¿Es obligatorio la implantación de un DPO en los Colegios Profesionales de abogados?

Nuestro nombramiento reciente como Delegados de Protección de Datos de dos importantes Colegios Profesionales y la labor que hemos llevado a cabo en otros nos hace tomar una perspectiva sobre la importancia de esta figura, que ahora queremos compartir.

Parece claro que lo primero a considerar es la obligatoriedad de su implantación. La recoge expresamente la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD). Precisamente en el punto 1 de su artículo 34, cita a los Colegios Profesionales y sus consejos generales.

Cambio de cultura

Sin embargo, además de la obligatoriedad legislativa, podemos hablar de cambio de cultura. Frente a la implantación anterior de estándares, muchas veces inoperantes, ahora es la “proactividad” la palabra clave. Se hará “lo necesario” para obtener una protección eficaz de los datos de la organización, y quien mejor que una figura profesional que asuma este cambio cultural.

En el Colegio la protección de los datos se inicia con los del propio Colegiado. De acuerdo al artículo 19.2 de la Ley, “los datos de contacto relativos a profesionales liberales solo podrán emplearse para dirigirse a estos como tales, y no como personas físicas”. Corresponde a los Colegios establecer políticas de comunicación y de publicación de datos acordes con la normativa. Por otra parte, el deber de confidencialidad aplicable en el proceso de los datos es compatible con el deber del secreto profesional del artículo 5.2 LOPD.

En cuanto a la correlación entre derecho a la información pública y la protección de datos personales se estará a la Disposición adicional segunda LOPD, que “La publicidad activa y el acceso a la información pública regulados por el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente ley orgánica”.

Exclusividad para abogados y procuradores

Con aplicación para abogados y procuradores la nueva Ley, en su artículo 10.3, les otorga a la exclusividad del tratamiento de datos sobre condenas, infracciones penales,procedimientos y medidas cautelares y de seguridad, cuando el cliente les haya facilitado la información para realizar las funciones de su acto o ejercicio profesional.

Fundamental es la consideración de interés público en el tratamiento de los datos. El artículo 8.2 LOPD recoge la licitud del tratamiento de los datos personales cuando derive de una competencia atribuida por una norma con rango de ley. Esta licitud es predicable de la elaboración de estadísticas de interés público que realizan las corporaciones colegiales, y tiene su fundamento en el artículo 25 de la ley.

El DPD deberá realizar en el Colegio Profesional una serie de actuaciones, que detallamos, sin ánimo exhaustivo y a título meramente enunciativo. Inicialmente, se realizará un registro de actividades de la entidad colegial de acuerdo a su finalidad, que inicialmente puede tener como base los antiguos ficheros. Seguidamente realizaremos un análisis de riesgos, que debe concluir en la necesariedad o no de realizar una Evaluación de Impacto, para algunos de los tratamientos desarrollados. Notificaciones a trabajadores, encargos con terceros del Colegio, actualización de la página web, aviso legal, política de privacidad y política de cookies, se hacen imperiosas. La relación con colegiados, público, proveedores, etc. debe tener en cuenta la política de petición de consentimiento, y las cláusulas y leyendas informativas.

Finalmente indicar que los Colegios profesionales se incardinan dentro del régimen especial que les asigna el artículo 77.1.g) LOPD, al referirse a “Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público”. Se establece un procedimiento especial en caso de que “los responsables o encargados … cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica”. Tanto las actuaciones a adoptar como las sanciones susceptibles de actuación vienen a dar cuenta de la importancia que el legislador otorga a estas organizaciones. Finalmente hay que decir la personalización en los responsables o encargados, que el punto 6 del artículo 77 señala: 6. “Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción”.

Jesús Medina Jaranay

Director Gerente Aucón Asesores, S.L.

Los comentarios están cerrados.

La entrada Delegado de Protección de Datos en los Colegios Profesionales se publicó primero en Datagestión.

Implantar un sistema de control horario digital ya no es solo una mejora organizativa: es una medida urgente de protección legal, laboral y económica. Aunque algunas organizaciones siguen esperando una obligatoriedad específica, la realidad normativa y laboral actual deja poco margen para la inacción. Estas son las razones clave por las que implantar hoy un sistema digital de control horario es una necesidad urgente.

1. Riesgos laborales: inspecciones y sanciones frecuentes

Aunque no haya entrado en vigor la nueva normativa, desde mayo de 2019, el registro diario de jornada es obligatorio en todas las empresas, y su incumplimiento vigilado por la Inspección de Trabajo, con importantes sanciones, a menudo por denuncias de los propios trabajadores. Entre las deficiencias más habituales encontramos la ausencia de registro diario o registros inadecuados, los sistemas manipulables (papel, Excel sin trazabilidad), y no conservar los registros durante 4 años.

2. Riesgos por incumplimiento en protección de datos

La Agencia Española de Protección de Datos (AEPD) ha endurecido su postura respecto al uso de datos biométricos en el ámbito laboral. La guía publicada en noviembre de 2023 establece que el tratamiento biométrico (huella, reconocimiento facial) es de alto riesgo, sin que sea válido el consentimiento del trabajador.

3. Clima laboral y prevención de conflictos

Los sistemas manuales o poco fiables no solo fallan ante una inspección, sino que alimentan conflictos con la plantilla. La falta de transparencia en los fichajes, las dudas sobre horas extras no reconocidas o los turnos mal registrados pueden derivar en denuncias individuales o colectivas y conflictos con representantes sindicales.

