CLÚSTER, con “C” de COLABORACIÓN, de COOPERACIÓN…

COLABORAR PARA COMPETIR

Un clúster es un grupo de empresas ínter relacionadas que trabajan en un mismo sector industrial y que colaboran estratégicamente para obtener beneficios comunes.

Aunque la definición más extendida y conocida es la de Michael Porter, quien los definió como:

– “…una agrupación de empresas e instituciones relacionadas entre sí, pertenecientes a un mismo sector o segmento de mercado, que se encuentran próximas geográficamente y que colaboran para ser más competitivos¨.

Por tanto, los clúster son una HERRAMIENTA de COMPETITIVIDAD basada en la cooperación de sus miembros, que se han revelado como un potente instrumento de modernización e internacionalización empresarial.

En estado algo embrionario todavía en la UE, están ganando impulso y forman parte ya de la realidad económica europea. El Observatorio Europeo de Clúster ha identificado alrededor de 2.000 estadísticamente significativos en 70 regiones europeas, definidos como aglomeraciones regionales de industrias y servicios afines.

¿ PUBLICAS CONTENIDOS AUDIOVISUALES EN TU PÁGINA WEB ?

Podrías ser considerado un servicio de comunicación audiovisual.

El crecimiento y desarrollo de los servicios prestados por los portales y páginas web por los operadores de la sociedad de la información, ha propiciado que muchos de estos portales y servicios pongan a disposición del público contenidos audiovisuales y/o emisiones o programas de televisión a través de los mismos. En estos casos, además de la normativa en materia de servicios de la sociedad de la información, estos portales web deberán cumplir con la normativa relativa a los servicios de comunicación audiovisual.

En la UE, el marco normativo es desarrollado por la Directiva 2010/13/UE, incorporado al derecho español por la Ley 7/2010, de 31 de marzo, General de la Comunicación Audiovisual, y desarrollada por el Real Decreto 847/2015 de 28 de Septiembre, por el que se regula el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual y el procedimiento de comunicación previa al inicio de la actividad.

A este respecto cabe destacar la sentencia del Tribunal de Justicia C‑347/14, en la que se interpreta el concepto de servicio de comunicación audiovisual, estableciendo en qué medida la inclusión de contenidos audiovisuales en portales web determinará que el titular de la web sea considerado prestador de servicios de comunicación audiovisual.

Según la Directiva, el concepto de servicio de comunicación audiovisual se entenderá como el servicio cuya responsabilidad editorial corresponde al prestador del servicio de comunicación y cuya finalidad es proporcionar programas, con objeto de informar, entretener o educar al público en general a través de redes de comunicaciones electrónicas, se excluyen las páginas web privadas y los servicios consistentes en la prestación de servicios o distribución de contenido audiovisual generado por usuarios privados con el fin de compartirlo entre grupos de interés (el caso de Youtube).

Así pues, habrá de tener en cuenta la finalidad principal del portal web (o subdominio) en el que se publiquen los vídeos, y si el contenido audiovisual facilitado en el mismo constituye un programa. En cualquier caso, se consideran programas de televisión los largometrajes, las manifestaciones deportivas, las series, los documentales, los programas infantiles y las obras de teatro originales, así como las retransmisiones en directo de acontecimientos culturales o de cualquier tipo.

En resumidas cuentas, para ser considerado un servicio de comunicación audiovisual según lo dispuesto en la Directiva:

  • El prestador de servicios tendrá responsabilidad editorial de los contenidos audiovisuales.
  • Que el objeto principal sea el audiovisual. No serán considerados servicios de comunicación audiovisual aquellos portales webs que tengan el audiovisual como finalidad auxiliar o complementaria.
  • Estar destinado al público en general.
  • Ser difundido mediante redes de comunicaciones electrónicas.

