QUE NO SE LE ATRAGANTEN LAS “COOKIES” DE SU SITIO WEB…

PRESTE MUCHA ATENCIÓN AL REDACTADO DE  SU POLÍTICA DE COOKIES EN SU SITIO WEB. Y AL REDACTADO DEL BANNER INICIAL DE COOKIES

El redactado legal informativo de las cookies en su sitio web no es un tema baladí; y la aceptación en bloque de todas ellas no sólo no es correcto, sino que puede ser sancionable. Aquello de: “…si sigue usted navegando por él, entenderemos que acepta” en el banner inicial es incorrecto.

La Agencia Española de Protección de Datos ha emitido el pasado mes de septiembre la Resolución de dar por terminado el procedimiento sancionador contra Vueling, al constatar que:

“…si se accede a la segunda capa, el consentimiento a que se cedan datos a terceros a través de cookies es implícito, ya que en ningún momento da la opción de poder oponerse a la instalación de éstas en el dispositivo o de cualquier otra cookie, sino que se remite a la configuración de los navegadores para eliminarlas o bloquearlas, no ofreciendo la posibilidad de denegar el consentimiento para el uso de cookies o de retirar el prestado, si no es a través de las opciones del navegador”.

https://www.aepd.es/resoluciones/PS-00300-2019_ORI.pdf

REVISE SU POLÍTICA DE COOKIES, O CONSÚLTENOS SOBRE CÓMO NO INFRINGIR LAS NORMATIVAS QUE REGULAN SU USO

SESIÓN DE FORMACIÓN / INFORMACIÓN RGPD: Muchas preguntas… tenemos las respuestas

Tanto si ya ha finalizado el proceso de adecuación del nuevo Reglamento europeo de protección de datos (RGPD), como si está en plena fase de implantación, o todavía lo tiene en cartera , le interesará saber que:

Los días 29 y 30 de octubre impartiremos 4 sesiones de Formación-Información RGPD

sobre la realidad del día a día de las empresas conviviendo con el Reglamento (UE) 2016/679 de protección de datos (RGPD). 15 meses después de su plena aplicación.

Martes 29 ( 09:30 a 11:00 ó 11:30 a 13:00 ) –

Miércoles 30 ( 09:30 a 11:00 ó 11:30 a 13:00 )

Reserve ya su plaza para cualquiera de las cuatro sesiones aquí indicándonos a cuál de ellas quiere asistir.

¿Qué ha supuesto para las empresas?.

Dudas y dificultades habituales a la hora de la implantación efectiva y cómo solventarlas – Si su empresa está al día, pero en la anterior LOPD ¿tienes que hacer “borrón y cuenta nueva”? – La responsabilidad proactiva en el nuevo Reglamento – Análisis de riesgos y evaluaciones de impacto – ¿Tengo que nombrar a un Delegado de Protección de Datos? – ¿Qué es “obligado” y qué es “depende de” en el RGPD? – ¿Qué hay que tener en cuenta de la nueva LOPDGDD a la hora de implementar el RGPD? – Sanciones de la Agencia Española de Protección de Datos ya con el RGPD y la LOPDGG

Lugar: ESPAI 114 c/. Francesc Layret, 114 – BADALONA

Precio por asistente: 95 euros +IVA

EXCEPCIONES A LA OBLIGACIÓN DE REALIZAR EVALUACIONES DE IMPACTO DE PROTECCIÓN DE DATOS

El art. 35 del Reglamento General de Protección de Datos (RGPD) establece la obligación de realizar Evaluaciones de Impacto de Protección de Datos (EIPD). Será necesaria llevarla a cabo sobre aquellos tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas -en particular si utilizan nuevas tecnologías-, por su naturaleza, alcance, contexto o fines. En cualquier caso, será imprescindible siempre que el tratamiento consista en:

  1. La evaluación sistemática y exhaustiva que se base en un tratamiento automatizado de aspectos personales de personas físicas, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  2. El tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales,
  3. La observación sistemática a gran escala, mediante sistemas audiovisuales, de una zona de acceso público.

Las excepciones con respecto a los tratamientos de datos de salud, o de condenas e infracciones penales, se establecen en el Considerando 91 del RGPD:

“No se considerará un tratamiento a gran escala, el tratamiento de datos de salud (…) por un médico u otro profesional de la salud, a título de autónomo o empresario individual, o los datos de condenas e infracciones penales (…) por un solo abogado, quedando estas actividades de tratamiento exentas de realizar la Evaluación de Impacto.”

