DiliTrust ha sido reconocido como Proveedor Representativo en la Guía de Mercado Gartner 2020 para Soluciones de Asesoría Jurídica. DiliTrust es uno de los 19 fabricantes de soluciones mencionados en este nuevo informe de lectura obligatoria para todo responsable jurídico que quiera adelantarse y conocer antes las claves de las soluciones para la Asesoría Jurídica.

Nos honra este reconocimiento que refleja 25 años de trayectoria dedicados a apoyar a miles de clientes en el cumplimiento de sus obligaciones jurídicas y misión corporativa.  Ayudar a Directores Jurídicos, Directores de Asesoría Jurídica, y Abogados Internos a ejercitar las mejores prácticas de buen gobierno corporativo está en nuestro ADN. Nos ocupamos de que nuestros clientes automaticen el día a día de sus actividades jurídicas, y eso hace que entendamos mejor la necesidad de ser eficientes y productivos en un panorama de responsabilidades e importancia crecientes de los departamentos jurídicos.

Gartner destaca que “La Asesoría Jurídica necesita mejorar su eficiencia y mitigar los riesgos en la gestión simultánea de diversas áreas. Los sistemas de soporte para la gestión de la Asesoría Jurídica también tienen por objeto reemplazar los procesos en papel y proporcionar acceso seguro, coordinar las actividades del equipo legal, así como reforzar la gestión de riesgo y de Compliance.”

Con Guía de Mercado de cortesía de Gartner*, buscamos aportar a nuestros lectores un asesoramiento experto actualizado en relación con las siguientes áreas críticas:

  • Recomendaciones para los responsables de tecnología a cargo de las herramientas de legal tech y de Compliance
  • Panorama de sistemas de asesoría jurídica: Descripción, dirección y análisis

 

*Gartner, Market Guide for Corporate Legal Matter Management, 6th August 2020, Jim Murphy and Nikos Drakos.

DiliTrust trabaja codo a codo con Asesorías y Departamentos Jurídicos desde hace 25 años apoyando las iniciativas de digitalización para que los equipos jurídicos estén preparados para las exigencias del futuro. Proporcionar la tecnología que los Directores Jurídicos, Directores de Asesoría Jurídica, y abogados corporativos necesitan para que conseguir sus objetivos de buen gobierno es parte de nuestro ADN.

Según Gartner, “Los Departamentos Jurídicos se enfrentan a problemas a corto plazo que amenazan con provocar un retraso o descalabro en los planes estratégicos a largo plazo.” En este informe*, Gartner destaca que “La crisis del Covid solo intensifica la aceleración de la transformación digital de la empresa.”

Sepa porqué Gartner afirma que “el Departamento Jurídico está listo para la innovación tecnológica” en este informe de cortesía. Consideramos que nuestros lectores encontrarán asesoramiento experto para las siguientes cuestiones:

  • ¿Qué enfoque de tres pasos puede utilizarse para implantar una estrategia de Legal Tech?
  • ¿Cómo se identifican los factores de éxito que reflejan los resultados de mejora continua?
  • ¿Cuáles son las necesidades tecnológicas, objetivos críticos e impedimentos para el progreso que los responsables jurídicos deben conocer?

 

*Gartner, Target Business Outcomes to Advance your Legal Tech Strategy, 5 October 2020, Jim Murphy, Chris Audet, Zack Hutto.

Debido a las normas que deben cumplir las empresas, que van desde reglamentaciones locales a regulaciones del mercado de valores, el gobierno corporativo y el derecho empresarial suelen superponerse y compartir áreas de competencia.

3 puntos que toda Asesoría Jurídica debe tener en cuenta para su planificación del 2021

En buena parte de las empresas españolas, la responsabilidad del cumplimiento normativo recae sobre la Dirección de la Asesoría Jurídica.

Con la crisis del Covid, los Departamentos Jurídicos han tenido que enfrentarse a cambios drásticos en las prácticas y normas de la compañía, a raíz del cambio en la modalidad de trabajo. Al trabajar a distancia, fue evidente que los recursos con los que se contaba anteriormente eran insuficientes.