Los efectos de que tu portal web se considere un servicio de comunicación audiovisual son la aplicación de la respectiva normativa en la materia, que incluye ciertas obligaciones entre las que se incluyen:

  • facilitar determinada información a los receptores del servicio,
  • prohibición de incluir contenidos que inciten al odio por razón de raza, sexo, religión o nacionalidad,
  • requisitos específicos que deberán cumplir las comunicaciones comerciales,
  • el régimen de los servicios o programas patrocinados,
  • la prohibición de emplazamiento de productos,

y en el caso de España

  • la inscripción del prestador del servicio en el Registro Estatal de Prestadores de Servicios de Comunicación Audiovisual
  • y el procedimiento de comunicación previa de inicio de actividad, entre otras.

“PUNITIVE DAMAGES” y EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS

Por “Punitive damages” (daño punitivo) se entiende el mecanismo por el cual se condena a pagar una indemnización, que busca reparar la violación a los derechos constitucionales de los ciudadanos, ocasionados ya sea por funcionarios del gobierno o por particulares. Son las cantidades de dinero que los tribunales exigen pagar con el fin, no como una indemnización compensatoria, sino como una sanción con fines ejemplarizantes.

Algo muy generalizado en el “common law” (el derecho común anglosajón) parece que ha inspirado el régimen sancionador del nuevo Reglamento europeo de protección de datos, que será de plena aplicación el 25 de mayo de 2018. Infracciones actualmente sancionadas con 300.000 euros como tope, puedan pasar a ser multas administrativas (art. 83.4) de “10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”. Y estamos hablando, por ejemplo (art. 28.3) del hecho de no tener suscrito contrato de  encargado del tratamiento con un prestador de servicios que conlleve la comunicación de datos a éste.

Es uno de los casos en donde se aprecia que, con el nuevo Reglamento europeo, la misma infracción actual podrá llegar a ser sancionada de modo mucho más gravoso para las empresas.

El 25 de mayo de 2018 ya está a menos de un año vista…

PRIVACY BY DESIGN – PRIVACIDAD EN EL DISEÑO. Hacer, para no tener que rehacer

Si quieres montar una empresa está claro que no vas a obviar la inscripción de ésta en el Registro correspondiente, ni el formalizar con tus trabajadores el pertinente contrato, ni obtener el permiso de obras (si fuera necesario), ni el instaurar la política de prevención de riesgos laborales. Todos estos aspectos, y otros más, se han de tener ya en cuenta desde ANTES del inicio de la actividad, desde su mismo proceso de construcción.

La normativa de protección de datos no es, ni debe ser nunca, una excepción.

Al igual que decíamos que contemplamos todos esos aspectos desde el pre-inicio de la actividad, desde el momento en que la diseñamos, así debemos actuar con la normativa de protección de datos. Es lo que llamaremos “el principio de privacidad en el diseño”, que nos permitirá no tener que rehacer nuestros sistemas, nuestros procesos, nuestro diseño de un proyecto tecnológico ya en marcha, una app, un sitio web de comercio electrónico, un nuevo sistema operativo o nuestra web corporativa una vez ya estén en el mercado (con el ahorro de costes que ello representa).

No debemos actuar con los aspectos de privacidad como algo que “tengamos que incorporar cuando podamos” una vez ya estemos en marcha; se trata de trabajar los aspectos de la privacidad desde el propio diseño del proyecto. Más que adaptarse a la normativa, que ésta forme parte de nuestro concepto de empresa, de nuestro proyecto….

Hay que preguntarse siempre en todo proceso de creación:

¿qué implicación, a nivel de normativa de protección de datos, tendrá esto que estoy creando?.

Porque puede ocurrir que imprimas unos cientos de miles de folletos promocionales, para dinamizar tu creación desde su misma salida al mercado… y ya con ellos en el almacén alguien te haga ver que no hay ningún tipo de aviso legal, ni se solicita ningún tipo de autorización para poder utilizar posteriormente los datos que se recogen con fines promocionales, ni si se cederán estos datos a terceros…

Privacidad en el diseño – Privacy by design  

Hacer, para no tener que rehacer (con el riesgo, y costes, que representa)

“Derecho al Olvido” y eliminación de fotos y vídeos de internet

De la “Guía para el ciudadano” publicada por la Agencia Española de Protección de Datos, y que podemos encontrar en su web, extraemos el punto

4.5: “Derecho al Olvido” y eliminación de fotos y vídeos de Internet

La AEPD fue pionera al considerar que el tratamiento de datos que realizan los motores de búsqueda de Internet, como Google, Bing o Yahoo, está sometido a la normas de protección de datos de la Unión Europea, y que los ciudadanos pueden solicitar, bajo ciertas condiciones, que los enlaces a sus datos personales no aparezcan en los resultados de una búsqueda realizada por su nombre y apellidos. Este criterio de la AEPD fue avalado en el año 2014 por el Tribunal de Justicia de la Unión Europea, y se ha popularizado como “derecho al olvido”.