Del mismo modo, la AEPD ha publicado un listado de tratamientos que no requieren de EIPD en el que incluyen esta excepción del mencionado Considerando 91, eximiendo de realización de EIPD a médicos, profesionales de salud o abogados autónomos en el ejercicio de su labor profesional, siempre que estos tratamientos no cumplan con dos o más criterios derivados del listado de actividades del tratamiento que requieren de EIPD publicada por la misma AEPD.

Por lo tanto, en lo relativo al resto de tratamientos de datos realizados por médicos, profesionales de la salud o abogados autónomos, y que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, la EIPD continuará siendo obligatoria, del mismo modo que la realización del análisis de riesgos que determinará la necesidad o no de realizar dichas EIPD.

Los tratamientos que requerirán de EIPD en cualquier caso, ya se realicen por médicos, abogados o cualquier otro profesional podrán ser, por ejemplo: los sistemas de identificación y control horario mediante huella dactilar o reconocimiento facial (tratamiento de datos biométricos); el tratamiento de datos genéticos; el tratamiento automatizado de datos para la toma de decisiones sobre los sujetos interesados; la aplicación de sistemas o aplicaciones que requieran de nuevas tecnologías que resulten invasivas (como la teleconsulta); así como el resto de tratamientos incluidos en los listados de la Agencia Española de Protección de Datos u otras Autoridades de Protección de Datos Europeas.

No dudes en contactar con nosotros para cualquier consulta al respecto (correo electrónico a consultor@logicdataconsulting.com )

BRECHAS DE SEGURIDAD: ALGUNAS TIPOLOGÍAS DE CASOS QUE PUEDEN DAR LUGAR A UN INCIDENTE

0-day (vulnerabilidad no conocida): Vulnerabilidad que permite a un atacante el acceso a los datos en la medida en que es una vulnerabilidad desconocida. Esta vulnerabilidad estará disponible hasta que el fabricante o desarrollador la resuelva.

APT (ataque dirigido): Se refiere a diferentes tipos de ataques dirigidos normalmente a recabar información fundamental que permita continuar con ataques más sofisticados. En esta categoría se encuadraría por ejemplo una campaña de envío de email con software malintencionado a empleados de una empresa hasta conseguir que alguno de ellos lo instale en su equipo y proporcione una puerta de entrada al sistema.

Denegación de servicio (DoS/DDoS): Consiste en inundar de tráfico un sistema hasta que no sea capaz de dar servicio a los usuarios legítimos del mismo.

Acceso a cuentas privilegiadas: El atacante consigue acceder al sistema mediante una cuenta de usuario con privilegios avanzados, lo que le confiere libertad de acciones. Previamente deberá haber conseguido el nombre de usuario y contraseña por algún otro método, por ejemplo un ataque dirigido.

Código malicioso: piezas de software cuyo objetivo es infiltrase o dañar un ordenador, servidor u otro dispositivo de red con finalidades muy diversas. Una de las posibilidad para que el código dañino alcance a una organización es que un usuario lo instale de forma involuntaria.

Compromiso de la información: Recoge todos los incidentes relacionados con el acceso y fuga, modificación o borrado de información no pública.

Robo y/o filtración de datos: Se incluye en esta categoría la pérdida/robo de dispositivos de almacenamiento con información.

Desfiguración (Defacement): Es un tipo de ataque dirigido que consiste en la modificación de la página web corporativa con la intención de colgar mensajes reivindicativos de algún tipo o cualquier otra intención. La operativa normal de la web queda interrumpida, produciéndose además daños reputacionales.

Explotación de vulnerabilidades de aplicaciones: Cuando un posible atacante logra explotar con éxito una vulnerabilidad existente en un sistema o producto consiguiendo comprometer una aplicación de la organización.

Ingeniería social: Son técnicas basadas en el engaño, normalmente llevadas a cabo a través de las redes sociales, que se emplean para dirigir la conducta de una persona u obtener información sensible. Por ejemplo, el usuario es inducido a pulsar sobre un enlace haciéndole pensar que es lo correcto.