El Departamento Jurídico trabaja ahora más horas y las herramientas de todos los días no cubren las expectativas y al trabajar a distancia ha quedado claro que los recursos son insuficientes.

Los proyectos de digitalización que en marzo parecían lejanos, se han convertido en una prioridad y los Departamentos Jurídicos han acelerado la toma de decisiones. Contar con una solución de soporte para la Asesoría Jurídica puede marcar la diferencia para un equipo jurídico que puede organizar, planificar y gestionar mejor su trabajo, automatizando tareas para poder dedicar más tiempo a los servicios de mayor valor añadido.

Por ejemplo, el seguimiento al ciclo de vida de un contrato puede hacerse con un workflow, y se puede colaborar digitalmente, sin que sea necesario reunirse en persona. Luego, un buen sistema de alarmas y un seguimiento digital de las demandas evita perder oportunidades de interponer recursos. Y la documentación debe estar disponible desde cualquier lugar, de manera segura, es decir, sin correr el riesgo de que se produzca un robo o una fuga de información.

Los 3 puntos que toda Asesoría Jurídica debe tener en cuenta en su planificación del año próximo

  • Analice el impacto del trabajo a distancia en el gobierno corporativo y en el perfil de riesgo de la empresa

El trabajo a distancia es una de las medidas que se han aplicado para reducir la propagación del Covid. Cuando no se utilizan las herramientas adecuadas, la empresa puede quedar expuesta a riesgos de ciberseguridad.

Una solución es implantar la autenticación de doble factor (2FA) al iniciar sesión y asegurarse de que todos los sistemas y softwares tengan las actualizaciones y parches de seguridad al día.

¿QUÉ SIGNIFICA ESTO PARA EL DEPARTAMENTO O LA ASESORÍA JURÍDICA?

Los daños originados por una brecha de ciberseguridad tienen consecuencias jurídicas y económicas muy severas, tanto por el daño a la reputación, como por multas de la AEPD, como con pérdidas de oportunidades de negocio, cancelación de contratos y divulgación pública de información confidencial a consecuencia de no pagar los rescates por secuestro de información.

El Consejo y los comités deben estar al tanto de las normas nacionales e internacionales que debe cumplir la empresa en caso de ocurrir una brecha y de las consecuencias en caso de no hacerlo. De esta manera se puede definir una política de ciberseguridad adecuada.

Puede encontrar más información al respecto en este artículo.

  • Asegúrese de participar en las reuniones del consejo

El Director del Departamento Jurídico o de la Asesoría Jurídica responde ante el Consejo por la ejecución de sus funciones. A su vez, el Consejo representa los intereses de los accionistas de la compañía y una de sus prioridades es la gestión del riesgo.

Cuando no hay participación de la Dirección de la Asesoría Jurídica en las reuniones del consejo se genera un punto ciego pues se desconocen una serie de riesgos. Por lo tanto, es prudente contar con la participación del Director Jurídico o de la Asesoría Jurídica en las sesiones.

¿QUÉ SIGNIFICA ESTO PARA EL DEPARTAMENTO O LA ASESORÍA JURÍDICA?

El Director del Departamento Jurídico o de la Asesoría Jurídica tiene el deber de informar al Consejo de Administración sobre aquellas cuestiones que pueden tener consecuencias jurídicas. En momentos de inestabilidad, debe tomar la iniciativa y proponer su participación para asegurar el tratamiento de estos temas en las sesiones.

  • Verifique si las herramientas para trabajar a distancia son las adecuadas o son un parche de emergencia

Los Departamentos Jurídicos suelen trabajar más allá de los horarios de oficina. Por este motivo muchos equipos jurídicos ya estaban preparados para trabajar desde casa antes de la pandemia. Sin embargo, pasar de trabajar en un entorno híbrido que combina el trabajo desde la oficina con el trabajo desde casa, a trabajar sólo desde casa, significa que hay recursos y herramientas que no estarán disponibles.

En la primera etapa del Covid muchos Departamentos Jurídicos recurrieron a soluciones de emergencia para poder seguir funcionando, con la esperanza de que luego del verano ya hubiese una vacuna y se pudiese regresar a la oficina.