Un sistema digital proporciona acceso inmediato al trabajador a su información, reduce los errores y demuestra una gestión objetiva, favoreciendo un entorno de trabajo más justo, transparente y estable. Prevenir conflictos laborales es más rentable que gestionarlos cuando estallan.

4. Implantar hoy evita costes y errores mañana

Esperar a que el sistema sea obligatorio por ley o requerido por una inspección puede resultar muy caro. Las implantaciones cuando ya se ha declarado la obligatoriedad suelen implicar errores en su implantación y costes más altos por elección de soluciones inadecuadas.

Por el contrario, implantar hoy permite adaptar el sistema a las necesidades reales de la empresa, formar adecuadamente al personal y migrar los procesos con seguridad y eficiencia.

Como conclusión puede decirse que la implantación hoy no es una opción sino una necesidad, que redunda en aumentar eficacia y reducir riesgos y costes.

La entrada IMPLANTAR UN SISTEMA DE CONTROL HORARIO se publicó primero en Datagestión.

La actualización del convenio, que ha sido suscrita por la vicepresidenta de la CGE, Concha de Luna, y el gerente de Datagestión, Jesús Medina, amplía el ámbito actual de colaboración de las dos entidades, referente al Canal Ético o portal de transparencia y Canal de denuncias,  para atender a las nuevas obligaciones normativas en el campo del cumplimiento normativo.

Así, Datagestión ofrecerá a la Confederación servicios relacionados con el cumplimiento del registro de control horario, mediante un sistema de software y formación propios para facilitar su implementación inmediata. Este sistema, en cumplimiento de la nueva normativa, se ofrece a las organizaciones y las empresas que forman parte de la C.G.E en condiciones muy favorables.

La entrada La Confederación Granadina de Empresarios y Datagestión renuevan su convenio de colaboración se publicó primero en Datagestión.

Este protocolo establece las pautas para el trabajo a distancia (teletrabajo) y el registro horario remoto en la empresa. Su objetivo es garantizar que todos los empleados que realicen teletrabajo cumplan con la normativa vigente en España en materia de control horario y trabajo a distancia, asegurando un registro fiel de la jornada laboral​ boe.es. Se aplica a todos los trabajadores de la compañía que desempeñen sus funciones total o parcialmente en modalidad de teletrabajo, y deberá ser respetado tanto por los empleados como por sus responsables.

2. Especificaciones del Sistema de Registro Horario

• Sistema en la nube: La empresa utiliza un software de registro horario alojado en la nube, lo que permite acceder a la plataforma desde cualquier ubicación con conexión a internet. Todos los fichajes quedan almacenados de forma segura en la nube y son accesibles para su consulta por RR.HH. en tiempo real.
• Accesible desde múltiples dispositivos: Los empleados pueden fichar su jornada desde el ordenador, teléfono móvil o cualquier dispositivo con acceso a internet. Esto facilita el registro inmediato de la jornada, incluso cuando el empleado no esté en su puesto físico de trabajo.
• Identificación personal: Cada trabajador dispone de unas credenciales únicas (usuario/clave personal) asignadas para el sistema de fichaje. Esta clave personal es intransferible y equivale a una firma digital del empleado en cada registro de entrada o salida. El uso de credenciales personales asegura que el registro horario se asocia inequívocamente a cada trabajador, cumpliendo con la obligación legal de identificar al empleado que realiza la jornada.
• Ausencia de datos biométricos: El sistema no recopila datos biométricos del trabajador (no se utilizan huella dactilar, reconocimiento facial, imágenes, etc.) para realizar el fichaje, respetando así la privacidad del empleado. Solo se requieren las credenciales personales para registrar la jornada. Esta medida está alineada con la normativa de protección de datos y con la ley de trabajo a distancia, que prohíbe obligar al empleado a instalar software invasivo en sus dispositivos personales​. De este modo, se garantiza la protección de la intimidad del trabajador durante el control horario.

3. Procedimiento de Registro de Jornada en Teletrabajo

Para llevar un registro horario fiable de la jornada en modalidad de teletrabajo, se seguirá el siguiente procedimiento:

1. Inicio de la jornada: Al comenzar su jornada laboral, el empleado deberá fichar la entrada mediante el sistema remoto. Esto implica acceder al software de registro (vía web o aplicación autorizada) e introducir su clave personal para registrar la hora exacta de inicio de su trabajo. El sistema confirmará el registro de entrada y almacenará la marca horaria asociada al trabajador.
2. Pausas durante la jornada: Si el empleado realiza una pausa considerable (por ejemplo, para comer o ausentarse por motivos personales autorizados), deberá registrar la pausa si el sistema lo permite o, en su defecto, notificar dicha pausa conforme al procedimiento interno (p. ej., utilizando las funcionalidades de pausa del propio software o comunicándolo a su responsable). Esto asegura que el registro refleje únicamente el tiempo de trabajo real. En cualquier caso, el empleado debe respetar los descansos mínimos legales (como las 12 horas entre jornadas y el descanso semanal) y la empresa verificará que el registro horario así lo refleje​.
3. Finalización de la jornada: Al término de su jornada laboral diaria, el trabajador deberá fichar la salida a través del mismo sistema, registrando la hora exacta de finalización de su trabajo. Es importante que la salida se fiche en el momento real de cese de la actividad laboral, sin perjuicio de la flexibilidad horaria que pudiera pactarse. El registro horario diario debe incluir, como mínimo, el momento de inicio y de fin de la jornada de trabajo de cada empleado​ boe.es.
4. Confirmación del registro: El sistema, al utilizar credenciales personales, considera válidos los registros efectuados por el trabajador. No obstante, el empleado podrá verificar sus registros de jornada y comunicar a RR.HH. cualquier error o incidencia (olvido de fichar, fichaje erróneo, etc.) para su subsanación. La empresa podrá requerir una confirmación del trabajador sobre los reportes mensuales de horas, asegurando así la veracidad de los datos recopilados.
5. Incidencias técnicas: Si por alguna razón tecnológica (falla de internet, caída del sistema, etc.) el empleado no pudiera fichar en el momento debido, deberá informar de inmediato a su responsable o al departamento de RR.HH. aportando la hora real de inicio o fin de la jornada. RR.HH. habilitará un mecanismo de registro manual de emergencia para anotar ese fichaje y luego incorporarlo al sistema una vez restablecido, de modo que no quede ningún día sin registro. Este procedimiento deberá realizarse todos los días de trabajo, incluyendo aquellos días en que el empleado esté teletrabajando parcialmente (por ejemplo, si combina trabajo presencial y remoto). El objetivo es que quede reflejado fielmente el tiempo de trabajo efectivo de cada persona en modalidad de teletrabajo​.

