Cuando Ricado H, CEO español de la multinacional, fue citado a una reunión a las 9 de la mañana con su jefe de Europa y él informático, nunca pudo adivinar de que se trataba. Treinta años en una empresa, a la que había hecho crecer y consolidado sus beneficios, no lo prepararon precisamente para él despido, y que en ese momento sus claves de acceso fueran bloqueadas. El motivo: incumplimiento de códigos éticos. Antonio M. tenía prácticamente finalizada su compra por internet, cuando acudió a los comentarios de Google. De inmediato la suspendió al comprobar incumplimientos en sus políticas laborales y ausencias en los canales internos de comunicación. Y es que en esta era de interconexión y de hiperconocimiento, una gestión ética de las organizaciones se ha hecho indispensable. Los clientes, los proveedores y los trabajadores no solo piden que se gestione eficazmente, sino que se haga de acuerdo a unos estándares éticos, y de cumplimiento de toda la legislación. Pero está normativa se ha multiplicado, lo que ha llevado a las organizaciones a su desconocimiento e incumplimiento.  Y lo que aún es peor, a que cualquier externo desconozca si se están aplicando, obteniendo de está forma una imagen negativa de la organización. Abramos una ventana al exterior: El Canal Ético. ¿Pero que es un canal ético?. Podemos definirlo como la relación de la empresa o entidad pública con los terceros, público, trabajadores, proveedores, etc. Él marco en que cualquier persona que establezca relaciones con nuestra organización conozca sus políticas internas, y como establecer contacto, de forma anónima o identificada. ¿Qué puede caber en un canal ético?. No hay una lista cerrada, lo importante es él concepto de  que lo integre cualquier normativa relacionada con él cumplimiento normativo, o con políticas de cumplimiento ético. El protocolo contra él acoso es uno de estas normas de cumplimiento obligatorio que se encuentra en el Canal Ético. Resulta imprescindible contar con un entorno laboral seguro y respetuoso para todos los empleados, y que él conjunto de normas que lo regulan sean conocidos por estos y por los terceros. La transparencia es uno de los ejes conductores del cumplimiento normativo, lo que se consigue con él Canal Ético. Un protocolo para la desconexión digital  es un aspecto cada vez más relevante en la era del teletrabajo, por lo que su regulación y puesta en público conocimiento es indispensable. ¿Textos genéricos o políticas adaptadas?. Pues dependerá en muchos casos de la existencia de un departamento de cumplimiento normativo en la organización. Caso de que este no existe, podrá implementarse textos que contengan la totalidad de los elementos exigidos por la normativa. Un software para gestionar El Canal Ético. Ante él volumen de información existente, ante la ingente cantidad de normativa, soló hay una solución: la facilidad. El santo grial de la informática es la usabilidad, que el producto sea intuitivo. No más de unos pocos segundos para comprenderlo, para no desecharlo. Y en este sentido hemos desarrollado el Canal Ético DATAGEST. Él canal tiene un doble componente. Actúa de punto único de toda la normativa de cumplimiento obligatorio, y facilita la comunicación entre los terceros y la empresa o entidad administrativa. El enlace Canal Ético, colocado junto a otros como Política de Privacidad o Aviso legal, da entrada a dos nuevos enlaces Cumplimiento y Comunícate con nosotros. En el primero de ellos vamos a recoger toda la política de Compliance de la organización (protocolo de acoso, desconexión digital, políticas propias, etc.). El segundo es él encargado de recoger cualquier instrumento de comunicación, en particular el Canal de Denuncias. Este SII (Sistema interno de información) permite la comunicación o formulación de denuncias, anónimas o identificadas, asegurando la protección de la identidad del denunciante, simplificando los procesos de instrucción y resolución. Y que además sea fácil. Facilidad para el público, trabajadores y terceros. Pero también facilidad para la empresa u organización que lo implementa. Este Canal Ético viene preparado para su usuario y personalizado con los logos y signos distintivos del destinatario. La facilidad también tendrá que percibirla el personal de la organización, y para ello se imparte una breve formación sobre sus aspectos esenciales. Con todo ello se logrará generar y mantener una cultura basada en la transparencia y el respeto, promoviendo además un entorno laboral ético.