Sin embargo, con el otoño se ha confirmado que no será posible hasta la próxima primavera y la necesidad de trabajar de manera más eficiente, sin correr riesgos innecesarios, y asegurando el cumplimiento normativo, ha probado que es mejor contar con una solución de soporte especializada.

¿QUÉ SIGNIFICA ESTO PARA EL DEPARTAMENTO O LA ASESORÍA JURÍDICA?

Si bien las herramientas del día a día permitieron a muchos equipos jurídicos seguir funcionando, la verdad es que se ha multiplicado la carga de trabajo. Más correos, más enlaces, más documentos importantes y confidenciales cuyo recorrido se pierde y con lo cual se pierden oportunidades por plazos perdidos, se producen incumplimientos por la falta de trazabilidad, y en el peor de los casos, se produce una brecha.

La gestión de la documentación y los procesos de la asesoría jurídica, los apoderamientos, los contratos y litigios, se gestionan mejor con una solución de soporte especialmente diseñada para ello, que se adapte a las necesidades del Departamento y facilite el cumplimiento del plazo de conservación de cinco años de la documentación societaria.

DiliTrust ha sido reconocido como proveedor representativo en la Guía de Mercado de Gartner 2020 para soluciones de soporte de Asesoría Jurídica.

Sepa como Directores Jurídicos, de Asesoría Jurídica, Secretarios de Consejo y responsables internos de empresas españolas han conseguido una visión y gestión 360 eficiente y actualizada.

Póngase en contacto con nosotros, estaremos encantados de ayudarle.

POR FAVOR, TENGA EN CUENTA QUE ESTE INFORME YA NO ESTÁ DISPONIBLE

DiliTrust trabaja codo a codo con Asesorías y Departamentos Jurídicos desde hace 25 años apoyando las iniciativas de digitalización para que los equipos jurídicos estén preparados para el futuro. Ayudar a Directores Jurídicos, Directores de Asesoría Jurídica, y responsables de legaltech a ejercitar las mejores prácticas de buen gobierno corporativo está en nuestro ADN.

De acuerdo con Gartner, “En el 2022, los contratos inteligentes ratificados serán de uso diario en más del 25% de empresas en todo el mundo.” Sin embargo, todavía existe algo de desconocimiento sobre como estos contratos generados por software pueden impactar a asesorías y departamentos jurídicos en una etapa temprana de digitalización. Asimismo, “resistirse a comprender esta nueva realidad jurídica y la promesa “tecnojurídica” de el modelo de contrato automatizado M2M (máquina a máquina) dejará a los equipos jurídicos detrás de la competencia con lo cual se desvalorizará la entidad.”

En este informe de cortesía de Gartner, confiamos en que encontrará soporte para las siguientes áreas claves:

  • ¿Que son los Smart Contracts (Contratos Inteligentes)?
  • ¿Qué trampas deben evitar los responsables de tecnología que dan soporte a la Dirección Jurídica?
  • ¿Qué pueden hacer los responsables de tecnología para cerrar la brecha entre la formación y los requerimientos del ejercicio profesional de los abogados?

 

Gartner, What Blockchain Smart Contracts Means for Legal Operations, 27 February 2020, Lydia Clougherty Jones.

POR FAVOR, TENGA EN CUENTA QUE ESTE INFORME YA NO ESTÁ DISPONIBLE

DiliTrust ha sido reconocido como Proveedor Representativo en la guía “Gartner 2020 Market Guide for Enterprise Legal Management Solutions (ELM)”. DiliTrust es uno de los 21 fabricantes de soluciones mencionados en este nuevo informe de lectura obligatoria para todo responsable jurídico que quiera adelantarse y conocer antes las claves de las soluciones ELM para la Asesoría Jurídica.

Nos honra este reconocimiento que refleja 25 años de trayectoria dedicados a apoyar a miles de clientes en el cumplimiento de sus obligaciones jurídicas y misión corporativa.

Ayudar a Directores Jurídicos, Directores de Asesoría Jurídica, y Abogados Internos a ejercitar las mejores prácticas de buen gobierno corporativo está en nuestro ADN. Nos ocupamos de que nuestros clientes automaticen el día a día de sus actividades jurídicas, y eso hace que entendamos mejor la necesidad de ser eficientes y productivos en un panorama de responsabilidades e importancia crecientes de los departamentos jurídicos.