4. Cumplimiento de la Normativa Vigente.

Este protocolo está alineado con la legislación en materia de registro de jornada y teletrabajo, asegurando que se cumplen todas las obligaciones legales relevantes:

• Registro diario de jornada (Art. 34.9 ET): Conforme al artículo 34.9 del Estatuto de los Trabajadores, la empresa garantiza el registro diario de la jornada de cada empleado, incluyendo el horario concreto de inicio y finalización de cada día de trabajo​. La empresa conservará estos registros diarios durante al menos 4 años, teniéndolos siempre disponibles para el trabajador, sus representantes legales o la Inspección de Trabajo si así se requieren​.
• Ley de Trabajo a Distancia (Ley 10/2021): De acuerdo con la Ley 10/2021, de 9 de julio, de trabajo a distancia (que regula el teletrabajo en España), los empleados remotos tienen los mismos derechos y obligaciones que los presenciales. El registro horario también es exigible en el teletrabajo, debiendo reflejar fielmente el tiempo de trabajo realizado. Nuestra herramienta en la nube se adecúa a este mandato legal, permitiendo que el teletrabajador anote sus horas de forma flexible pero exacta.
• Acuerdo de trabajo a distancia: La normativa vigente exige que el teletrabajo sea voluntario y reversible, formalizándose mediante un acuerdo por escrito entre empresa y empleado​. En nuestra organización, cualquier persona que pase a teletrabajar total o parcialmente firmará un acuerdo de trabajo a distancia en el que se detallan las condiciones de la modalidad (horario, distribución entre presencial/remoto, medios proporcionados, compensación de gastos, etc.), conforme al contenido mínimo legal (art. 7 de la Ley de Trabajo a Distancia). Este protocolo complementa dicho acuerdo en lo referente al registro horario remoto. Si aún no existe una política interna detallada de teletrabajo, nos basamos en lo estipulado en estos acuerdos individuales y en la legislación vigente para regir la relación de teletrabajo.
• Derecho a la desconexión digital:  Se reconoce expresamente el derecho del trabajador a la desconexión fuera de su horario laboral, tal como establecen el artículo 88 de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales y el artículo 18 de la Ley de Trabajo a Distancia​, boe.es. Esto significa que, una vez finalizada la jornada y fichada la salida, el empleado no estará obligado a atender comunicaciones ni tareas hasta el inicio de su siguiente jornada. La empresa, por tanto, se compromete a no exigir disponibilidad fuera del horario registrado de trabajo y a respetar los tiempos de descanso legales.
• Respeto al tiempo de trabajo y descansos: El sistema de registro nos ayuda a asegurar que se respetan la jornada máxima y los descansos mínimos. La empresa vigilará que entre la hora de salida de un día y la de entrada del siguiente medien al menos 12 horas (descanso diario) y que semanalmente se disfruten los descansos legalmente previstos. Asimismo, cualquier prolongación de la jornada (horas extraordinarias) deberá ser autorizada y registrada, nunca impuesta encubiertamente.

5. Normativa Interna y Mejora Continua

Este protocolo cumple con la normativa general en la materia y está diseñado para evolucionar con la incorporación de normativa interna específica en materia de teletrabajo y desconexión digital. La empresa revisará y actualizará este protocolo cuando sea necesario, asegurando su vigencia y eficacia.

6. Control, Supervisión y Prevención de Fraude

El sistema de registro horario remoto, junto con la gestión de RR.HH., permite un control eficaz del cumplimiento de la jornada, minimizando posibles fraudes o abusos, siempre respetando la privacidad y dignidad de los trabajadores:

