El pasado jueves 27 de agosto se anunció en el BOE la creación de la Oficina del Dato, dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA). Con este anuncio España pone en marcha el proyecto ideado hace 3 años y se sitúa a la vanguardia del desarrollo tecnológico en materia de gestión de datos con este ecosistema de datos en el que se priorizan el intercambio, la seguridad, y la gobernanza, en línea con las disposiciones europeas.

España a la vanguardia mediante el ecosistema de datos seguro y con gobernanza

La estrategia para el gobierno y la explotación del dato, es decir, definir políticas de seguridad en la gestión y almacenamiento de los datos, políticas de privacidad, así como participar activamente en los correspondientes foros en la Unión Europea son las funciones principales del nuevo ente, cuya creación se ha visto impulsada por el contexto post-Covid y las políticas de financiación de la Unión Europea que han puesto a la digitalización en el centro de las prioridades.

Alerta Datos

Europa encendió las alarmas con la puesta en vigor del Reglamento General de Protección de Datos hace dos años, lo que causó un revuelo por el reajuste y adaptación tecnológica al que se enfrentaron varias empresas luego de años de operar en campo libre.

Pero si el sector financiero, ejemplo por excelencia de activos intangibles en el mercado, está sujeto a regulaciones, también corresponde regular el uso y tratamiento de los datos, a fines de proteger la confidencialidad de las personas naturales y jurídicas a las que pertenecen.

Con el caso Schrems II se hizo más evidente el conflicto entre el enfoque estadounidense, que apunta a hacer uso de esta información donde quiera que esté, y el enfoque europeo, que busca resguardar la soberanía digital y tecnológica de la UE.

Este tema es una preocupación a nivel gubernamental, puesto que el sector está controlado por un puñado de empresas estadounidenses y chinas y con esta dominancia marcan el pulso estratégico y geopolítico del planeta.

Espionaje industrial, secuestro de información a cambio de cuantiosos rescates, sistemas operativos que identifican las aplicaciones que no se utilizan y las desinstalan, datos que se transmiten fuera de la unión sin nuestro conocimiento. Las amenazas están a orden del día y es por ello que iniciativas como la de la Oficina del Dato, que buscan crear un espacio de intercambio seguro siguiendo las mejores prácticas de Buen Gobierno, son palancas estratégicas de cambio alineadas a la posición de liderazgo que busca recuperar la UE.

Tecnología “Made in Europe”

La inseguridad jurídica provocada por la caída del Privacy Shield y la incompatibilidad de las cláusulas corporativas estándares y las normas vinculantes corporativas con los lineamientos de protección de datos, sumadas a las ordenes estrictas de varias Agencias de Protección de Datos, pusieron a los Directores de Cumplimiento, Riesgo, Buen Gobierno y Asuntos Jurídicos en estado de alarma.

Estas instrucciones de transferir datos de regreso a Europa se deben a que se ha comprobado que, por más que exista una cláusula escrita en un contrato, esta no es suficiente defensa ante leyes de Estados Unidos que los proveedores de ese país están obligados cumplir, y por las cuales la información está al alcance de las autoridades.

Por este motivo, muchos han optado por la proactividad y han decidido migrar su información estratégica a soluciones con origen, sede y servidores europeos para poder tener la garantía, no solo de cumplimiento, sino de tener un espacio separado y seguro en el que puedan colaborar sus altos directivos.

A estos espacios seguros de datos se les llama en la jerga, “Sandbox”, porque funcionan como una caja aislada del resto donde se puede trabajar, colaborar, intercambiar información de manera segura.

El principio es similar al de una caja fuerte: un espacio con muros reforzados y a resguardo de usuarios no autorizados, al cual solo se puede acceder con permisos de acceso.

Un modo objetivo de saber si una herramienta es segura, es verificar si cuenta con certificación ISO 27001. La ISO 27001 es el estándar de seguridad de la información y se obtiene únicamente al final de un exhaustivo proceso. Mantener la certificación es aún más complejo.

Otros factores objetivos son: el cifrado de la información en tránsito y en reposo, el uso de HSM para almacenar las claves, la posibilidad de utilizar BYOK (utilizar clave propia), y también el hecho de que organismos de gobierno, bancos, empresas de energía, del sector aeroespacial y telecomunicaciones utilicen la solución puesto que deben cumplir con requerimientos de seguridad mucho más estrictos.

Ahora bien, ¿Cómo conciliamos la facilidad de uso con la seguridad?

Seguridad y facilidad de uso: se puede tener ambos en una herramienta especializada

No es cierto que las herramientas seguras sean todas extremadamente complejas.

Este modo de pensar y el hábito hace que se reciclen las herramientas de todos los días, porque ya están allí, pero adaptar herramientas implica costes ocultos: consultoría para determinar primero las necesidades, que, aunque esté a cargo de un equipo interno, tiene un coste en tiempo y dinero, el desarrollo ad hoc, y los costes de mantenimiento y de actualización, como en el caso de sharepoint, que requiere una fuerte inversión además de ser dificultoso el proceso.

Esto es así porque es una solución desarrollada para otros fines. Luego, las hojas de cálculo son más difíciles de mantener al día y dependen de una persona: si esta persona se retira se perderá todo el trabajo y la información.

Por el contrario, cuando se escogen soluciones especializadas y en modalidad SaaS, como DiliTrust Governance o DiliTrust Exec, no solo se obtiene el beneficio de un desarrollo a medida de las necesidades de la Alta Dirección listo para usar, sino que las actualizaciones y nuevas funcionalidades están incluidas. Con lo cual, los nuevos requerimientos quedarán siempre cubiertos.

Las plataformas DiliTrust permiten optimizar el trabajo en equipo y compartir información sensible internamente y con externos de manera segura, mediante sus funcionalidades de colaboración, los niveles de permisos, la posibilidad de crear usuarios segmentados, y su gestor de proyectos.

Gracias a la automatización de procesos y la sistematización de información que se logra con DiliTrust, el tiempo ahorrado se puede dedicar a tareas de mayor valor añadido con lo cual se reducen los costes.

Y todo ello en total cumplimiento de RGPD y otras normas de protección de datos europeas, y los niveles más estrictos de seguridad. Tanto la empresa, como los servidores y las soluciones cuentan con certificación ISO 27001.

DiliTrust cuenta con soluciones que proponen espacios seguros para la gestión de Consejos de Administración y Comisiones Directivas, Secretaría Corporativa, Asesoría Jurídica, Fusiones y Adquisiciones e I+D+I.

DiliTrust es un fabricante con valores, origen, sede y servidores europeos, con más de 20 años de experiencia que desarrolla sus productos en base a la interacción con Consejeros, Directores de Asesoría Jurídica, Secretarios Corporativos, Directores de GRC, de Propiedad Intelectual y Fusiones y Adquisiciones.