El informe de Gartner muestra que “las soluciones ELM ofrecen el soporte y la información necesarias para operaciones jurídicas y workflows.” Esta Guía le ayudará a comprender este sector tan cambiante y tomar decisiones informadas en la selección de tecnología.

Con esta Guía de Mercado de cortesía, estamos seguros de que nuestros lectores encontrarán las herramientas para las siguientes áreas críticas:

  • Recomendaciones para los responsables de tecnología a cargo de las soluciones para equipos jurídicos
  • Panorama de soluciones ELM: modelo de planificación estratégica, dirección del sector y tendencias tecnológicas

 

Gartner, Market Guide for Enterprise Legal Management Solutions, 4 September 2020, Nikos Drakos and Jim Murphy.

El pasado jueves 27 de agosto se anunció en el BOE la creación de la Oficina del Dato, dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA). Con este anuncio España pone en marcha el proyecto ideado hace 3 años y se sitúa a la vanguardia del desarrollo tecnológico en materia de gestión de datos con este ecosistema de datos en el que se priorizan el intercambio, la seguridad, y la gobernanza, en línea con las disposiciones europeas.

España a la vanguardia mediante el ecosistema de datos seguro y con gobernanza

La estrategia para el gobierno y la explotación del dato, es decir, definir políticas de seguridad en la gestión y almacenamiento de los datos, políticas de privacidad, así como participar activamente en los correspondientes foros en la Unión Europea son las funciones principales del nuevo ente, cuya creación se ha visto impulsada por el contexto post-Covid y las políticas de financiación de la Unión Europea que han puesto a la digitalización en el centro de las prioridades.

Alerta Datos

Europa encendió las alarmas con la puesta en vigor del Reglamento General de Protección de Datos hace dos años, lo que causó un revuelo por el reajuste y adaptación tecnológica al que se enfrentaron varias empresas luego de años de operar en campo libre.

Pero si el sector financiero, ejemplo por excelencia de activos intangibles en el mercado, está sujeto a regulaciones, también corresponde regular el uso y tratamiento de los datos, a fines de proteger la confidencialidad de las personas naturales y jurídicas a las que pertenecen.

Con el caso Schrems II se hizo más evidente el conflicto entre el enfoque estadounidense, que apunta a hacer uso de esta información donde quiera que esté, y el enfoque europeo, que busca resguardar la soberanía digital y tecnológica de la UE.

Este tema es una preocupación a nivel gubernamental, puesto que el sector está controlado por un puñado de empresas estadounidenses y chinas y con esta dominancia marcan el pulso estratégico y geopolítico del planeta.

Espionaje industrial, secuestro de información a cambio de cuantiosos rescates, sistemas operativos que identifican las aplicaciones que no se utilizan y las desinstalan, datos que se transmiten fuera de la unión sin nuestro conocimiento. Las amenazas están a orden del día y es por ello que iniciativas como la de la Oficina del Dato, que buscan crear un espacio de intercambio seguro siguiendo las mejores prácticas de Buen Gobierno, son palancas estratégicas de cambio alineadas a la posición de liderazgo que busca recuperar la UE.

Tecnología “Made in Europe”

La inseguridad jurídica provocada por la caída del Privacy Shield y la incompatibilidad de las cláusulas corporativas estándares y las normas vinculantes corporativas con los lineamientos de protección de datos, sumadas a las ordenes estrictas de varias Agencias de Protección de Datos, pusieron a los Directores de Cumplimiento, Riesgo, Buen Gobierno y Asuntos Jurídicos en estado de alarma.

Estas instrucciones de transferir datos de regreso a Europa se deben a que se ha comprobado que, por más que exista una cláusula escrita en un contrato, esta no es suficiente defensa ante leyes de Estados Unidos que los proveedores de ese país están obligados cumplir, y por las cuales la información está al alcance de las autoridades.

Por este motivo, muchos han optado por la proactividad y han decidido migrar su información estratégica a soluciones con origen, sede y servidores europeos para poder tener la garantía, no solo de cumplimiento, sino de tener un espacio separado y seguro en el que puedan colaborar sus altos directivos.