¿En qué consiste? Te lo explicamos a través de seis puntos clave.

  1. Supone aplicar los derechos de cancelación y oposición a los buscadores para impedir la difusión de la información cuando ésta es obsoleta o no tiene relevancia ni interés público.
  2. Si se estima tu pretensión, la información no aparecerá en los resultados de búsquedas, pero seguirá publicado en la fuente original.
  3. Se debe valorar caso a caso para lograr un equilibrio entre los diferentes derechos e intereses afectados.
  4. Si los buscadores deniegan tu pretensión puedes interponer una reclamación ante la AEPD.
  5. Los principales buscadores, Google, Yahoo y Bing, han habilitado formularios para facilitar su ejercicio. Puedes encontrarlos en la sección web de la AEPD sobre el “Derecho al Olvido”.
  6. Puedes ejercitarlo ante los buscadores sin necesidad de acudir a la fuente original de publicación.

Por lo que se refiere a la eliminación de fotos y vídeos que han sido publicados en internet sin tu consentimiento, puesto que ambos ostentan la consideración de datos personales, puedes ejercitar el derecho de cancelación de los mismos. Para ello debes dirigirte, acreditando tu identidad e indicando los enlaces donde aparecen los vídeos y fotos, ante quien los haya subido a la red, solicitando por tanto, el borrado de los mismos. Si no te responden o la respuesta es insatisfactoria, puedes interponer una reclamación de tutela de tu derecho ante la Agencia. Por otra parte, las redes sociales más populares ofrecen servicios de ayuda que permiten poner en su conocimiento, a través de sus propios formularios, cuándo se ha producido una vulneración de la privacidad o contenidos inapropiados. Algunos de estos servicios son los siguientes:

Facebook:

https://www.facebook.com/help/428478523862899 (servicio de ayuda)

Google:

https://support.google.com/legal/troubleshooter/1114905?hl=es (retirada de contenido)

https://support.google.com/youtube/answer/2802268?hl=es (Youtube, denuncia abuso o  acoso)

https://support.google.com/youtube/answer/142443?hl=es (Youtube, vulneración de la privacidad)

https://support.google.com/youtube/answer/2802002?hl=es&ref_topic=2803176 (Youtube, denunciar contenidos sexuales)

https://support.google.com/youtube/answer/2802008?hl=es&ref_topic=2803176 (Youtube, denunciar contenidos violentos)

Instagram:

https://help.instagram.com/122717417885747/?ref=hc_fnav (contenido publicado sin consentimiento)

https://help.instagram.com/165828726894770/?ref=hc_fnav (conductas abusivas)

https://help.instagram.com/547601325292351 (hostigamiento o acoso)

Twitter:

https://support.twitter.com/forms/private_information (publicación información privada)

https://support.twitter.com/forms/impersonation (usurpación de identidad)

https://support.twitter.com/forms/impersonation (acoso)

https://support.twitter.com/forms/spam (vídeos ofensivos)

https://support.twitter.com/articles/108038#specific-violations (otros supuestos)

TODAY IS THE DAY: THE WORLD INTERNET DAY

Y nadie, por lo que parece, está del todo a salvo de sufrir un ataque masivo-destructivo, con trasfondo de puro chantaje-extorsión, como el acontecido este pasado fin de semana a nivel mundial.

Pero sí tiene a su alcance la posibilidad de evitar que el incidente se convierta en una catástrofe para su empresa; tan solo tiene que preguntarse:

–  Si le hubiera pasado a mi empresa ¿ tendría de qué preocuparme ? (…y mucho).