Si desea conocer como DiliTrust puede ayudarle a digitalizar su gestión de manera segura, póngase en contacto con nosotros.

 

 

Con el contexto del Covid-19 y las vacaciones de verano, la publicación, el 26 de Junio de este año, de la nueva versión del Código de Buen Gobierno de las sociedades cotizadas (“CBG”), ha pasado totalmente desapercibida. La versión anterior era de 2015.

El CBG es una biblia para los consejeros, Directores de compliance o Secretarios Generales de las grandes empresas y sus equipos. Es a la vez un reflejo de la actualidad y un marco para el futuro.

Sin embargo, en un contexto de urgencia, es difícil de encontrar el tiempo necesario para leer y analizar un documento de 44 páginas con 64 recomendaciones y comparar la versión de 2015, los cambios propuestos en enero 2020 y la versión final de junio 2020.

Ahorren tiempo y descarguen un resumen en 2 páginas de todos los cambios hechos y un análisis de las nuevas orientaciones de la CNMV.

 

Una de las funciones principales de la Comisión de Auditoría es velar por el buen funcionamiento de los sistemas de información y control interno y es un apoyo fundamental al Consejo de Administración. Para ello cuentan con la colaboración de los responsables de Seguridad de la Información, que se encargan de evaluar técnicamente las propuestas o proponen soluciones de gestión.

De acuerdo con el último informe del Centro Criptológico Nacional, las ciberamenazas aumentaron en un 40%. Si tenemos en cuenta que el objetivo de estos ataques es acceder a información estratégica, ya sea mediante ataques de secuestro de información (ransomware), suplantación de identidad (phishing) u otro tipo de actividad fraudulenta, queda claro que la alta dirección se encuentra entre los objetivos primarios del ataque y, por lo tanto, los Jefes de Seguridad de la Información deben más que nunca abocarse a protegerles.

Seguridad Digital. Una prioridad para las empresas españolas

El panorama para muchos Consejos y Comisiones es irregular. Según una encuesta a los responsables de Riesgo y Tecnología, todavía se utilizan muchas herramientas que no son las adecuadas para gestionar información confidencial—en particular, las herramientas de uso común de toda la compañía. Esto hace que la Alta Dirección no esté preparada para contener un incidente de filtración o fuga de información, y en última instancia serán los Consejos los responsables por no adoptar las medidas requeridas, una obligación que tienen los administradores y consejeros de las Sociedades según la Ley de Secretos Empresariales.

Esta preocupación ha sido motivo de discusión entre los dirigentes empresarios y ha dado buenos frutos. La CEOE, en su informe estratégico de junio de 2020, ha dejado en claro que la seguridad digital es una de las prioridades de todas las empresas españolas, ya no solo de las cotizadas y ha propuesto un plan para ponerlo en marcha, plan en el que ninguna empresa debe quedarse atrás, de acuerdo con las recomendaciones del CCN-CERT.

EVOLUCIÓN DE LOS CIBERATAQUES Y COMO ABORDARLOS

La principal ciberamenaza a la que se enfrentan las empresas españolas es la fuga de información. Esto se debe a ataques de ransomware o phishing. En el primer caso, se secuestra la información que está en directorios compartidos de la compañía y se retiene a cambio de un cuantioso rescate. En caso de no pagar, la información será divulgada públicamente, además de ser difundida en la dark web.

¿Cuál es el riesgo? Que información estratégica y confidencial llegue a manos de competidores, medios y el público en general, en caso de no pagar. Una vez que esto sucede, el coste es muy alto. Ya sea por pagar el rescate, o por la cuantiosa pérdida que puede significar que esta información esté en poder público.

La segunda ciberamenaza, el phishing, puede afectar a todos por igual y se cuela a través del correo electrónico, simulando ser un mensaje legítimo de nuestro banco, Hacienda, Seguridad Social o la Policía Nacional, como hemos visto en los últimos meses. El riesgo en este caso es la infección de la red corporativa, lo que ocasiona una interrupción en las operaciones, o el acceso a la red por parte de ciberatacantes.

A esto se suma el riesgo de administradores, consejeros y directivos de incurrir en responsabilidad por el cargo o personalmente por dolo o negligencia en el deber de proteger secretos empresariales. Por esto es qué los consejos han comenzado a incluir la seguridad digital en su orden del día y se preguntan si su información estratégica está segura.

Una de las preguntas habituales es ¿dónde está alojada la información? La clave en esto es la siguiente: ¿estamos utilizando las mismas herramientas que el resto de la compañía para gestionar nuestra información confidencial? En muchos casos, la respuesta es sí, el gestor compartido de documentos y datos, que todos tenemos a mano por nuestra suite de ofimática.

¿Cuál es el riesgo en este enfoque? Es una solución rápida. Pero esta solución que puede funcionar para los archivos de acceso “público” para toda la compañía tiene justamente el efecto contrario al deseado para el Consejo y la Alta Dirección, que es tomar un riesgo innecesario.

Los responsables de Seguridad de la Información y Cumplimiento que conocen las buenas prácticas de la ISO 27001 lo saben muy bien: para proteger la información confidencial es necesario mantenerla separada del resto de la documentación.

EL ROL DE LA COMISIÓN DE AUDITORÍA Y EL BUEN FUNCIONAMIENTO

Cuando hablamos de buen funcionamiento hablamos de eficiencia, no únicamente de protección. En muchos casos, la balanza se inclina hacia un lado o hacia el otro. Pero la eficiencia bien ejercitada consiste en integrar la agilidad y el diseño orientado a las necesidades específicas con el nivel de protección adecuado.

Esto permite automatizar tareas que no aportan valor añadido, para poder enfocarse en las verdaderas prioridades con tranquilidad. El responsable de seguridad de la información puede utilizar criterios objetivos para evaluar las soluciones: ¿Están certificadas en ISO 27001? ¿Los servidores están certificados? ¿Es una herramienta diseñada con la política de Security by Design? ¿Se someten a auditorías externas?

Por eso, en la decisión de cual solución se debe utilizar para gestionar los Consejos y las Comisiones Directivas, deben integrarse las visiones de todos los participantes, y pocas soluciones cumplen estos requisitos.

MEJORAR LA CIBERRESILIENCIA CON DILITRUST EXEC

Uno de los riesgos ocultos y detectados en las Comisiones de Auditoría es el uso de gestores compartidos de información. Que a su vez no están orientados a las necesidades de los Consejos o Comisiones.

¿Que aporta una solución como DiliTrust Exec? En primer lugar, es una plataforma en versión web y APP que contempla las obligaciones de los Consejos de acuerdo con la normativa española. El cumplimiento de la LOPDGDD (Ley Orgánica de Protección de Datos y Derechos Digitales), la Ley de Secretos Empresariales, y las obligaciones de los administradores según la LSE.