A estos espacios seguros de datos se les llama en la jerga, “Sandbox”, porque funcionan como una caja aislada del resto donde se puede trabajar, colaborar, intercambiar información de manera segura.

El principio es similar al de una caja fuerte: un espacio con muros reforzados y a resguardo de usuarios no autorizados, al cual solo se puede acceder con permisos de acceso.

Un modo objetivo de saber si una herramienta es segura, es verificar si cuenta con certificación ISO 27001. La ISO 27001 es el estándar de seguridad de la información y se obtiene únicamente al final de un exhaustivo proceso. Mantener la certificación es aún más complejo.

Otros factores objetivos son: el cifrado de la información en tránsito y en reposo, el uso de HSM para almacenar las claves, la posibilidad de utilizar BYOK (utilizar clave propia), y también el hecho de que organismos de gobierno, bancos, empresas de energía, del sector aeroespacial y telecomunicaciones utilicen la solución puesto que deben cumplir con requerimientos de seguridad mucho más estrictos.

Ahora bien, ¿Cómo conciliamos la facilidad de uso con la seguridad?

Seguridad y facilidad de uso: se puede tener ambos en una herramienta especializada

No es cierto que las herramientas seguras sean todas extremadamente complejas.

Este modo de pensar y el hábito hace que se reciclen las herramientas de todos los días, porque ya están allí, pero adaptar herramientas implica costes ocultos: consultoría para determinar primero las necesidades, que, aunque esté a cargo de un equipo interno, tiene un coste en tiempo y dinero, el desarrollo ad hoc, y los costes de mantenimiento y de actualización, como en el caso de sharepoint, que requiere una fuerte inversión además de ser dificultoso el proceso.

Esto es así porque es una solución desarrollada para otros fines. Luego, las hojas de cálculo son más difíciles de mantener al día y dependen de una persona: si esta persona se retira se perderá todo el trabajo y la información.

Por el contrario, cuando se escogen soluciones especializadas y en modalidad SaaS, como DiliTrust Governance o DiliTrust Exec, no solo se obtiene el beneficio de un desarrollo a medida de las necesidades de la Alta Dirección listo para usar, sino que las actualizaciones y nuevas funcionalidades están incluidas. Con lo cual, los nuevos requerimientos quedarán siempre cubiertos.

Las plataformas DiliTrust permiten optimizar el trabajo en equipo y compartir información sensible internamente y con externos de manera segura, mediante sus funcionalidades de colaboración, los niveles de permisos, la posibilidad de crear usuarios segmentados, y su gestor de proyectos.

Gracias a la automatización de procesos y la sistematización de información que se logra con DiliTrust, el tiempo ahorrado se puede dedicar a tareas de mayor valor añadido con lo cual se reducen los costes.

Y todo ello en total cumplimiento de RGPD y otras normas de protección de datos europeas, y los niveles más estrictos de seguridad. Tanto la empresa, como los servidores y las soluciones cuentan con certificación ISO 27001.

DiliTrust cuenta con soluciones que proponen espacios seguros para la gestión de Consejos de Administración y Comisiones Directivas, Secretaría Corporativa, Asesoría Jurídica, Fusiones y Adquisiciones e I+D+I.

DiliTrust es un fabricante con valores, origen, sede y servidores europeos, con más de 20 años de experiencia que desarrolla sus productos en base a la interacción con Consejeros, Directores de Asesoría Jurídica, Secretarios Corporativos, Directores de GRC, de Propiedad Intelectual y Fusiones y Adquisiciones.

Si desea conocer como DiliTrust puede ayudarle a digitalizar su gestión de manera segura, póngase en contacto con nosotros.

 

 

Con el contexto del Covid-19 y las vacaciones de verano, la publicación, el 26 de Junio de este año, de la nueva versión del Código de Buen Gobierno de las sociedades cotizadas (“CBG”), ha pasado totalmente desapercibida. La versión anterior era de 2015.

El CBG es una biblia para los consejeros, Directores de compliance o Secretarios Generales de las grandes empresas y sus equipos. Es a la vez un reflejo de la actualidad y un marco para el futuro.