Fuente: AEPD


  • Hackeo de la red y acceso a datos por terceros no autorizados
  • Ransomware  (virus que encriptan los datos y piden un rescate por ellos)
  • Malware u otro tipo de virus que puedan afectar a datos
  • Que los empleados o entre compañeros se compartan contraseñas para acceder a diferentes datos a los que no todos tienen permisos o autorizaciones de acceso.
  • Robo o pérdida de documentación o dispositivos (me han robado o he perdido el portátil, el Smartphone, incluidos los personales si sincronizan el correo de empresa)
  • Acceso no autorizado a las oficinas o instalaciones de la empresa, con la consecuente pérdida o robo de documentación o equipos.
  • Trabajar en remoto desde equipos en casa, pero que esos equipos no tengan las medidas de seguridad que hay en la empresa
  • Olvidar o perder una contraseña de un dispositivo y que no se pueda recuperar la información que almacenaba (no recuerdo la contraseña de un HDD extraíble con la copia de seguridad)

NOTIFICACIÓN BRECHAS DE SEGURIDAD (Protección de Datos)

Una de las novedades del Reglamento General de Protección de Datos (RGPD) es la  NOTIFICACIÓN DE BRECHAS DE SEGURIDAD (violación de la seguridad de datos personales)

  • Deben notificarse a la autoridad de control, la  AEPD  (salvo que sea improbable que constituya un riesgo para los derechos y libertades de personas físicas).
  • Deben notificarse a los interesados, en los casos más graves y si así lo decide la AEPD
  • Hay establecido un plazo para ello: a más tardar, a las 72 horas de que se haya tenido constancia de ello.

¿Qué se considera una brecha de seguridad?  Ver enlace a nuestro sitio web

Las brechas de nuestros PROVEEDORES, que afecten a nuestros datos, también son brechas que debemos notificar.

CONSÚLTENOS en el caso de sufrir una brecha de seguridad. Les tutelaremos y acompañaremos en la valoración, documentación y posible necesidad de notificación.

¿Qué notificar?

  • La naturaleza (y, si es posible, categoría y número de interesados y número de registros afectados) 
  • Datos del DPD y/o de contacto
  • Describir posibles consecuencias
  • Describir las medidas adoptadas o propuestas
  • Si todo de una vez no fuera posible, ir facilitando la información gradualmente
  • Deberá documentarse cualquier violación de seguridad de datos personales notificada
  • Puede llegar a tenerse que comunicarse la violación de la seguridad a los interesados afectados

La propia AEPD tiene un Formulario de notificación de brechas de seguridad, que contempla:

  • Datos de la notificación
  • Identificación del DPD o contacto
  • Identificación del responsable del tratamiento
  • Identificación del encargado del tratamiento
  • Información temporal de la brecha
  • Tipología de la brecha
  • Información datos afectados
  • Información sujetos afectados
  • Posibles consecuencias
  • Comunicación a interesados
  • Implicaciones transfronterizas
  • Documentación referida

Así como también una lista de “Criterios valorativos para la notificación de brechas de seguridad” que ayuda a la toma de decisiones relacionadas con la necesidad, o no, de notificación a la AEPD, teniendo en cuenta unos parámetros matemáticos que contemplan:

  • Volumen
  • Tipología
  • Impacto

¿ PUBLICAS CONTENIDOS AUDIOVISUALES EN TU PÁGINA WEB ?

Podrías ser considerado un servicio de comunicación audiovisual.

El crecimiento y desarrollo de los servicios prestados por los portales y páginas web por los operadores de la sociedad de la información, ha propiciado que muchos de estos portales y servicios pongan a disposición del público contenidos audiovisuales y/o emisiones o programas de televisión a través de los mismos. En estos casos, además de la normativa en materia de servicios de la sociedad de la información, estos portales web deberán cumplir con la normativa relativa a los servicios de comunicación audiovisual.

En la UE, el marco normativo es desarrollado por la Directiva 2010/13/UE, incorporado al derecho español por la Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual, y desarrollada por el Real Decreto 847/2015 de 28 de Septiembre, por el que se regula el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual y el procedimiento de comunicación previa al inicio de la actividad.

A este respecto cabe destacar la sentencia del Tribunal de Justicia C‑347/14, en la que se interpreta el concepto de servicio de comunicación audiovisual, estableciendo en qué medida la inclusión de contenidos audiovisuales en portales web determinará que el titular de la web sea considerado prestador de servicios de comunicación audiovisual.

Según la Directiva, el concepto de servicio de comunicación audiovisual se entenderá como el servicio cuya responsabilidad editorial corresponde al prestador del servicio de comunicación y cuya finalidad es proporcionar programas, con objeto de informar, entretener o educar al público en general a través de redes de comunicaciones electrónicas, se excluyen las páginas web privadas y los servicios consistentes en la prestación de servicios o distribución de contenido audiovisual generado por usuarios privados con el fin de compartirlo entre grupos de interés (el caso de Youtube).