En segundo lugar, su interfaz intuitiva les facilita las tareas de consejeros y directivos gracias a su panel de mando y acceso rápido a las reuniones, al centro de documentación, a las votaciones y encuestas, y fomenta la colaboración a través de notas y mensajería segura.

En tercer lugar, los Secretarios Corporativos cuentan con la tranquilidad de poder gestionar la documentación con 4 niveles de acceso totalmente parametrizables, marcas de agua para cuando es necesario invitar a consultores a reuniones, y control de tiempo de acceso.

Con un almacenamiento sin límites en capacidad, que evita problemas en el medio de reuniones clave. La facilidad de generar y gestionar todo el proceso de las actas, hasta su presentación de manera ágil.  Todo centralizado en una herramienta que facilita también el seguimiento y cumplimiento de auditorías gracias a sus reportes: el uso de la herramienta y las acciones quedan registradas en el historial.

Y para los responsables de la Seguridad de la Información, una garantía objetiva: DiliTrust cuenta con triple certificación ISO 27001, es decir, las soluciones, los servidores, y la empresa están certificados y cumplen RGPD. Como especialistas en soluciones de gestión de Consejos de Administración, Gestión Jurídica, la seguridad es nuestra prioridad. (Link this sentence to the security policy data sheet in Spanish)

Si quiere conocer más sobre DiliTrust Exec y como hemos ayudado a empresas españolas emblemáticas a hacer más eficiente la gestión de sus Consejos de manera segura, póngase en contacto con nosotros para solicitar una demo.

 

Desde la auditoría previa hasta la concreción de la operación de fusión-adquisición, ambas partes deben ser capaces de demostrar que cumplen con las normas de protección de datos y la Ley de Protección de Secretos Empresariales. La solución DiliTrust Data Room, diseñada para las operaciones de fusión y adquisición, y certificada en ISO 27001, contribuye a que las empresas cumplan sus obligaciones legales con un alto nivel de seguridad y protección.

M&A: confidencialidad y cumplimiento de los procesos de fusión y adquisición RGPD

Desde su entrada en vigor, el RGPD ha impactado con una serie de nuevas obligaciones para la protección de datos personales integrados en las bases de datos de empresas e instituciones. Paralelamente, establecía las responsabilidades de los depositarios de dichos datos, respecto a la portabilidad de los datos recabados y a su uso comercial.

De esta forma, en el marco de una fusión o adquisición, cualquier incumplimiento del RGPD supondrá una multa para el vendedor y el comprador que puede llegar a 20 millones de euros o 4% del volumen anual de negocio a nivel global.

Además, en caso de un acuerdo sobre activos, el contrato de cesión de activos puede anularse íntegramente. También es posible que ambas partes pueden sean llamadas a comparecer personalmente ante la justicia por su responsabilidad civil. Por esta razón, garantizar el cumplimiento de la empresa antes y durante dicho proceso es una condición esencial.

A su vez, la Ley de Protección de Secretos Empresariales, sancionada en 2019, ha dado origen a nuevas obligaciones para Consejeros y Administradores, que deben tomar medidas proactivas para proteger la información confidencial que sea objeto de transacciones y establece multas muy altas para aquellos que incumplan, lo que se suma al daño a la reputación.

AUDITORÍA PREVIA: UNA PRIMERA FASE FUDAMENTAL

En esta etapa clave, el comprador debe garantizar el correcto tratamiento de los datos que la empresa recaba, almacena y transmite. Paralelamente, habrá implantado las medidas necesarias para informar a las personas afectadas (clientes, empleados y proveedores), a los que también poner en conocimiento sobre cualquier cuestión relativa al ejercicio de sus derechos, especialmente de los de información, rectificación y cancelación.

Asimismo, el vendedor deberá demostrar que ha empezado a implantar las medidas de seguridad necesarias para conservar los datos personales de los que dispone. Además, debe demostrar que los contratos relativos al tratamiento de datos subcontratados a terceros sean conformes con la normativa.

Para un proceso de fusión y adquisición, no solo debe contemplarse la seguridad y el cumplimiento normativo, sino que la herramienta debe facilitar el uso a todo tipo de personas, independientemente de su afinidad y experiencia tecnológica.

DiliTrust Data Room ofrece una respuesta práctica y sencilla para cumplir todas estas obligaciones, protegiendo datos confidenciales y la información almacenada durante todo el proceso.

¿Y cómo lo hace? Su recinto seguro y desarrollado bajo políticas de “Security by design”, aplica los protocolos de cifrado más estrictos y ofrece 4 niveles de permiso de control de acceso para resguardar la información. Estos permisos se pueden asignar a su vez por usuario o por equipo. usuario.

A su vez, La seudonimización los datos almacenados se lleva a cabo de forma sistemática.

CUMPLIMIENTO DURANTE LA OPERACIÓN

Cuando se lleva a cabo una auditoria previa de forma completa, suele tener consecuencias en la negociación sobre el precio de venta.

¿Por qué sucede esto? Porque esta auditoría permite al comprador evaluar correctamente el grado de cumplimento de la empresa en venta. Por ejemplo, en el caso de la adquisición de bienes inmuebles, el comprador puede negociar el precio de venta considerando la renovación que deberá realizar tras adquirirlo en base a la inspección y las recomendaciones que haya formulado su perito tasador tras visitar las instalaciones.

El contrato de venta de acciones define los términos de la transmisión de acciones en el marco de la cesión de una sociedad. Entre ellas figuran las declaraciones y garantías del vendedor respecto a la conformidad con el RGPD, así como las acciones y garantías específicas que se hayan emprendido a consecuencia de las irregularidades y los riesgos potenciales identificados durante la auditoría previa.

DESAROLLO DE LA OPERACIÓN DE FUSIÓN O ADQUISICIÓN

Las responsabilidades relativas al tratamiento de los datos personales de los que ya disponía la empresa objetivo se transferirán al comprador una vez que se haya completado la operación de fusión-adquisición. DiliTrust Data Room, no solo cumple RGPD e integra las cláusulas en sus condiciones contractuales, sino que está certificada en ISO 27001, lo que ofrece una mayor garantía de seguridad.

Con servidores europeos certificados y asistencia 24h del día los 7 días de la semana, DiliTrust se convierte en un socio estratégico de negocios, permitiendo que las empresas se enfoquen en la negociación, facilitando la tarea de los responsables de seguridad de la información y de los directores de riesgo y cumplimiento, ya que cuentan con una herramienta que hace más fácil su trabajo.

El 16 de julio la AEPD emitió un comunicado para anunciar que, a partir de ese mismo día, el acuerdo Privacy Shield quedaba sin efecto por sentencia del Tribunal de Justicia de la UE en el caso C-311/18 conocido como Schrems II (DPC v Facebook Ireland Limited, Maximilian Schrems) 1 .