Sin embargo, en un contexto de urgencia, es difícil de encontrar el tiempo necesario para leer y analizar un documento de 44 páginas con 64 recomendaciones y comparar la versión de 2015, los cambios propuestos en enero 2020 y la versión final de junio 2020.

Ahorren tiempo y descarguen un resumen en 2 páginas de todos los cambios hechos y un análisis de las nuevas orientaciones de la CNMV.

 

Una de las funciones principales de la Comisión de Auditoría es velar por el buen funcionamiento de los sistemas de información y control interno y es un apoyo fundamental al Consejo de Administración. Para ello cuentan con la colaboración de los responsables de Seguridad de la Información, que se encargan de evaluar técnicamente las propuestas o proponen soluciones de gestión.

De acuerdo con el último informe del Centro Criptológico Nacional, las ciberamenazas aumentaron en un 40%. Si tenemos en cuenta que el objetivo de estos ataques es acceder a información estratégica, ya sea mediante ataques de secuestro de información (ransomware), suplantación de identidad (phishing) u otro tipo de actividad fraudulenta, queda claro que la alta dirección se encuentra entre los objetivos primarios del ataque y, por lo tanto, los Jefes de Seguridad de la Información deben más que nunca abocarse a protegerles.

Seguridad Digital. Una prioridad para las empresas españolas

El panorama para muchos Consejos y Comisiones es irregular. Según una encuesta a los responsables de Riesgo y Tecnología, todavía se utilizan muchas herramientas que no son las adecuadas para gestionar información confidencial—en particular, las herramientas de uso común de toda la compañía. Esto hace que la Alta Dirección no esté preparada para contener un incidente de filtración o fuga de información, y en última instancia serán los Consejos los responsables por no adoptar las medidas requeridas, una obligación que tienen los administradores y consejeros de las Sociedades según la Ley de Secretos Empresariales.

Esta preocupación ha sido motivo de discusión entre los dirigentes empresarios y ha dado buenos frutos. La CEOE, en su informe estratégico de junio de 2020, ha dejado en claro que la seguridad digital es una de las prioridades de todas las empresas españolas, ya no solo de las cotizadas y ha propuesto un plan para ponerlo en marcha, plan en el que ninguna empresa debe quedarse atrás, de acuerdo con las recomendaciones del CCN-CERT.

EVOLUCIÓN DE LOS CIBERATAQUES Y COMO ABORDARLOS

La principal ciberamenaza a la que se enfrentan las empresas españolas es la fuga de información. Esto se debe a ataques de ransomware o phishing. En el primer caso, se secuestra la información que está en directorios compartidos de la compañía y se retiene a cambio de un cuantioso rescate. En caso de no pagar, la información será divulgada públicamente, además de ser difundida en la dark web.

¿Cuál es el riesgo? Que información estratégica y confidencial llegue a manos de competidores, medios y el público en general, en caso de no pagar. Una vez que esto sucede, el coste es muy alto. Ya sea por pagar el rescate, o por la cuantiosa pérdida que puede significar que esta información esté en poder público.

La segunda ciberamenaza, el phishing, puede afectar a todos por igual y se cuela a través del correo electrónico, simulando ser un mensaje legítimo de nuestro banco, Hacienda, Seguridad Social o la Policía Nacional, como hemos visto en los últimos meses. El riesgo en este caso es la infección de la red corporativa, lo que ocasiona una interrupción en las operaciones, o el acceso a la red por parte de ciberatacantes.

A esto se suma el riesgo de administradores, consejeros y directivos de incurrir en responsabilidad por el cargo o personalmente por dolo o negligencia en el deber de proteger secretos empresariales. Por esto es qué los consejos han comenzado a incluir la seguridad digital en su orden del día y se preguntan si su información estratégica está segura.

Una de las preguntas habituales es ¿dónde está alojada la información? La clave en esto es la siguiente: ¿estamos utilizando las mismas herramientas que el resto de la compañía para gestionar nuestra información confidencial? En muchos casos, la respuesta es sí, el gestor compartido de documentos y datos, que todos tenemos a mano por nuestra suite de ofimática.