• Acceso de RR.HH.: El Departamento de Recursos Humanos tiene acceso completo a la plataforma de fichaje, lo que le permite supervisar los registros de todos los empleados. RR.HH. puede generar informes de horas trabajadas, verificar fichajes en tiempo real y detectar incidencias (como fichajes omitidos, duplicados o fuera de horario habitual). Esta supervisión garantiza que la información registrada sea correcta y que los empleados cumplen con sus horarios asignados.
• Detección de irregularidades: Aunque confiamos en la responsabilidad de los trabajadores, el sistema está configurado para señalar situaciones atípicas, como ausencias de fichaje, solapamiento de horarios o jornadas excesivamente largas sin pausas. Si se detecta alguna anomalía o posible fraude (por ejemplo, un intento de fichar por otro compañero, o registros que no cuadran con la carga de trabajo), RR.HH. investigará el caso de forma confidencial. Cabe recordar que intentar manipular el registro horario o fichar por un tercero constituye una falta grave de acuerdo con nuestras normas internas de comportamiento y puede dar lugar a sanciones disciplinarias.
• Medidas de seguridad en el fichaje: Actualmente, no se ha implementado un segundo factor de autenticación o verificación adicional aparte de la clave personal, puesto que confiamos en que esta, junto con las auditorías de RR.HH., es suficiente. No obstante, los empleados deben mantener sus credenciales seguras y no compartir su clave personal con nadie. Si se sospecha que las credenciales pudieran haber sido usadas por otra persona, se deberá informar de inmediato a RR.HH. para tomar medidas (cambio de claves, investigación).
• Respeto a la privacidad y proporcionalidad: Cualquier medida de control o vigilancia adoptada por la empresa en el contexto del teletrabajo se realizará con respeto absoluto a la dignidad y privacidad de los empleados. La Ley de Trabajo a Distancia permite al empleador ejercer las medidas de vigilancia y control que estime oportunas para verificar el cumplimiento laboral, pero siempre guardando la consideración debida al trabajador​. En línea con esto, nos comprometemos a que los mecanismos de control horario y productividad serán proporcionados, idóneos y necesarios, evitando en todo momento intrusiones injustificadas en la intimidad del teletrabajador. Por ejemplo, la empresa no activará la cámara o el micrófono del dispositivo del empleado para verificar su presencia, ni requerirá sistemas biométricos o geolocalización constante, ya que ello podría vulnerar su derecho a la intimidad si no está justificado. Solo se implementarán medidas de control automatizado que respeten la normativa (LO 3/2018 y principios de idoneidad, necesidad y proporcionalidad)​.
• Protección de datos: Los datos recopilados por el sistema de registro horario (horas de entrada/salida, incidencias y, en su caso, datos técnicos de fichaje) se tratarán conforme a la Ley Orgánica de Protección de Datos y garantías de derechos digitales. Serán utilizados únicamente para los fines de gestión de la jornada laboral, control del cumplimiento horario y acreditación de tiempos de trabajo ante posibles inspecciones o reclamaciones. No se cederán a terceros salvo obligación legal. Los empleados podrán ejercer sus derechos de acceso y consulta sobre sus propios registros horarios en cualquier momento. Además, al no recabarse datos especialmente protegidos (biométricos), se minimizan los riesgos para la privacidad. La empresa ha implementado medidas de seguridad para prevenir accesos no autorizados a estos datos en la nube (como contraseñas robustas, cifrado y controles de acceso restringido a RR.HH.).

En conclusión, el enfoque de la empresa combina la confianza en sus empleados con verificaciones razonables a través del sistema y RR.HH. para asegurar que el registro horario remoto sea fidedigno. Si bien no se establece un sistema adicional de verificación obligatoria (por no considerarse necesario de inicio), permanecemos atentos a posibles mejoras tecnológicas o procedimentales que pudieran incorporarse voluntariamente para reforzar la integridad del sistema sin lesionar la privacidad de la plantilla. Cualquier sospecha de fraude o uso indebido del sistema será investigada garantizando la presunción de inocencia del trabajador y, de confirmarse la irregularidad, se tomarán las medidas disciplinarias oportunas conforme a la normativa laboral.

7. Entrada en Vigor y Revisión del Protocolo

Este protocolo de teletrabajo y registro horario remoto entra en vigor en la fecha de su publicación interna. Será comunicado a todos los empleados y formará parte de las normas organizativas de la empresa. Se recomienda a cada trabajador revisar detenidamente su contenido y plantear a RR.HH. cualquier duda sobre su aplicación práctica.

Dado que las circunstancias legales y operativas pueden evolucionar, el protocolo estará sujeto a revisiones periódicas. En particular, se revisará cuando:

• Se apruebe una nueva normativa interna sobre teletrabajo o desconexión digital, para integrarla en el texto.
• Haya cambios legislativos a nivel estatal que afecten al teletrabajo o al control horario, de modo que el protocolo se adapte para seguir cumpliendo la ley.

Cumplimiento y responsabilidades: Todos los empleados en teletrabajo tienen la responsabilidad de seguir este protocolo. Los mandos intermedios y RR.HH. velarán por su cumplimiento y ofrecerán soporte para su correcta implementación (formación en el uso de la herramienta de fichaje, resolución de incidencias, etc.). El incumplimiento injustificado de las obligaciones de registro horario o cualquier manipulación dolosa podrá ser sancionado conforme a la gravedad del hecho, tal como se haría con un incumplimiento similar en trabajo presencial.

Con estas medidas, la empresa busca fomentar un entorno de teletrabajo transparente y respetuoso con los derechos de los trabajadores, cumpliendo con la normativa vigente y preparándose para integrar mejoras futuras en beneficio de ambas partes (empresa y personal). El teletrabajo, apoyado en un registro horario remoto riguroso, puede así desarrollarse de forma sostenible, asegurando tanto la flexibilidad para el empleado como el control horario exigido legalmente​.

La entrada Protocolo de Teletrabajo y Registro Horario Remoto se publicó primero en Datagestión.

PROTOCOLO DE FORMACIÓN Y COMUNICACIÓN SOBRE EL CONTROL HORARIO

1. OBJETIVO

Este protocolo establece un plan de formación y comunicación para garantizar que todos los empleados y responsables de RR.HH. comprendan y utilicen correctamente el sistema de control horario. Su finalidad es asegurar el cumplimiento normativo, mejorar la eficiencia en el registro de jornada y evitar errores o sanciones.