Il Privacy Shield è caduto: e ora?

En dicho comunicado, también se pronunciaba sobre la validez de la decisión 2010/87 sobre las Cláusulas Contractuales Estándares, manteniendo su vigencia. Esto no significa que las CCE importan una protección automática. Al contrario. Recordemos que la resolución de la comisión establece que “el nivel de protección de datos debe evaluarse a la luz de todas las circunstancias de la operación de transferencia de datos o sucesión de las mismas”. Es decir, los mecanismos de protección deben garantizar como mínimo un nivel equivalente al garantizado en la UE por el RGPD, y esta obligación para ambas partes está establecida en dicha decisión.

Antecedentes

En el año 2013, Edward Snowden dio a conocer el programa PRISM de vigilancia masiva, por el cual la NSA (Agencia Nacional de Seguridad) tenía acceso directo 2   a los sistemas de Google, Facebook, Apple, Microsoft, Yahoo, y otras tecnológicas de EE. UU., para obtener las comunicaciones electrónicas de no estadounidenses 3 . Estas comunicaciones incluyen historial de búsqueda, el contenido de correos electrónicos, archivos transferidos y chats.

Ese mismo año, Max Schrems, un abogado austríaco y activista de privacidad de datos, fundador de NOYB, entabló una demanda contra Facebook ante la Agencia Irlandesa de Protección de Datos (DPC), dado que esta compañía, como el resto de las Big Tech estadounidenses, tienen su sede europea en dicho país.

Facebook Ireland transfiere datos de sus usuarios europeos a servidores de la matriz en Estados Unidos. Schrems peticionó al DPC la prohibición de la transferencia y el tratamiento de datos personales de usuarios europeos en servidores estadounidenses, en base a las actividades de vigilancia de los servicios de inteligencia, y que la ley estadounidense no proporciona un nivel de protección suficiente a los datos en Estados Unidos. Esa transferencia se amparaba en los principios del “Safe Harbor” 4 . El TJUE se expidió sobre la invalidez de dichos principios 5 , y finalmente, la transferencia de datos entre la matriz estadounidense y la sede europea de Facebook finalmente se concretó bajo el amparo de las CCE. Luego, en julio de 2016, se adoptó un nuevo acuerdo, el Privacy Shield.

Schrems objetó que las CCE no podían en la práctica ser protección suficiente dado que las empresas estadounidenses tienen la obligación legal de entregar información a las autoridades de dicho país, y que, por lo tanto, el DPC debería haber suspendido la transferencia de datos en base a la decisión de la comisión de las CCE.

Al no poder expedirse, el DPC inició una acción ante la Corte irlandesa, que, a su vez, refirió el caso al TJUE.

Preguntas Frecuentes

1) ¿En qué me afecta la caída del Privacy Shield?
Si su proveedor de servicios de comunicaciones electrónicas se encuentra registrado en la siguiente lista o se anuncia en su propia página como firmante del Privacy Shield, significa que ese proveedor es importador de datos a EE.UU. y, por lo tanto, la transferencia de datos bajo ese marco ya no es legal.

2) He contratado con la sede europea, ¿por qué debería afectarme?
La legislación estadounidense tiene jurisdicción sobre empresas de ese país fuera de su territorio. El TJUE consideró en su sentencia, que, en esencia, la legislación estadounidense (en particular, el art. 702 de la ley FISA y el decreto EO 12333, ver nota vi “cronología legal” al pie) no garantiza un nivel de protección a ciudadanos europeos equivalente al del RGPD, dado que las autoridades tienen acceso a las comunicaciones electrónicas en poder de proveedores estadounidenses independientemente de donde tenga sede la empresa o los servidores.

3) La validez de las Cláusulas Contractuales Estándar no se puso en duda en la sentencia. ¿Por qué no puedo aplicarlas, o aplicar las Normas Corporativas Vinculantes?
Dado el conflicto jurisdiccional y el alcance de las leyes estadounidenses, es poco probable que las CCE o las Normas Corporativas Vinculantes puedan ofrecer protección suficiente y adecuado al nivel exigido por el RGPD en la práctica. Cabe recordar que, si bien las CCE y las NCV tienen validez entre las partes, pero las leyes tienen precedencia sobre cualquier acuerdo entre privados—en este caso, se trata de leyes de comunicaciones y seguridad nacional de los EE. UU.

Deben analizarse los riesgos y los mecanismos técnicos inherentes a dicha transferencia, así como evaluar alternativas.

Si llega a la conclusión de que, teniendo en cuenta las circunstancias de la transferencia y las posibles medidas complementarias, no se garantizarían las garantías adecuadas, deberá suspender o finalizar la transferencia de datos personales fuera de la UE. Sin embargo, si tiene la intención de seguir transfiriendo datos a pesar de esta conclusión, debe notificar a su Autoridad de Supervisión competente

4) ¿Cuáles son las consecuencias de incumplir con la protección de datos?
Multas de hasta 4% de los ingresos anuales de una empresa, o de hasta 20 millones de euros.

5) ¿Cuánto tiempo tengo para implementar otras medidas?
La sentencia del TJUE no establece período de gracia. La sentencia entró en vigor el 16 de julio de 2020.

6) ¿Qué mecanismos puedo implementar para cumplir con RGPD?
La solución ideal sería un nuevo acuerdo marco entre la UE y los EE. UU., consideran expertos como Leandro Nuñez de Audens, despacho especializado en Nuevas Tecnologías y Privacidad de Datos. Esta solución sin embargo es lejana. Se trata de un conflicto legal internacional. 6

Dado que la FISA (art. 702) estará vigente hasta el año 2023, y salvo que se modifiquen los artículos que afectan la protección de datos, los administradores o responsables de datos pueden seguir las recomendaciones de la Comisión Europea de Protección de Datos:

  • Identifique donde se encuentran sus datos y hacia donde se transfieren, verificando donde se encuentra la sede de su proveedor y el datacenter.
  • Clasifique los datos por nivel de confidencialidad: Confidencial (ultrasecreto: información del consejo y alta dirección, departamento jurídico, M&A, propiedad intelectual, etc.), Restringido (nivel medio de confidencialidad), Interno (nivel bajo), Público (acceso público disponible).
  • Analice los riesgos de transferencia para verificar si efectivamente el proveedor de servicios puede cumplir con el nivel de protección establecido en el RGPD.
  • Cuando tenga dudas, podría implementar un acuerdo por el cual, siempre que haya un requerimiento de obtención de datos por parte de las autoridades, el proveedor debe informar a la empresa que transfiere datos fuera de la UE de modo que pueda tomar las medidas pertinentes. En este caso, el proveedor se enfrenta a incumplir las leyes de su país o el contrato con su cliente, y las leyes siempre tienen precedencia.
  • Cuando no existan las garantías adecuadas, deberá suspender o finalizar la transferencia de datos personales fuera de la UE, y transferir nuevamente los datos a la UE.
  • Planifique una migración a un proveedor europeo.

