conducir o documento de identificación comunitario o equivalente, en vigor, siempre que el documento presentado permita identificarlo fehacientemente.

Existe la posibilidad de que un representante solicite el certificado; pero éste -además de acreditar su identidad- deberá aportar:

-Original o fotocopia compulsada del documento de identificación en vigor del representado.

-Original o fotocopia compulsada del documento que acredite la representación por cualquier medio válido en derecho que deje constancia fidedigna de la misma (documento público autorizado por notario, documento privado con firmas legitimadas por notario o documento privado, otorgado en comparecencia personal del interesado ante empleado público, que hará constar esta circunstancia mediante diligencia).

Ahora bien, si el profesional trabaja para un órgano de la Administración Pública (por ejemplo, Consellería d’Educació) se podrá tener acceso al Registro Central de Delincuentes Sexuales mediante la plataforma de mediación de datos que permite comunicarse a las diferentes Administraciones, siempre y cuando previamente hayan recabado el consentimiento del interesado (según el artículo 9.2 de la Ley 1110/2015).

 En relación al cumplimiento de la normativa vigente de protección de datos personales, advertimos de la necesidad de que las empresas y administraciones que soliciten este certificado a sus trabajadores deberán revisar sus ficheros inscritos en la AEPD, o autoridad de protección de datos autonómica, con el fin de adecuarlos a la nueva tipología de datos; también de la necesidad de legitimación de los mismos; y de la aplicación de las medidas de seguridad de nivel básico y medio a los ficheros automatizados o no automatizados que incluyan dicha información, en aplicación del artículo  81.2 a) del RLOPD.

SONIA-5  Sonia Gracia – Abogada

RESPONSABILIDAD PENAL DE LA EMPRESA

(Programa de Compliance Penal)

Para que pueda darse la posibilidad de la exención de responsabilidad penal de la empresa no basta con la simple compra de un programa informático, con “modelos-tipo” y la designación de un compliance officer.

El Plan de Prevención programa de compliance penal ) debe ser personalizado y eficaz, acorde a la actividad profesional de cada empresa, con sus características especiales y necesidades propias; y deben llevarse a cabo -con relativa periodicidad- verificaciones del mismo; no puede, ni debe, ser rígido: debe habilitarse la posibilidad de realizar en él modificaciones si se detectan, con posterioridad a su puesta en marcha efectiva, alguna carencia o si aparece en el horizonte de la empresa alguna nueva amenaza no contemplada inicialmente.

Contando con el asesoramiento de abogados penalistas para el diseño y la implementación del Plan de Prevención, éstos dejarán de ser -como vienen siendo habitual hasta ahora- unos “médicos de urgencias” para pasar a ejercer de “médicos de familia”, con un carácter más preventivo.

ESE CORREO QUE QUIZÁ NO HUBIERAS QUERIDO ENVIAR…

¿Cuántas veces te has dicho (ya sea en silencio o “a voz en grito”):

  • “¡ Noooo…. !”

justo inmediatamente después de hacer “clic” en el botón “Enviar” de un e-mail?.

Quizás esos “noooo” pueden haber estado motivados:

  • …porque no habías repasado el texto antes.
  • …porque te has equivocado con la dirección del destinatario.
  • …porque realmente no querías enviarlo, o no era el mejor momento.
  • …porque te has arrepentido, al momento, de haber escrito lo que habías escrito.
  • Otros.

Después de casi 6 años en período de prueba, Google ha habilitado definitivamente en “G-Mail” la opción “Deshacer envío“, garantizando su correcto funcionamiento.

¿Cómo hacerlo?

  • Ir a “configuración”
  • Acceder a pestaña “General”
  • Habilitar opción “Deshacer el envío”
  • Escoger el periodo de cancelación (de 5, 10, 20 ó 30 segundos).

y dejarlo habilitado así por defecto en tu configuración. Después de efectuada ésta, todos tus correos se enviarán -por defecto- una vez transcurrido el período que hayas pre-fijado (no antes), y la acción de “Envíar” ya no se podrá deshacer. Ya no habrá marcha atrás.

Pero ya siempre, después de clicar en “Enviar”, te aparecerá en pantalla:

  • “Deshacer” – “Mostrar mensaje

Si te “arrepientes”, o quieres hacer alguna modificación –y siempre antes el plazo de tiempo que tú mismo te hayas marcado en la configuración– puedes clicar en “Deshacer” y este correo no saldrá hacia el destinatario (o también lo puedes modificar y volver a enviar).