El protagonista de la historia de hoy, Mario, lleva 20 años trabajando en la misma empresa. Su relación con su responsable, después de tanto tiempo, es muy cercana e incluso han llegado a intercambiar publicaciones en Facebook, dejando saber a todos el buen trato que existe entre ellos. Una mañana, mientras su jefe se encontraba de viaje de negocios, Mario recibe una llamada de un número desconocido. Cuando descuelga, la voz al otro lado del teléfono le asegura ser un cliente que había estado pocas horas antes con su jefe y le pide que le envíe unos documentos confidenciales con bastante urgencia, asegurándole que era una petición directa de su responsable. Aunque en principio duda, los datos que el interlocutor le estaba dando, como el nombre de su jefe y la ciudad en la que se encontraba de viaje, le hacen confiar y enviarle la información solicitada. Además, en el transcurso de la llamada comprueba que el número de teléfono corresponde con el que tenían guardado para el cliente como el que se había identificado. Cuando su jefe vuelve de viaje y hablan de la llamada, este niega haber dado en ningún momento la autorización para enviar dichos documentos. De hecho, ni siquiera se había reunido con el cliente del que Mario le hablaba. Tras denunciar la situación a las autoridades pertinentes, confirman sus sospechas, habían sido víctimas de una estafa: spoofing telefónico. ¿Qué ha ocurrido? El spoofing o suplantación de identidad es un tipo de estafa que consiste en hacerse pasar por un remitente de confianza (persona conocida, clientes, proveedores…), con el fin de engañar a la víctima para obtener acceso a datos o información confidencial. Los ciberdelincuentes utilizan esta técnica para acceder a la información personal de las víctimas con la finalidad de filtrarlos, chantajearlos, robar dinero, propagar malware a través de archivos adjuntos o enlaces o, en general, obtener algún tipo de beneficio. El spoofing puede darse en diferentes formas, pero en este artículo de blog nos centraremos en el que se realiza a través de llamadas telefónicas, como le ocurrió al protagonista de nuestra historia, Mario. En el spoofing telefónico los atacantes consiguen falsificar el número de teléfono que aparece en la pantalla del receptor, haciéndole creer que la llamada proviene de una fuente legítima. Una vez el destinatario de la llamada contesta el teléfono, el ciberdelincuente tratará de convencerlo para que le facilite la información que está buscando. En el caso de Mario y su jefe, además, los ciberdelincuentes solo tuvieron que hacer una simple búsqueda en redes sociales para obtener información que hiciese más creíble la llamada. ¿Cómo evitar que tu empresa sea víctima de un ataque de spoofing? Como ocurre con la mayoría de los ciberataques, las empresas son especialmente vulnerables al spoofing telefónico. Las organizaciones manejan grandes cantidades de información confidencial y datos que pueden ser muy beneficiosos para los ciberdelincuentes. Además, las constantes llamadas de clientes y proveedores que reciben en el día a día hacen más creíble el engaño, que podría pasar por una llamada rutinaria. Detectar una suplantación de identidad telefónica puede ser difícil, ya que como hemos visto, los ciberdelincuentes utilizan técnicas cada vez más sofisticadas. Sin embargo, existen algunas señales claras de alarma que pueden ayudar a saber que estamos siendo víctimas de un spoofing telefónico: La llamada procede de un número desconocido o sospechoso. La persona solicita información confidencial. Si el emisor solicita información como contraseñas o datos bancarios, probablemente se trate de un intento de vishing. Este tipo de información nunca debe proporcionarse sin verificar la autenticidad de la llamada. La persona llama en tono de urgencia. Los ciberdelincuentes suelen presionar a las víctimas para que actúen rápidamente, sin tiempo para pensar. Además, para proteger a las empresas de este tipo de ataques, es recomendable tomar una serie de medidas de seguridad: Activar un filtro telefónico antispam para bloquear las llamadas entrantes de números sospechosos. Utilizar un sistema de autenticación de llamadas para verificar la autenticidad de la llamada entrante y detectar posibles casos de spoofing. Concienciar a los empleados para que aprendan a identificar la suplantación de identidad telefónica y sepan cómo actuar ante posibles llamadas fraudulentas. Examinar la llamada con el fin de verificar si el posible ataque de falsificación contiene signos que nos alarmen, como, por ejemplo, que no sepan algunos datos que sí deberían conocer. Confirmar la información si una llamada parece sospechosa. Se recomienda enviar un mensaje o realizar una llamada al remitente de confianza para verificar si la información que se ha recibido es auténtica o no. Evitar compartir información sensible que pueda ayudar a los ciberdelincuentes a hacer la estafa más creíble. Configurar un doble factor de autenticación para añadir una capa extra de seguridad a los códigos de acceso. Establecer políticas de seguridadpara los empleados y clientes con el fin de prevenir el fraude telefónico. Por ejemplo, no deberán compartir información personal o financiera por teléfono. Reportar el spoofing telefónico a las autoridades pertinentes para evitar posibles víctimas.