 

De no poder implementar una migración completa de inmediato, puede ejecutarla por etapas. En tal caso, comience por migrar la información clasificada como confidencial y restringida.

En conclusión, la caída del Privacy Shield por motivo del conflicto entre la legislación de los EE. UU. y la UE, y la inexistencia de un período de gracia, impone a las empresas europeas la obligación de tomar medidas concretas. No se vislumbra la posibilidad de un nuevo acuerdo a corto plazo, considerando que una de las leyes que lo ha originado tiene vigencia hasta el 2023. Y ese no es el único factor que influye—existen varios, de índole política y diplomática.

La responsabilidad recae no solo sobre los DPO, sino sobre todos los que tratan información confidencial que pueda contener datos sensibles: los responsables de Compliance, Directores Jurídicos, de GRC, Comités de auditoría y los administradores de la sociedad, pues cuando la información es recopilada, se obtiene en bloques y no de forma aislada.

Habiendo tanto en juego, la solución más práctica y sencilla para ahorrar quebraderos de cabeza y prevenir multas es cambiar a un proveedor con sede y datacenter europeos como ya han indicado varias agencias de protección de datos (Berlín, con influencia en todo el país, Países Bajos, etc.)

DiliTrust tiene 25 años de trayectoria trabajando por la privacidad y seguridad de los datos de sus clientes.

Como fabricante europeo de soluciones de Governance para la Gestión de Consejos de Administración, la Gestión Jurídica Integral (gestión de sociedades y poderes, contratos y litigios) y el Intercambio Seguro de Información, ofrece las garantías requeridas por el RGPD y este nuevo contexto.

DiliTrust cuenta con certificación 27001 (soluciones, empresa y servidores franceses certificados) y desarrolla sus soluciones con el principio Security by Design.

Si desea conocer más sobre como DiliTrust puede apoyarle a hacer más eficiente su gestión de una manera segura, y en total cumplimiento con leyes europeas, póngase en contacto con nosotros para solicitar una demo sin compromiso.

 

Fuentes :

Guía de la Comisión Europea de Protección de Datos – Preguntas Frecuentes

Sentencia TJUE sobre caso Schrems II

Decisión 2010/87 (Sobre los niveles de privacidad de las CCE y NCV)

NOYB: Antecedentes Caso Schrems



1 : El Tribunal de Justicia de la UE declaró inválida la decisión 2016/2297 de la comisión en la que se aceptaba como adecuada la protección del Safe Harbor, el antecedente del Privacy Shield.

2 : NSA Prism program taps in to user data of Apple, Google and others

3: Los ciudadanos y residentes estadounidenses cuentan con protección constitucional en procesos de privacidad en EE. UU. No así los ciudadanos de otros países.

4: Los principios del Safe Harbor, emitidos por el Departamento de Comercio de los Estados Unidos, fueron adoptados por la CE mediante decisión de la CE 2000/520, en la que operaba una presunción de adecuación del nivel de privacidad.

5: El Tribunal entendió que dado que los datos personales transferidos bajo los principios del Safe Harbor podían ser accedidos por las autoridades estadounidenses con sus programas de vigilancia en un modo que era incompatible con el motivo por el cual se habían transferido.

6: CRONOLOGÍA LEGAL


  • 1978: La FISA (Ley Federal de Vigilancia Extranjera) se sancionó por primera vez en el año 1978 con vigencia temporal y ha sufrido diversas modificaciones que extienden su validez. Esta ley no requiere a las autoridades una orden judicial para acceder a los datos. La última renovación data del año 2018, hasta 2023.
  • 1981: Se emite el secreto presidencial EO 12333 sobre inteligencia, por primera vez. La última modificación data de 2008.
  • 2000: Emisión y adopción de los Principios del Safe Harbor.
  • 2001: A raíz del 9/11 se sancionó la ley PATRIOT. Esta ley amplia la definición de inteligencia extranjera para incluir las capacidades, intenciones y actividades de entidades y personas extranjeras, cuya información puede obtener un fiscal en el transcurso de una investigación.
  • 2008: Se incorpora el artículo 702. El programa PRISM operó bajo este artículo.
  • 2013: Episodio Edward Snowden. Revela públicamente la vigilancia masiva de datos incluyendo contenido y metadatos. Metadatos son: números de teléfono, direcciones de correo electrónico y nombres de usuario, datos de geolocalización, fecha y hora de tus llamadas telefónicas, correos electrónicos, archivos y fotografías, y registro de actividad.
  • 2015: Caída del Safe Harbor.
  • 2016: Entrada en vigor del Privacy Shield.
  • Enero 2018: Renovación del artículo 702 (FISA). Vale mencionar que este artículo genera controversia en EE. UU. y diversas asociaciones de libertades civiles han iniciado acciones.
  • Marzo 2018: Sanción de la ley CLOUD que habilita el acceso a datos fuera del territorio de los Estados Unidos, previa orden judicial, luego del caso Microsoft Ireland.
  • Mayo 2018: Entrada en vigor del RGPD.
  • 2020: Caída del Privacy Shield.

 

 

DiliTrust ha trabajado con cientos de Consejos y Comités en todo el mundo para apoyarles en la concreción de sus obligaciones y mejorar el buen gobierno gracias a nuestras soluciones. Ayudar a directivos a aplicar buenas prácticas de Governance en su gestión del día a día es parte de nuestro ADN. Al ocuparnos de proteger la información confidencial de nuestros clientes, entendemos muy bien la necesidad de tomar seriamente la seguridad y los ciber riesgos. Una mejor concienciación de la ciberseguridad no solo esencial para los Consejeros y la Alta Dirección, sino que es una obligación para los líderes empresariales.

El informe de Gartner muestra que los Consejeros Delegados corren con la responsabilidad y sufren las consecuencias de los eventos de ciberseguridad, mucho más que el área de TI; los Jefes de Sistemas que gestionan riesgos de TI deben ayudar a los Consejeros Delegados a contar con las defensas necesarias.

En este informe de cortesía de Gartner, entendemos que los Consejeros Delegados encontrarán respuestas para los siguientes interrogantes:

  • ¿Como entender las 8 causas de fallos de seguridad?
  • ¿Como cerrar la brecha cultural que provoca que los directivos traten a la seguridad de la información como un problema técnico a cargo de técnicos?
  • ¿Como abordar el quiebre en la corresponsabilidad que se convierte en malas decisiones de inversión y un mayor riesgo sistémico invisible?

 

Gartner, 8 Reasons More CEOs Will Be Fired Over Cybersecurity Incidents, 15 March 2019, Paul Proctor.