Así pues, habrá de tener en cuenta la finalidad principal del portal web (o subdominio) en el que se publiquen los vídeos, y si el contenido audiovisual facilitado en el mismo constituye un programa. En cualquier caso, se consideran programas de televisión los largometrajes, las manifestaciones deportivas, las series, los documentales, los programas infantiles y las obras de teatro originales, así como las retransmisiones en directo de acontecimientos culturales o de cualquier tipo.

En resumidas cuentas, para ser considerado un servicio de comunicación audiovisual según lo dispuesto en la Directiva:

  • El prestador de servicios tendrá responsabilidad editorial de los contenidos audiovisuales.
  • Que el objeto principal sea el audiovisual. No serán considerados servicios de comunicación audiovisual aquellos portales webs que tengan el audiovisual como finalidad auxiliar o complementaria.
  • Estar destinado al público en general.
  • Ser difundido mediante redes de comunicaciones electrónicas.

Los efectos de que tu portal web se considere un servicio de comunicación audiovisual son la aplicación de la respectiva normativa en la materia, que incluye ciertas obligaciones entre las que se incluyen:

  • facilitar determinada información a los receptores del servicio,
  • prohibición de incluir contenidos que inciten al odio por razón de raza, sexo, religión o nacionalidad,
  • requisitos específicos que deberán cumplir las comunicaciones comerciales,
  • el régimen de los servicios o programas patrocinados,
  • la prohibición de emplazamiento de productos,

y en el caso de España

  • la inscripción del prestador del servicio en el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual
  • y el procedimiento de comunicación previa de inicio de actividad, entre otras.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO)

Conocida popularmente como DPO (en inglés, Data Protection Officer), el delegado de protección de datos (1) constituye uno de los elementos claves del Reglamento europeo de protección de datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Al Delegado de Protección de Datos, o DPO, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD (2) entre las que destacan las de informar y asesorar, así como supervisar el cumplimiento del RGPD por parte del responsable o encargado.

El DPO deberá contar con conocimientos especializados del Derecho, y en protección de datos, y actuará de forma independiente, aunque conviene precisar dos cuestiones al respecto:

  • El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
  • El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

La Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENA) los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación:

  • un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.
  • Y otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.

Los dos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.

Esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, aunque obtenerla supone una garantía tanto de la competencia profesional certificada, como del ejercicio de la mencionada competencia.

(Fuente: Blog AEPD)

(1)

1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

(2)

1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

Los proveedores de Internet en EE.UU. podrán vender los datos de sus usuarios. ¿Qué es el Escudo de Privacidad UE – EE. UU. y por qué lo necesitamos?.

El acuerdo Escudo de Privacidad (el “Privacy Shield”, aprobado por la Comisión Europea el 12 de julio de 2016 a raíz de la sentencia de 6 de octubre de 2015 -asunto C/362/14- que anuló la decisión de la Comisión Europea de considerar a Estados Unidos como “puerto seguro”  -Safe Harbor- a efectos de la cesión de datos personales de ciudadanos europeos) se basa en los siguientes principios:

  1. Obligaciones rigurosas para las empresas de los EE.UU. que trabajan con datos.
  2. Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense.
  3. Protección eficaz de los derechos individuales.
  4. Mecanismo de revisión conjunta anual.

La Unión Europea (UE) y los Estados Unidos (EE. UU.) mantienen fuertes lazos comerciales. Las transferencias de datos personales constituyen una parte importante y necesaria de la relación transatlántica, en particular, en la economía digital global de hoy en día. Son muchas las operaciones en las que se recaban y usan datos personales, por ejemplo, nombre, número de teléfono, fecha de nacimiento, domicilio y dirección de correo electrónico, número de tarjeta de crédito, número de seguridad social, nombre de usuario, sexo y estado civil o cualquier otro tipo de información que permita identificarnos. Por ejemplo, existe la posibilidad de que recabe nuestros datos en la UE una sucursal, o un socio comercial de una empresa estadounidense que los usará posteriormente en los EE. UU. Eso es lo que sucede, por ejemplo, cuando compramos bienes o contratamos servicios a través de internet, cuando usamos las redes sociales o servicios de almacenamiento en la nube, o en el caso de los empleados de empresas con sede en la UE pero que utilizan otra empresa en los EE. UU. (por ejemplo la sociedad matriz) para tratar los datos personales. La legislación de la UE exige que los datos personales sigan gozando de un alto nivel de protección al ser transferidos a EE. UU. Y aquí es donde interviene el Escudo de Privacidad entre la UE y los EE. UU. El Escudo de Privacidad permite que los datos personales se transfieran de una empresa de la UE a otra de los Estados Unidos, únicamente si dicha empresa procesa (es decir, usa, almacena y transfiere posteriormente) los datos personales con arreglo a una serie de normas de protección y salvaguardias bien definidas. La protección conferida a los datos personales se aplica con independencia de si se es o no ciudadano de la Unión Europea.