¿Es obligatorio la implantación de un DPO en los Colegios Profesionales de abogados? Nuestro nombramiento reciente como Delegados de Protección de Datos de dos importantes Colegios Profesionales y la labor que hemos llevado a cabo en otros nos hace tomar una perspectiva sobre la importancia de esta figura, que ahora queremos compartir. Parece claro que lo primero a considerar es la obligatoriedad de su implantación. La recoge expresamente la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD). Precisamente en el punto 1 de su artículo 34, cita a los Colegios Profesionales y sus consejos generales. Cambio de cultura Sin embargo, además de la obligatoriedad legislativa, podemos hablar de cambio de cultura. Frente a la implantación anterior de estándares, muchas veces inoperantes, ahora es la “proactividad” la palabra clave. Se hará “lo necesario” para obtener una protección eficaz de los datos de la organización, y quien mejor que una figura profesional que asuma este cambio cultural. En el Colegio la protección de los datos se inicia con los del propio Colegiado. De acuerdo al artículo 19.2 de la Ley, “los datos de contacto relativos a profesionales liberales solo podrán emplearse para dirigirse a estos como tales, y no como personas físicas”. Corresponde a los Colegios establecer políticas de comunicación y de publicación de datos acordes con la normativa. Por otra parte, el deber de confidencialidad aplicable en el proceso de los datos es compatible con el deber del secreto profesional del artículo 5.2 LOPD. En cuanto a la correlación entre derecho a la información pública y la protección de datos personales se estará a la Disposición adicional segunda LOPD, que “La publicidad activa y el acceso a la información pública regulados por el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente ley orgánica”. Exclusividad para abogados y procuradores Con aplicación para abogados y procuradores la nueva Ley, en su artículo 10.3, les otorga a la exclusividad del tratamiento de datos sobre condenas, infracciones penales,procedimientos y medidas cautelares y de seguridad, cuando el cliente les haya facilitado la información para realizar las funciones de su acto o ejercicio profesional. Fundamental es la consideración de interés público en el tratamiento de los datos. El artículo 8.2 LOPD recoge la licitud del tratamiento de los datos personales cuando derive de una competencia atribuida por una norma con rango de ley. Esta licitud es predicable de la elaboración de estadísticas de interés público que realizan las corporaciones colegiales, y tiene su fundamento en el artículo 25 de la ley. El DPD deberá realizar en el Colegio Profesional una serie de actuaciones, que detallamos, sin ánimo exhaustivo y a título meramente enunciativo. Inicialmente, se realizará un registro de actividades de la entidad colegial de acuerdo a su finalidad, que inicialmente puede tener como base los antiguos ficheros. Seguidamente realizaremos un análisis de riesgos, que debe concluir en la necesariedad o no de realizar una Evaluación de Impacto, para algunos de los tratamientos desarrollados. Notificaciones a trabajadores, encargos con terceros del Colegio, actualización de la página web, aviso legal, política de privacidad y política de cookies, se hacen imperiosas. La relación con colegiados, público, proveedores, etc. debe tener en cuenta la política de petición de consentimiento, y las cláusulas y leyendas informativas. Finalmente indicar que los Colegios profesionales se incardinan dentro del régimen especial que les asigna el artículo 77.1.g) LOPD, al referirse a “Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público”. Se establece un procedimiento especial en caso de que “los responsables o encargados … cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica”. Tanto las actuaciones a adoptar como las sanciones susceptibles de actuación vienen a dar cuenta de la importancia que el legislador otorga a estas organizaciones. Finalmente hay que decir la personalización en los responsables o encargados, que el punto 6 del artículo 77 señala: 6. “Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción”. Jesús Medina Jaranay Director Gerente Aucón Asesores, S.L. Los comentarios están cerrados.