La CEOE en su informe estratégico Conclusiones sobre la Cumbre CEOE de junio de 2020 destacó a la digitalización de las empresas como pilar para la recuperación española y de cara al futuro, y abogó por la concreción de planes en todos los sectores.

Gestión jurídica digital: una herramienta esencial para los departamentos jurídicos de cara a la recuperación y al futuro

«Cuando hablamos de digitalización hablamos de potenciar el teletrabajo, el uso del cloud, los canales online, la automatización de procesos, la toma de decisiones basadas en datos, y la seguridad digital».

En el ámbito jurídico corporativo, la ventaja de la digitalización está fuera de discusión. El Departamento Jurídico necesita mejorar su eficiencia y garantizar su operatividad independientemente del contexto, facilitando la colaboración transversal con las áreas claves de la empresa. La digitalización segura de la información y la accesibilidad las 24 horas al día independientemente de la ubicación es crucial.

La plataforma de gestión jurídica integral SaaS DiliTrust Governance ofrece agilidad, accesibilidad y seguridad, en una solución todo en uno que permite centralizar la gestión de todas las áreas del Departamento Jurídico.

Y en momentos como los que hemos vivido, con la expansión del teletrabajo por la crisis del Covid-19, la modalidad SaaS es la oportunidad para construir la resiliencia necesaria para continuar operando. Para comenzar, poder utilizar su herramienta de gestión jurídica desde cualquier lugar, ya sea desde la oficina o desde la casa, sin instalar software en el ordenador local o en la red interna, mejora la eficiencia y la colaboración de toda el área.

Esto a su vez implica un ahorro considerable: gracias al modelo de suscripción se ahorran los costes y las gestiones por las actualizaciones de versión. Practicidad, disponibilidad, accesibilidad, colaboración, todos factores a tener en cuenta.

¿Qué ventajas ofrece una plataforma legal colaborativa segura en modo SaaS?

Como parte de la digitalización esencial de los departamentos legales, la elección de una solución global, lista para usar, flexible y segura, adaptable a las necesidades del área, ha demostrado ser decisiva para la eficiencia de departamento jurídicos y su alineación con los objetivos de la empresa. DiliTrust Governance fue diseñada con este fin: modernizar la gestión jurídica para que la tecnología potencie al área y los responsables puedan enfocarse en las tareas más importantes y cuenten con la información necesaria para tomar decisiones a tiempo.

Gestión de sociedades, y los apoderamientos, para validar los procesos de la compañía, seguimiento de contratos y litigios en tiempo real, a prueba de olvidos gracias a su sistema de alertas y notificaciones configurable, un flujo de trabajo para asignar tareas, y toda la información y documentación centralizada en una única plataforma.

Se trate de un gran despacho que necesite gestionar cientos de sociedades, o una empresa que trabaja con firmas externas para la gestión de sus contratos y litigios, la verdad es los directores legales necesitan tener una visión 360 de todos los asuntos jurídicos, y esto solo es posible con una plataforma integral que sea ágil y fácil de usar.

Al ser una plataforma diseñada para todas las necesidades del área, los responsables pueden trabajar en equipo y estar al tanto de los cambios y modificaciones gestionados por otros colaboradores, con lo cual se fomenta la colaboración y el trabajo en equipo.

Y todo ello en un entorno seguro que garantiza la confidencialidad de la información, no solo para cumplir con las normas de protección de secretos empresariales y las obligaciones de la LSE, sino para resguardar a los activos intangibles más valiosos de una empresa: su información estratégica y su reputación.

Otra ventaja es que en DiliTrust Governance, todas las funcionalidades presentes y futuras están incluidas en la suscripción anual, evitando sorpresas y maximizando la inversión y la escalabilidad a largo plazo.

Gestión jurídica en SaaS: cuando la accesibilidad y la seguridad son indisociables

Acceder a plataforma de gestión jurídica en cualquier lugar y en cualquier momento, con la tranquilidad de que los datos y la información están seguros. Independientemente del sector, la seguridad y la accesibilidad son requisitos esenciales para una solución empresarial. Especialmente cuando se trata de asuntos legales, donde la confidencialidad de la información es imprescindible, no hay espacio para las dudas. En este sentido, solo una certificación puede garantizar objetivamente que estos requisitos se cumplen y DiliTrust Governance cuenta con certificación ISO 27001, el estándar internacional en seguridad de la información.

En un contexto donde los responsables legales tienen cada vez más obligaciones de cumplimiento, una plataforma jurídica SaaS segura ofrece confiabilidad ante otras opciones que pueden resultar más vulnerables. Con el modo SaaS, no hay líneas de código de software expuestas a intrusiones maliciosas a través de estaciones de trabajo fijas o móviles con protección aleatoria, ni valiosos datos que circulan “en la naturaleza” a merced de competidores sin escrúpulos.

Todo está centralizado en una plataforma segura con múltiples capas de protección, que se renuevan a medida que evolucionan las estrategias invasivas, para evitar abusos antes de que sean potencialmente efectivos.

Este requisito de seguridad, que se basa en servidores ultraprotegidos, significa que DiliTrust hace las veces de custodio, pero no gestiona la información. Sus datos no están “confiscados” por exceso de celo protector. La filosofía de una plataforma segura colaborativa y eficiente es que la información de su empresa le pertenece solo a su empresa.

Por lo tanto, es usted quien define los derechos de acceso, de acuerdo con el perfil de sus diversos colaboradores y el nivel de confianza o confidencialidad que les corresponda.

La seguridad nunca debe ser sinónimo de complicaciones. El acceso autorizado inmediato a las funcionalidades de la herramienta y a los datos es una condición sine qua non para su efectividad.

SaaS y movilidad: el activo esencial en el mundo de después del Covid-19

La digitalización se ha visto reforzada desde la crisis de salud de Covid-19 y aparece un nuevo perfil de asesor legal de empresa. Esta crisis ha tenido un impacto fuerte y duradero en la forma en que operan las empresas, particularmente en términos de teletrabajo, cuya implementación, inicialmente restringida, ha revelado rápidamente, incluso a los más escépticos, las cualidades y las oportunidades de este enfoque hasta hace poco exclusivo de algunos profesionales la actividad jurídica.

Las ventajas de una plataforma legal de colaboración segura en modo SaaS han adquirido mayor relevancia. Esta modalidad permite a todos los colaboradores llevar a cabo sus tareas desde cualquier lugar y en todos los contextos, desde un dispositivo y una conexión a internet.

Y esta flexibilidad de acción, junto con una seguridad garantizada, son requisitos básicos que van más allá de los criterios de un teletrabajo estandarizado (generalmente en el hogar): se extienden a todas las circunstancias en las que el cara a cara no es obligatorio, sentando las bases y condiciones para el ejercicio profesional en movilidad total. Las limitaciones habituales del espacio-tiempo desaparecen, a favor de la máxima productividad para su departamento jurídico.