–  ¿ Efectúo (preferentemente a diario según sector de actividad) copias de seguridad de mi información ? ¿ con qué regularidad ?.

–  ¿ Externalizo el servicio de las copias de seguridad ?,  ¿ las guardo en lugar seguro ?

–  ¿ Cuánto hace que nadie verifica que estas copias de seguridad se están realizando correctamente y es totalmente recuperable su contenido?

–  ¿ Tengo contrato con la empresa proveedora del servicio de externalización de mis copias de seguridad ?

Pensar hoy un momento en ello puede permitirle el asegurar la continuidad de su negocio el día D+1 de haber sufrido un ataque informático.

 

¿ … Y SI UN DÍA PIERDES TODA TU INFORMACIÓN ?

Hace poco más de un año publicábamos esta noticia:

SU EMPRESA YA NO EXISTE….

Una empresa informática de dominios web ha borrado todos sus datos de los servidores de su propia empresa… y todos los datos de sus más de 1.500 clientes, al introducir de forma totalmente involuntaria un fatídico comando UNIX sin concretar un destino. Ese fue su gran fallo, ya que su ordenador interpretó que lo que quería era borrar todos los datos de sus servidores y las copias de seguridad de los mismos. No es lo mismo “RM”… que “RM-RF”, ya que la primera parte del comando, “RM”, hace referencia a una orden de eliminar; la siguiente “R” borra todo el contenido dentro de un directorio dado, y la “F” fuerza a la máquina a ignorar todas las advertencias habituales que vienen cuando se va a proceder a una eliminación sin marcha atrás. Las opciones de recuperar los datos son prácticamente nulas.

Podría ser una noticia de hoy mismo.

Posiblemente, como pasa con frecuencia “con lo de hacer testamento”, te hayas dicho a menudo:

–          “Tengo que hacerlo; tengo que hablar con mis técnicos de sistemas (internos o externos) para asegurar la continuidad de mi negocio en caso de algún incidente grave de seguridad” (ataque informático, incendio, inundación, fenómenos climatológicos…).

Sí, porque un “incidente grave de seguridad” puede generar para tu negocio una auténtica “catástrofe”. Porque de auténtica catástrofe se puede considerar el hecho de perder toda tu información, el no tener una copia de seguridad actualizada y comprobada periódicamente, no poder recuperar la información… y con el riesgo, además, de que toda esta información “esté ahora en manos de otro”.

Supongo que no sabes lo que es hasta que te pasa.

No esperes a que te pase para comprobarlo. Aplica las medidas de seguridad adecuadas para proteger algo tan valioso para tu negocio como es la información que posees.

LISTA FALCIANI – BANCO SANTANDER – BLANQUEO DE CAPITALES (?)

A partir de unos informes emitidos por los inspectores del Banco de España (requeridos por el juez como peritos) la denominada Lista Falciani desvela cuentas secretas de HSBC de las que se ha podido conocer la propiedad real y que, presuntamente, están relacionadas con una trama de blanqueo de capitales con movimientos por un valor cercano a los 74 millones de euros, y por los que el juez de la Audiencia Nacional -José de la Mata- acaba de citar como investigados (anteriormente denominados como “imputados”) a varios directivos de Banco Santander y BNP Paribas.

Según los informes, el Banco de Santander realizaba transferencias sin cumplimentar la información requerida en complejas operaciones que dificultaban su análisis, y sin determinar ni la identidad de los ordenantes ni la de los beneficiarios.

Se investigan 1.070 operaciones por valor de 73,96 millones de euros, que fueron canalizados a través de Banco Santander entre 2005 y 2008.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS (DPO)

Conocida popularmente como DPO (en inglés, Data Protection Officer), el delegado de protección de datos (1) constituye uno de los elementos claves del Reglamento europeo de protección de datos (RGPD), y un garante del cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Al Delegado de Protección de Datos, o DPO, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD (2) entre las que destacan las de informar y asesorar, así como supervisar el cumplimiento del RGPD por parte del responsable o encargado.