2. ALCANCE

Aplica a todos los trabajadores, directivos, responsables de recursos humanos y otros empleados encargados de la gestión del control horario en la empresa.

3. PLAN DE FORMACIÓN PARA TRABAJADORES.

Se desarrollará una formación obligatoria para todos los trabajadores en la que se abordarán los siguientes temas:

• Normativa de control horario: Obligación de fichar y normativa aplicable (Real Decreto-ley 8/2019).
• Sistema de fichaje utilizado: DETALLAR EL SISTEMA.
• Procedimiento de fichaje: Cómo registrar entrada, salida y pausas.
• Corrección de errores: Qué hacer si se olvida fichar o hay un error en el registro.
• Derechos del trabajador: Acceso a sus registros.
• Desconexión digital: Garantía de no recibir comunicaciones fuera del horario laboral.

📌 Formato de la formación: Sesión presencial o virtual con demostración práctica.

4. COMUNICACIÓN DE CAMBIOS EN EL SISTEMA DE FICHAJE

4.1. Procedimiento de comunicación

Cuando se realicen cambios en el sistema de fichaje (por ejemplo, cambio de plataforma o nueva normativa), la empresa seguirá estos pasos:

1️⃣ Notificación previa con al menos 15 días de antelación.
2️⃣ Envío de un comunicado oficial por correo electrónico, portal interno o tablón de anuncios.
3️⃣ Sesión informativa opcional para resolver dudas sobre el nuevo sistema.
4️⃣ Actualización del manual de usuario con los cambios aplicados.

4.2. Medios de comunicación utilizados

• 📧 Correo electrónico corporativo para todos los empleados.
• 🌐 Intranet o portal del empleado con documentos y guías de apoyo.
• 📌 Reuniones informativas presenciales o virtuales según disponibilidad.
• 📞 Canal de consultas con RR.HH. para resolver dudas.

5. RESPONSABILIDADES

🔹 Empleados: Cumplir con el procedimiento de fichaje y asistir a la formación obligatoria.
🔹 Responsables de RR.HH.: Asegurar la correcta implementación, supervisión y resolución de incidencias.

🔹 Dirección de la empresa: Garantizar que el sistema cumple con la normativa y que la formación sea accesible para todos.

6. REVISIÓN Y MEJORA CONTINUA

• Se evaluará la eficacia del protocolo cada 6 meses a través de encuestas de satisfacción y auditorías internas.
• En caso de detectar problemas, se realizarán ajustes y mejoras en el proceso de formación y comunicación.

La entrada Protocolo Control Horario Datagestión se publicó primero en Datagestión.

La inteligencia artificial (IA) se ha convertido en una herramienta fundamental para diversas industrias, desde la medicina hasta el marketing. Su capacidad para procesar grandes volúmenes de datos y encontrar patrones ha permitido avances significativos en la personalización de servicios, la automatización de procesos y la mejora de la toma de decisiones. Sin embargo, este progreso plantea una preocupación creciente: ¿Cómo garantizar la protección de los datos personales en un entorno donde la IA depende de ellos para funcionar?

Recientemente, Netflix ha estrenado una serie sobre el futuro según Bill Gates, en la cual el primer capítulo se dedica a la inteligencia artificial. En este episodio, se destaca que si algo sustenta el funcionamiento de la IA, es precisamente el uso masivo de datos. Esto nos plantea una cuestión crucial, especialmente para las empresas responsables de la protección de datos: ¿Cómo manejar adecuadamente la información personal en una era impulsada por la IA?

En un mundo donde la información personal es un activo valioso, la IA y la protección de datos se encuentran en una encrucijada. Los usuarios exigen cada vez más transparencia y control sobre cómo se manejan sus datos, mientras que las organizaciones buscan maximizar el uso de esa información para obtener ventajas competitivas. En este contexto, es fundamental no solo hacer consideraciones jurídicas, sino también abordar los desafíos éticos que surgen de la intersección entre la IA y la privacidad.

2. IA y el uso de datos

La inteligencia artificial se sustenta en grandes cantidades de datos para entrenar sus algoritmos y mejorar su precisión. Estos datos provienen de diversas fuentes, como redes sociales, registros médicos, compras en línea y dispositivos inteligentes. Gracias a esta información, los sistemas de IA pueden identificar patrones, predecir comportamientos y tomar decisiones con base en la evidencia. Esto ha permitido avances importantes en sectores como la salud, donde la IA ayuda a detectar enfermedades más rápido, o en el comercio, donde se emplea para personalizar ofertas y mejorar la experiencia del usuario.

Sin embargo, el uso masivo de datos personales plantea preocupaciones sobre la privacidad y el control de la información. A medida que las empresas dependen más de la IA para decisiones automatizadas, también surge la necesidad de garantizar un tratamiento responsable de los datos, respetando los derechos de los usuarios y asegurando que la información sea utilizada de manera ética y transparente.

3. Retos de la IA para la privacidad

El uso intensivo de datos personales por parte de la IA presenta varios retos en términos de privacidad. Uno de los principales problemas es la recopilación masiva de datos sin el consentimiento explícito de los usuarios. Muchas veces, la información es extraída de fuentes como redes sociales o historiales de navegación sin que los individuos sean conscientes del alcance de la recolección.