La crisis del Covid ha acelerado la digitalización de las empresas, confirmando la necesidad de contar con herramientas para gestionar el nuevo contexto de trabajo.

Sin embargo cada área tiene sus propios requerimientos y obligaciones legales.
En este informe de cortesía, los directores legales y de compliance encontrarán las pautas para concretar su proyecto de digitalización de manera exitosa.

964 millones de euros: ese es el valor bursátil total acumulado de las 820 empresas de biotecnología que cotizan en todo el mundo (fuentes: Factset, InFront). Este sector el más pujante dentro de la economía del conocimiento junto con la tecnología de la información. Por esta razón, la propiedad intelectual constituye más que nunca el núcleo del modelo económico de los laboratorios y las empresas de biotecnología.

Empresas de Biotecnología: vuestra propiedad intelectual es vuestro activo más valioso. ¡Protegedla!

En un momento en el que la economía digital ha adquirido una escala global, los riesgos de filtración y vulneración de datos extremadamente confidenciales de las empresas de biotecnológicas, así como los riesgos relativos al espionaje industrial, son muy reales.  No obstante, estas ciberamenazas constituyen también oportunidades de ver peligrar años de investigación y de inversión. A esto se añaden leyes como la Cloud Act de Estados Unidos que permite el acceso a datos sin importar donde se encuentren o la Ley FISA que permiten el acceso a la información electrónica sin orden judicial.

¿En qué medida la solución DiliTrust Data Room puede ayudar a asegurar la integridad de las patentes y las investigaciones de estas empresas?

EMPRESAS DE BIOTECNOLOGÍA: SU INVERSIÓNEN I+D ES MÁS IMPORTANTE QUE LA DE CUALQUIER OTRO SECTOR

Agricultura, cosmética, industria, biodiversidad marina, medio ambiente, odontología, pedagogía y, sobre todo, salud: la biotecnología está presente en diversos sectores de gran importancia. Paralelamente, es uno de los sectores en los que se han desarrollado actividades de investigación de manera más intensa. Es decir, la facturación en Investigación y Desarrollo supone una parte significativa de la facturación total de las empresas de biotecnología; muchas veces, entre el 40% y el 50%. A modo de referencia, en las empresas farmacéuticas no supera el 13% de la facturación total, y en las químicas no alcanza el 5%.

En consecuencia, para las empresas de biotecnología es absolutamente fundamental establecer medidas de seguridad óptimas para su propiedad intelectual; especialmente considerando los riesgos de imitación por parte de la competencia menos escrupulosa. Por esta razón, DiliTrust ha hecho que su principal prioridad sea la seguridad de datos sensibles y confidenciales. En este sentido, la solución DiliTrust Data Room cuenta con la certificación ISO 27001, la norma de seguridad más estricta a nivel global. Además, DiliTrust Data Room ha sido objeto periódicamente de auditorías de seguridad internas y externas, así como de distintas pruebas anuales de detección de diversos ataques e intrusiones.

Otro factor no menos importante es la protección legal: DiliTrust es una empresa francesa, con servidores europeos en Francia que cumplen el RGPD, por lo cual los datos quedan fuera del alcance de la ley Cloud y la ley FISA. A su vez existe la ley 68-678 del 26 de julio de 1968, aún vigente, conocida como la “French Blocking Statute” que prohíbe la transmisión de cualquier documentación o información de carácter económico, comercial, industrial, financiera o técnica fuera de Francia, con severas penas de multa o prisión.

PROTEGER LOS FRUTOS DE AÑOS DE TRABAJO SIN GARANTÍA DE APLICACIONES COMERCIALIZABLES

La investigación: una apuesta de futuro: este podría ser el mantra de las sociedades de biotecnología. Con todas las complejas realidades que se desprenden de esto. Especialmente, en lo que se refiere al éxito de cada nuevo proyecto y al elevadísimo coste de la investigación biotecnológica. Porque es imposible saber con antelación si un proyecto de investigación se acabará materializando en una innovación importante que se pueda comercializar a gran escala, resulta esencial la protección de la propiedad intelectual de las empresas biotecnológicas. En cualquier operación de captación de fondos, el elemento central que valoran todos los inversores es la existencia de patentes, especialmente, considerando que para muchas empresas la patente es su producto final.

Las que funcionan de esta manera, transfieren la licencia de explotación correspondiente a otras empresas con capacidad para fabricar y comercializar su producto en todo el planeta. En otros términos, los ingresos de estas empresas de biotecnología están directamente relacionados con los esfuerzos dedicados para asegurar la seguridad de su propiedad intelectual. En estos casos, la solución DiliTrust Data Room se hace imprescindible.  Permite almacenar un volumen ilimitado de datos clasificados como sensibles de conformidad con el RGPD. Estos no estarían sujetos a las disposiciones extraterritoriales de la Cloud Act, la ley FISA y seguirán siendo propiedad de su empresa de biotecnología.

SOCIEDADES DE BIOTECNOLOGÍA: VARIOS PERSONAJES EN BUSCA DE FINANCIACIÓN

Desde el momento de su creación, las empresas de biotecnología multiplican sus colaboraciones con agentes externos públicos y privados. Frecuentemente, existen conexiones entre investigación básica e investigación aplicada a la biotecnología. En consecuencia, no es raro que los institutos universitarios de investigación estén asociados a empresas de biotecnología. Además, estas últimas están constantemente en contacto con organismos estatales con el fin de registrar sus correspondientes patentes. Finalmente, en su búsqueda de financiación suele pasar por facilitar a los potenciales inversores un expediente de captación de fondos que incluye documentos clave.

Con estas dinámicas, la solución DiliTrust Data Room supone una vez más la solución ideal. El acceso a su interfaz, 100% web y adaptada especialmente a móviles está subordinada a definir y gestionar cuidadosamente datos asignados específicamente a cada usuario. También incluye su propia cuenta. Paralelamente, por ejemplo, es posible autorizar a un socio el acceso a un conjunto de archivos, y a un inversor, a otro conjunto distinto de archivos. Y todo esto con limitación en el tiempo y autenticación de doble factor. Todas las conexiones, consultas, modificaciones o datos compartidos se cifran.  También quedan registrados en el historial con el fin de que todas las visitas se puedan rastrear íntegramente. Finalmente, las funcionalidades y la configuración de cada centro de datos se pueden personalizar. Y las formaciones, a medida para todas las partes que participan en el proyecto, están incluidas.

Digitalización y teletrabajo: el nuevo paradigma generado por la crisis del Covid-19

Según el informe del Banco de España publicado el 12 de mayo, un 80% de las empresas ha aumentado el teletrabajo como consecuencia del covid-19 y las medidas de confinamiento para evitar que su actividad se resienta y estima que un 30,6% de los empleos en España podría realizarse mediante teletrabajo. En el año 2019, la modalidad de trabajo desde casa era de cerca de un 5%. Teniendo en cuenta esta cifra, más de 11 millones de personas se han incorporado abruptamente a esta modalidad.