El DPO deberá contar con conocimientos especializados del Derecho, y en protección de datos, y actuará de forma independiente, aunque conviene precisar dos cuestiones al respecto:

  • El RGPD no exige que deba ser un jurista, pero sí que cuente con ese conocimiento en Derecho anteriormente citado;
  • El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.

La Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENA) los trabajos para desarrollar un modelo de certificación como Delegado de Protección de Datos, que será utilizado por aquellas entidades que deseen realizar certificaciones de este tipo.

En este sentido, el modelo en el que se está trabajando funcionará a través de dos esquemas de certificación:

  • un esquema que acredite aquellas entidades para que, a su vez, puedan actuar como certificadoras de Delegados de Protección de Datos. Corresponderá a ENAC acreditar a las mencionadas entidades, siempre y cuando acrediten cumplir el citado esquema.
  • Y otro esquema para certificar a Delegados de Protección de Datos, es decir, los requisitos necesarios para que se pueda obtener esta certificación.

Los dos esquemas serán aprobados por la Agencia Española de Protección de Datos durante el primer semestre de 2017, siendo la AEPD propietaria de los citados esquemas.

Esta certificación como DPO es totalmente voluntaria y, por tanto, para su ejercicio no es necesario poseer la misma, aunque obtenerla supone una garantía tanto de la competencia profesional certificada, como del ejercicio de la mencionada competencia.

(Fuente: Blog AEPD)

(1)

1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

(2)

1. El delegado de protección de datos tendrá como mínimo las siguientes funciones:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
2. El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.

“EL DEBER DE INFORMAR” EN EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS (RGPD)

La LOPD, nuestra normativa actual vigente, establece las siguientes obligaciones respecto de la información:

Comunicar la existencia del fichero o tratamiento, su finalidad y destinatarios.

  • Del carácter obligatorio o no de la respuesta, así como de sus consecuencias.
  • De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • De la identidad y datos de contacto del responsable del tratamiento.

El RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de “Tratamiento” (al que define como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”; no hace uso, el RGPD, del concepto “fichero”). Así, el RGPD obliga a incorporar:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso,
  • La base jurídica o legitimación para el tratamiento,
  • El plazo o los criterios de conservación de la información,
  • La existencia de decisiones automatizadas o elaboración de perfiles,
  • La previsión de transferencias a Terceros Países
  • El derecho a presentar una reclamación ante las Autoridades de Control
  • Y además, en el caso de que los datos no se obtengan del propio interesado:
  • El origen de los datos
  • Las categorías de los datos

Así pues, los procedimientos, modelos o formularios diseñados de conformidad con la LOPD deberán ser revisados y adaptados por los Responsables de Tratamientos con anterioridad a la fecha de plena aplicación del RGPD, (25-5-2018) incorporando los nuevos requisitos que, amplían y no contradicen la obligación de informar establecida en la LOPD.

Si los datos se obtienen directamente del interesado, la información debe ponerse a disposición de éstos en el momento en que se les soliciten los datos, previamente a la recogida o registro.

Si los datos no nos los proporciona el propio interesado, debido a que los obtenemos de alguna cesión legítima, o proceden de fuentes accesibles al público, el Responsable del Tratamiento deberá informar a las personas interesadas dentro de un plazo razonable, pero en cualquier caso:

  • Antes de un mes desde que se obtuvieron los datos personales,
  • Antes o en la primera comunicación con el interesado,
  • Antes de que los datos, en su caso, se hayan comunicado a otros destinatarios

No hará falta para ello ningún requerimiento, y el responsable deberá poder acreditar con posterioridad que la obligación de informar ha sido satisfecha.

La información a las personas interesadas debe proporcionarse:

  • con un lenguaje claro y sencillo,
  • de forma concisa, transparente, inteligible y de fácil acceso

¿Cómo compatibilizar la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla?. Las Autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o Niveles, o sea, presentar una información básica en un primer nivel, de forma resumida, en el mismo momento y en el mismo medio en que se recojan los datos, y remitir a la información adicional en un segundo nivel, donde se presentarán detalladamente el resto de las informaciones, en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.

 (Fuente: AEPD)