De aquí la preocupación al conocerse la noticia de que los proveedores de Internet en EEUU podrán vender los datos de sus usuarios si prospera -como parece ser que ocurrirá- el proyecto de ley que elimina las garantías de privacidad en la red impuestas por el ex presidente Barack Obama y que ahora permitirá a los proveedores de Internet vender datos de sus usuarios, como los historiales de búsqueda o la localización. Este proyecto revoca un reglamento (redactado para la Comisión Federal de Comunicaciones) que exigía a los proveedores obtener el permiso de sus usuarios antes de vender sus datos. Con la anulación de la norma, y según diversas fuentes:

-“Los estadounidenses no estarán nunca a salvo de tener sus datos personales sigilosamente examinados y vendidos al mejor postor”.

-“Se permitirá la difusión incontrolada de datos personales, como el historial de navegación, que pueden revelar creencias religiosas, ideologías, orientaciones sexuales, estado de salud o informaciones geográficas de los usuarios”.

-“Los consumidores deben poder controlar qué hacen las empresas con ellas”.

(Fuentes: AEPD y El Mundo)

VÍCTOR ALTIMIRA – INBLAC (CURSO PRÁCTICO DE ACTUALIZACIÓN)

Nuestro socio Víctor Altimira, a su vez Presidente de INBLAC, participará en Madrid el próximo día 16 de Junio en una jornada en el que se impartirá un “Curso Práctico de Actualización” en materia de prevención de blanqueo de capitales y financiación del terrorismo.

Programa-inblac-1170x252

CURSO PRÁCTICO DE ACTUALIZACIÓN

  • PROGRAMA

Madrid 16 de junio 2016

9:30 – 10:00h     Palabras del Presidente de la Asociación INBLAC, Víctor Altimira.

10:00 – 11:00h   Especificaciones técnicas aprobadas por el SEPBLAC de operaciones No Presenciales a través de Videoconferencia y su implicación en materia de Protección de Datos de Carácter personal; Víctor Altimira, Socio Abogado Logic Data Consulting.

11:00 – 11:20h   Coffee Break.

11:25 – 12:30h   Casuísticas en el Sector Inmobiliario; Héctor Borge, Responsable PBC/FT &Anti-Fraude en Anticipa Real Estate

12:35 – 13:35h   Cómo integrar los controles de Prevención de Blanqueo de Capitales y de la Financiación de Terrorismo con los sistemas de la ISO 19600; Luis Rodríguez, Socio – Director Broseta

13:35 – 14:00h   Preguntas

Tarde

15:00 – 16:00h   La subjetividad en el análisis de riesgo en PBC-FT; Joaquín Mena, Director General en Quimena Consulting

16:00 – 17:00h   Automatización y monitorización continúa de controles internos en la empresa con ACL; Enrique Stampa, Socio Director en PM Partners

17:00 – 17:15h Coffee Break.

17:20 – 18:20h   Tendencias de los delitos relacionados con blanqueo de capitales; Francisco Bonatti, Socio Director de Bonatti Penal & Compliance

18:20 – 19:20h   El mapa de riesgo. Análisis de la naturaleza de los riesgos subyacentes y tipologías; Joaquim Altafaja Diví, Socio Director Itadvisory Partners y miembro del Consejo Consultivo del RASI-CGCEE.

19:20 – 20:00h   Palabras de Cierre del Presidente de la Asociación INBLAC, Víctor Altimira

Lugar: Hotel Catalonia Atocha

Calle Atocha, 81  –  Madrid

Precio de la Jornada: 90€

Asociados miembros de INBLAC: Gratis

Asociados miembros de RASI: 50€

Dirección de las jornadas: Adriana Mendoza, Vocal de INBLAC, Consultoría independiente de PBC&FT.

Coordinadora de las Jornadas: Irene López, Vocal de INBLAC, Socia Abogada de Logic Data Consulting.

Los interesados en apuntarse al Curso Práctico de Actualización lo pueden hacer en: info@inblac.org

 

*El programa y horarios pueden sufrir cambios de última hora.