Otro desafío importante es el riesgo de sesgos en los algoritmos. La IA no solo procesa datos, sino que también aprende de ellos. Si los conjuntos de datos utilizados contienen sesgos, los algoritmos pueden reproducir o incluso amplificar esos sesgos, lo que lleva a resultados injustos o discriminatorios. Esto es especialmente preocupante en áreas como la contratación, el crédito o el sistema judicial, donde las decisiones automatizadas pueden tener consecuencias profundas en la vida de las personas.

Finalmente, la vulnerabilidad ante ciberataques es otro reto significativo. Los sistemas de IA que manejan grandes volúmenes de datos personales son un objetivo atractivo para los hackers. Un ataque exitoso podría exponer información sensible de millones de personas, lo que no solo afectaría la privacidad individual, sino que también dañaría la confianza pública en el uso de la IA.

4. Regulación de la IA y la protección de datos

Como ocurre en muchas áreas del ámbito jurídico, la regulación suele ir un paso por detrás de la realidad, y esto se acentúa aún más en un campo tan dinámico como la inteligencia artificial (IA). En Europa, se ha promulgado la Ley de IA [Reglamento (UE) 2024/1689], que establece normas armonizadas sobre el uso de la inteligencia artificial. Además, en febrero de 2024, se creó la Oficina Europea de IA dentro de la Comisión Europea, cuya función es supervisar el cumplimiento y la aplicación de dicha ley en los Estados miembros.

En España, el Real Decreto 729/2023, de 22 de agosto, aprobó el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial, encargada de velar por el uso responsable de la IA en el país. Por su parte, la Agencia Española de Protección de Datos ha publicado varias guías y recomendaciones sobre el uso de la IA en relación con la protección de datos personales.

Sin embargo, de este breve resumen, se puede concluir que las velocidades de desarrollo de la IA y las de los reguladores aún no son equiparables. La capacidad de los organismos reguladores para adaptarse a la evolución constante de la IA es limitada, sobre todo porque la inteligencia artificial, no lo olvidemos, ajusta y muta su comportamiento en función de los datos que recibe. Esto plantea el riesgo de que las normativas no logren cubrir todas las posibles implicaciones de su uso a tiempo.

5. Retos y soluciones

La intersección de la inteligencia artificial y la protección de datos plantea numerosos desafíos que deben abordarse de manera integral. Uno de los retos más significativos es el uso de datos personales sin el consentimiento adecuado, lo que puede llevar a violaciones de la privacidad. Las organizaciones deben implementar mecanismos claros para garantizar que los usuarios sean informados sobre cómo se recopilan y utilizan sus datos, así como ofrecer opciones para que puedan gestionar su información de manera efectiva.

Para enfrentar estos desafíos, es fundamental adoptar mejores prácticas en el desarrollo y la implementación de la IA. Esto incluye la adopción de técnicas de anonimización de datos y la implementación de enfoques de privacidad desde el diseño, asegurando que la protección de datos sea una consideración central desde el inicio del proceso. Además, las empresas deben realizar auditorías periódicas de sus sistemas de IA para evaluar y mitigar posibles sesgos algorítmicos, garantizando que las decisiones automatizadas sean justas y equitativas.

Conclusiones

A pesar de los retos que presenta la inteligencia artificial en el ámbito de la protección de datos, el futuro ofrece oportunidades prometedoras. La evolución constante de la tecnología, combinada con un marco regulatorio en desarrollo, puede conducir a un uso más ético y responsable de la IA. Al priorizar la privacidad y el consentimiento, las organizaciones no solo pueden construir la confianza del consumidor, sino también fomentar una innovación sostenible que beneficie a la sociedad en su conjunto.

La entrada Inteligencia Artificial y Protección de Datos se publicó primero en Datagestión.

Antonio M. tenía prácticamente finalizada su compra por internet, cuando acudió a los comentarios de Google. De inmediato la suspendió al comprobar incumplimientos en sus políticas laborales y ausencias en los canales internos de comunicación.

Y es que en esta era de interconexión y de hiperconocimiento, una gestión ética de las organizaciones se ha hecho indispensable. Los clientes, los proveedores y los trabajadores no solo piden que se gestione eficazmente, sino que se haga de acuerdo a unos estándares éticos, y de cumplimiento de toda la legislación. Pero está normativa se ha multiplicado, lo que ha llevado a las organizaciones a su desconocimiento e incumplimiento.  Y lo que aún es peor, a que cualquier externo desconozca si se están aplicando, obteniendo de está forma una imagen negativa de la organización.

Abramos una ventana al exterior: El Canal Ético.

¿Pero que es un canal ético?. Podemos definirlo como la relación de la empresa o entidad pública con los terceros, público, trabajadores, proveedores, etc. Él marco en que cualquier persona que establezca relaciones con nuestra organización conozca sus políticas internas, y como establecer contacto, de forma anónima o identificada.

¿Qué puede caber en un canal ético?. No hay una lista cerrada, lo importante es él concepto de  que lo integre cualquier normativa relacionada con él cumplimiento normativo, o con políticas de cumplimiento ético.

El protocolo contra él acoso es uno de estas normas de cumplimiento obligatorio que se encuentra en el Canal Ético. Resulta imprescindible contar con un entorno laboral seguro y respetuoso para todos los empleados, y que él conjunto de normas que lo regulan sean conocidos por estos y por los terceros. La transparencia es uno de los ejes conductores del cumplimiento normativo, lo que se consigue con él Canal Ético.

Un protocolo para la desconexión digital  es un aspecto cada vez más relevante en la era del teletrabajo, por lo que su regulación y puesta en público conocimiento es indispensable.