Consejos prácticos de digitalización segura para Consejeros y Directores (o Cómo lograr el balance entre la agilidad y la seguridad)

Claramente la tecnología ha sido un gran salvavidas y las empresas que habían invertido tempranamente—así como aquellos que habían impulsado estas iniciativas—vieron la confirmación de estas decisiones estratégicas en este experimento global llamado Coronavirus.

La incorporación de la modalidad SaaS también ha facilitado esta transición, simplemente porque brinda mayor flexibilidad y una rápida puesta en marcha, algo que con otro tipo de tecnologías requiere un proyecto de implementación que puede tener semanas de duración. Flexibilidad que estaba originalmente pensada para una alta movilidad. Paradójicamente ha servido para movilizarnos virtualmente desde nuestros hogares.

Más aún, en el caso de aquellos que se basan en información confidencial y crítica para tomar decisiones, como Consejeros o Directores, en un contexto con un mayor riesgo, y con un panorama en el que muchos científicos y epidemiólogos advierten de que pueden haber rebrotes y que la nueva normalidad se extenderá más allá del desconfinamiento gradual, por varios meses. De hecho, varias firmas como Endesa o Naturgy ya han extendido su modalidad de teletrabajo más allá del fin de 2020, es decir hasta el año próximo.

LOS RIESGOS DE LA DIGITALIZACIÓN Y LA NECESIDAD DE TOMAR MEDIDAS PREVENTIVAS

Ahora bien, una digitalización apresurada conlleva sus riesgos. Medios de todo el planeta han dado cuenta de casos de fugas de información, accesos no deseados o sabotajes en el transcurso de reuniones. El término seguridad de la información dejó de ser algo de unos pocos para afectar a cualquiera. Es que, como en el caso del coronavirus, muchos pueden ser vectores asintomáticos. Y por eso, la prevención es fundamental.

En los dos últimos meses ha habido un crecimiento del 37% de ciberataques. Estos momentos, en los que el 80% del planeta tiene su foco en el Coronavirus, son los que escogen atacantes para poner en marcha sus estrategias. Desde el secuestro de información, en los que se piden sumas millonarias como rescate para no publicar información clave o crítica (información financiera, legal, nombres y datos de personas claves de la compañía, etc.), a la suplantación de identidad de entidades bancarias vía correo electrónico para incitar a pinchar enlaces, el riesgo es real y una vez producido el coste a pagar es muy alto.

De la misma manera que en el caso del Coronavirus ha quedado claro que la prevención es la mejor solución, también se pueden tomar medidas preventivas para resguardar la información confidencial. No solo se evitan sanciones legales por violación del RGPD, o de la Ley de Secretos Empresariales, o de las obligaciones de los Administradores de empresas en virtud de la mejora del Gobierno Corporativo incorporado a la Ley de Sociedades por la ley 31/14, sino que se evita el pago de sumas astronómicas como rescate y se evitan daños incalculables a la reputación.

¿CUÁLES SON LAS MEDIDAS QUE RECOMENDAMOS COMO ESPECIALISTAS?

  • Segregación de recursos

Así como la CNMV recomienda la segregación de funciones, roles y responsabilidades para evitar conflicto de intereses, se recomienda la segregación de información. Si la documentación confidencial, como títulos de propiedad, acciones, fideicomisos, y otra información patrimonial tradicionalmente se ha resguardado en bóvedas o cajas fuertes, la información electrónica debe tener el mismo tratamiento. ¿Quién dejaría una chequera en blanco en un escritorio al alcance de cualquier persona? La información confidencial electrónica también debe ser resguardada en recintos electrónicos diseñados a tal fin.

  • Acceso únicamente por invitación

No se deben utilizar herramientas de uso masivo para gestionar información confidencial. Una herramienta especializada que solo aquellos que gestionan datos sensibles pueden utilizar ofrece un nivel extra de protección.

  • Acceso con contraseña fuerte, autenticación biométrica y de doble factor.

Una contraseña fuerte, de 10 caracteres, mayúsculas, minúsculas, números y símbolos es la que los expertos recomiendan. A eso se le puede sumar identificación a través de la huella digital y la autenticación de doble factor que se utiliza, por ejemplo, cuando se hace una compra online y se debe ingresar un código de confirmación que llega vía SMS.

  • Permisos de acceso sobre los recursos

Distintos niveles para distintos tipos de uso. Desde un acceso restringido de sólo lectura dentro del recinto hasta el permiso de descarga, con marca de agua, que tiene un efecto disuasorio, configurable según las necesidades.

  • Directorios invisibles

Si no se ve, no hay tentación. Invisibilidad un directorio, por ejemplo, por requerimientos de auditoría o necesidad de ultra-confidencialidad, es una solución práctica y al alcance de la mano de los secretarios corporativos.

  • Utilizar herramientas certificadas en ISO 27001

Utilizar herramientas certificadas garantiza que se cumplen estándares internacionales en protección de información. Obtener esta certificación es un proceso largo, estricto y costoso, y mantenerlo a lo largo del tiempo da cuenta del compromiso con la seguridad de la información confidencial.  Este estándar es requerido por todos los sectores que gestionan información crítica: sector financiero, seguros, energía, salud, gobierno, defensa, etc.

  • Utilizar herramientas especializadas

Existen herramientas especializadas como DiliTrust Exec, diseñadas para las necesidades de Consejeros y Secretarios Corporativos, que combinan agilidad, facilidad de uso y seguridad para la información confidencial, todo en una única interfaz intuitiva.

El incremento de las reuniones en el contexto del Covid-19 y el volumen de información ya no es un problema gracias a la creación rápida de reuniones, documentación integrada al orden del día y el centro de documentación, tan sencillo de utilizar como cualquier smartphone. Y al finalizar la reunión, simplemente generar un acta de manera automática y dejarla lista para exportar al Registro.

A su vez, los consejeros ya no deben preocuparse por navegar en su casilla de correo para encontrar las notificaciones sino que pueden mantenerse al tanto con la agenda, el resumen de actividades o accediendo directamente al centro de reuniones, de documentación, votaciones, o encuestas.

DiliTrust Exec está certificada en ISO 27001 desde 2013 y está desarrollada siguiendo las reglas de “Security by design”, es decir, seguro desde el inicio gracias al entrenamiento y la concienciación que reciben los desarrolladores. La empresa y los servidores también están certificados y cumplen normativas de protección de datos, así como las normas más estrictas de seguridad. Si desea conocer más sobre como las soluciones de DiliTrust pueden agilizar el día a día de Consejeros, Directores y Secretarios Corporativos, garantizando la seguridad, póngase en contacto con nosotros.