¿Textos genéricos o políticas adaptadas?. Pues dependerá en muchos casos de la existencia de un departamento de cumplimiento normativo en la organización. Caso de que este no existe, podrá implementarse textos que contengan la totalidad de los elementos exigidos por la normativa.

Un software para gestionar El Canal Ético.

Ante él volumen de información existente, ante la ingente cantidad de normativa, soló hay una solución: la facilidad. El santo grial de la informática es la usabilidad, que el producto sea intuitivo. No más de unos pocos segundos para comprenderlo, para no desecharlo. Y en este sentido hemos desarrollado el Canal Ético DATAGEST. Él canal tiene un doble componente. Actúa de punto único de toda la normativa de cumplimiento obligatorio, y facilita la comunicación entre los terceros y la empresa o entidad administrativa.

El enlace Canal Ético, colocado junto a otros como Política de Privacidad o Aviso legal, da entrada a dos nuevos enlaces Cumplimiento y Comunícate con nosotros. En el primero de ellos vamos a recoger toda la política de Compliance de la organización (protocolo de acoso, desconexión digital, políticas propias, etc.). El segundo es él encargado de recoger cualquier instrumento de comunicación, en particular el Canal de Denuncias. Este SII (Sistema interno de información) permite la comunicación o formulación de denuncias, anónimas o identificadas, asegurando la protección de la identidad del denunciante, simplificando los procesos de instrucción y resolución.

Y que además sea fácil.

Facilidad para el público, trabajadores y terceros. Pero también facilidad para la empresa u organización que lo implementa. Este Canal Ético viene preparado para su usuario y personalizado con los logos y signos distintivos del destinatario. La facilidad también tendrá que percibirla el personal de la organización, y para ello se imparte una breve formación sobre sus aspectos esenciales. Con todo ello se logrará generar y mantener una cultura basada en la transparencia y el respeto, promoviendo además un entorno laboral ético.

La entrada El Canal Ético que todas las empresas y entidades públicas tendrán se publicó primero en Datagestión.

Empresas y entidades públicas encuentran en su día a día un gran número de normas de cumplimiento obligatorio. Han de proteger los datos de los trabajadores y clientes, deben implantar protocolos de acoso, de uso del correo electrónico, planes de igualdad, planes de riesgos laborales, y hasta un reciente plan LGTBI.

Además de implantar un canal por el que esos afectados por todas las normas puedan exponer sus quejas,  aportar información a la empresa, y denunciar. Y para eso hay que implantar un canal de denuncias. Con el objeto de que la dispersión y el desconocimiento no genere incumplimiento, vamos a buscar en el océano de internet, formas de simplificar. Nos acompaña Jesús Medina, CEO de la consultora DATAGESTIÓN.

Pregunta: Cada vez hay más normas, ¿esta abundancia puede llegar a producir incumplimiento?

DATAGESTIÓN: Por supuesto, y ya lo hace. Las empresas evalúan los riesgos que puede acarrear el incumplimiento, y el coste de conseguir ese cumplimiento. Y muchas veces optan por no cumplir, y presentar recursos ante las posibles sanciones.

Pregunta: No parece muy serio.

DATAGESTIÓN: Y no lo es. Pero es real, y lo estamos viendo diariamente. Gerentes y trabajadores colapsados en el cumplimiento de obligaciones que no van a suponer un beneficio cuantificable, plazos que cumplir, necesidad de incrementar facturaciones, etc. Y sólo menciono una pequeña parte del día a día de cualquier empresa o entidad.

Pregunta: Hemos visto que Vds. plantean alternativas.

DATAGESTIÓN: Exacto. Creemos en la externalización de los servicios. Y en la agrupación en el cumplimiento de obligaciones. Cuando entramos en una empresa, asumimos el puesto de Delegado de Protección de Datos. Y no sólo para la protección de datos. Implementamos un programa de cumplimiento normativo, donde acudir para que la organización, tenga residenciados todos los protocolos necesarios. U a aplicación que gestione la información a trabajadores y terceros, y que guíe a los responsables en todos estos procesos.

Pregunta: ¿Tienen previsto, el protocolizar los casos de incumplimientos?

DATAGESTIÓN: Paralelo a todo lo anterior, y con el mismo cuadro de mandos implantamos un canal de denuncias en la entidad, ya sea identificada o anónima, con un panel de registro que da igualdad de oportunidades a denunciante y a entidad.

Para un mundo regido por múltiples normas, las soluciones agrupadoras son una necesidad. Despedimos al CEO de DATAGESTIÓN, con la sensación de que frente a las dificultades siempre hay soluciones.

Aucón Asesores, S. L.

La entrada ENCONTRANDO SOLUCIONES A PROBLEMAS ACTUALES se publicó primero en Datagestión.

Cada vez el volumen de normativa para el cumplimiento obligatorio en las empresas es mayor, y va creciendo. La dispersión entre varios soportes, tanto informáticos como en papel es mayor y claro, también la confusión. Ahora la protección de datos, el protocolo de acoso y un canal de denuncias seguro y confidencial, se integran en una nueva plataforma: DATAGEST.

Jesús Medina, abogado y CEO de DATAGEST. Enfatiza el enfoque centrado en el usuario: «Nuestro software está diseñado pensando en la comodidad del usuario. Queremos simplificar los procesos al integrar todos los servicios en una sola plataforma, facilitando el cumplimiento normativo para todas las entidades. En un mismo portal, el usuario gestiona un amplio elenco de normativa».

«No nos limitamos a ofrecer el acceso a la plataforma, también acompañamos al cliente en su gestión. Realizamos auditorías de cumplimiento para comprobar que todo funciona correctamente», añade Medina.

Aucón Asesores, S.L.

La entrada La plataforma DATAGEST gestiona Protección de Datos, Canal de Denuncias y Protocolo de Acoso se publicó primero en Datagestión.

El protagonista de la historia de hoy, Mario, lleva 20 años trabajando en la misma empresa. Su relación con su responsable, después de tanto tiempo, es muy cercana e incluso han llegado a intercambiar publicaciones en Facebook, dejando saber a todos el buen trato que existe entre ellos.

Una mañana, mientras su jefe se encontraba de viaje de negocios, Mario recibe una llamada de un número desconocido. Cuando descuelga, la voz al otro lado del teléfono le asegura ser un cliente que había estado pocas horas antes con su jefe y le pide que le envíe unos documentos confidenciales con bastante urgencia, asegurándole que era una petición directa de su responsable.

Aunque en principio duda, los datos que el interlocutor le estaba dando, como el nombre de su jefe y la ciudad en la que se encontraba de viaje, le hacen confiar y enviarle la información solicitada. Además, en el transcurso de la llamada comprueba que el número de teléfono corresponde con el que tenían guardado para el cliente como el que se había identificado.

Cuando su jefe vuelve de viaje y hablan de la llamada, este niega haber dado en ningún momento la autorización para enviar dichos documentos. De hecho, ni siquiera se había reunido con el cliente del que Mario le hablaba. Tras denunciar la situación a las autoridades pertinentes, confirman sus sospechas, habían sido víctimas de una estafa: spoofing telefónico.

¿Qué ha ocurrido?

El spoofing o suplantación de identidad es un tipo de estafa que consiste en hacerse pasar por un remitente de confianza (persona conocida, clientes, proveedores…), con el fin de engañar a la víctima para obtener acceso a datos o información confidencial.

Los ciberdelincuentes utilizan esta técnica para acceder a la información personal de las víctimas con la finalidad de filtrarlos, chantajearlos, robar dinero, propagar malware a través de archivos adjuntos o enlaces o, en general, obtener algún tipo de beneficio. El spoofing puede darse en diferentes formas, pero en este artículo de blog nos centraremos en el que se realiza a través de llamadas telefónicas, como le ocurrió al protagonista de nuestra historia, Mario.

En el spoofing telefónico los atacantes consiguen falsificar el número de teléfono que aparece en la pantalla del receptor, haciéndole creer que la llamada proviene de una fuente legítima. Una vez el destinatario de la llamada contesta el teléfono, el ciberdelincuente tratará de convencerlo para que le facilite la información que está buscando.

En el caso de Mario y su jefe, además, los ciberdelincuentes solo tuvieron que hacer una simple búsqueda en redes sociales para obtener información que hiciese más creíble la llamada.

¿Cómo evitar que tu empresa sea víctima de un ataque de spoofing?

Como ocurre con la mayoría de los ciberataques, las empresas son especialmente vulnerables al spoofing telefónico. Las organizaciones manejan grandes cantidades de información confidencial y datos que pueden ser muy beneficiosos para los ciberdelincuentes. Además, las constantes llamadas de clientes y proveedores que reciben en el día a día hacen más creíble el engaño, que podría pasar por una llamada rutinaria.

Detectar una suplantación de identidad telefónica puede ser difícil, ya que como hemos visto, los ciberdelincuentes utilizan técnicas cada vez más sofisticadas. Sin embargo, existen algunas señales claras de alarma que pueden ayudar a saber que estamos siendo víctimas de un spoofing telefónico:

• La llamada procede de un número desconocido o sospechoso.
• La persona solicita información confidencial. Si el emisor solicita información como contraseñas o datos bancarios, probablemente se trate de un intento de vishing. Este tipo de información nunca debe proporcionarse sin verificar la autenticidad de la llamada.
• La persona llama en tono de urgencia. Los ciberdelincuentes suelen presionar a las víctimas para que actúen rápidamente, sin tiempo para pensar.

Además, para proteger a las empresas de este tipo de ataques, es recomendable tomar una serie de medidas de seguridad:

• Activar un filtro telefónico antispam para bloquear las llamadas entrantes de números sospechosos.
• Utilizar un sistema de autenticación de llamadas para verificar la autenticidad de la llamada entrante y detectar posibles casos de spoofing.
• Concienciar a los empleados para que aprendan a identificar la suplantación de identidad telefónica y sepan cómo actuar ante posibles llamadas fraudulentas.
• Examinar la llamada con el fin de verificar si el posible ataque de falsificación contiene signos que nos alarmen, como, por ejemplo, que no sepan algunos datos que sí deberían conocer.
• Confirmar la información si una llamada parece sospechosa. Se recomienda enviar un mensaje o realizar una llamada al remitente de confianza para verificar si la información que se ha recibido es auténtica o no.
• Evitar compartir información sensible que pueda ayudar a los ciberdelincuentes a hacer la estafa más creíble.
• Configurar un doble factor de autenticación para añadir una capa extra de seguridad a los códigos de acceso.
• Establecer políticas de seguridadpara los empleados y clientes con el fin de prevenir el fraude telefónico. Por ejemplo, no deberán compartir información personal o financiera por teléfono.
• Reportar el spoofing telefónico a las autoridades pertinentes para evitar posibles víctimas.

La entrada Historia real: suplantación de identidad telefónica Fecha de publicación se publicó primero en Datagestión.