¿Cuál es el riesgo en este enfoque? Es una solución rápida. Pero esta solución que puede funcionar para los archivos de acceso “público” para toda la compañía tiene justamente el efecto contrario al deseado para el Consejo y la Alta Dirección, que es tomar un riesgo innecesario.

Los responsables de Seguridad de la Información y Cumplimiento que conocen las buenas prácticas de la ISO 27001 lo saben muy bien: para proteger la información confidencial es necesario mantenerla separada del resto de la documentación.

EL ROL DE LA COMISIÓN DE AUDITORÍA Y EL BUEN FUNCIONAMIENTO

Cuando hablamos de buen funcionamiento hablamos de eficiencia, no únicamente de protección. En muchos casos, la balanza se inclina hacia un lado o hacia el otro. Pero la eficiencia bien ejercitada consiste en integrar la agilidad y el diseño orientado a las necesidades específicas con el nivel de protección adecuado.

Esto permite automatizar tareas que no aportan valor añadido, para poder enfocarse en las verdaderas prioridades con tranquilidad. El responsable de seguridad de la información puede utilizar criterios objetivos para evaluar las soluciones: ¿Están certificadas en ISO 27001? ¿Los servidores están certificados? ¿Es una herramienta diseñada con la política de Security by Design? ¿Se someten a auditorías externas?

Por eso, en la decisión de cual solución se debe utilizar para gestionar los Consejos y las Comisiones Directivas, deben integrarse las visiones de todos los participantes, y pocas soluciones cumplen estos requisitos.

MEJORAR LA CIBERRESILIENCIA CON DILITRUST EXEC

Uno de los riesgos ocultos y detectados en las Comisiones de Auditoría es el uso de gestores compartidos de información. Que a su vez no están orientados a las necesidades de los Consejos o Comisiones.

¿Que aporta una solución como DiliTrust Exec? En primer lugar, es una plataforma en versión web y APP que contempla las obligaciones de los Consejos de acuerdo con la normativa española. El cumplimiento de la LOPDGDD (Ley Orgánica de Protección de Datos y Derechos Digitales), la Ley de Secretos Empresariales, y las obligaciones de los administradores según la LSE.

En segundo lugar, su interfaz intuitiva les facilita las tareas de consejeros y directivos gracias a su panel de mando y acceso rápido a las reuniones, al centro de documentación, a las votaciones y encuestas, y fomenta la colaboración a través de notas y mensajería segura.

En tercer lugar, los Secretarios Corporativos cuentan con la tranquilidad de poder gestionar la documentación con 4 niveles de acceso totalmente parametrizables, marcas de agua para cuando es necesario invitar a consultores a reuniones, y control de tiempo de acceso.

Con un almacenamiento sin límites en capacidad, que evita problemas en el medio de reuniones clave. La facilidad de generar y gestionar todo el proceso de las actas, hasta su presentación de manera ágil.  Todo centralizado en una herramienta que facilita también el seguimiento y cumplimiento de auditorías gracias a sus reportes: el uso de la herramienta y las acciones quedan registradas en el historial.

Y para los responsables de la Seguridad de la Información, una garantía objetiva: DiliTrust cuenta con triple certificación ISO 27001, es decir, las soluciones, los servidores, y la empresa están certificados y cumplen RGPD. Como especialistas en soluciones de gestión de Consejos de Administración, Gestión Jurídica, la seguridad es nuestra prioridad. (Link this sentence to the security policy data sheet in Spanish)

Si quiere conocer más sobre DiliTrust Exec y como hemos ayudado a empresas españolas emblemáticas a hacer más eficiente la gestión de sus Consejos de manera segura, póngase en contacto con nosotros para solicitar una demo.

 

Desde la auditoría previa hasta la concreción de la operación de fusión-adquisición, ambas partes deben ser capaces de demostrar que cumplen con las normas de protección de datos y la Ley de Protección de Secretos Empresariales. La solución DiliTrust Data Room, diseñada para las operaciones de fusión y adquisición, y certificada en ISO 27001, contribuye a que las empresas cumplan sus obligaciones legales con un alto nivel de seguridad y protección.

M&A: confidencialidad y cumplimiento de los procesos de fusión y adquisición RGPD

Desde su entrada en vigor, el RGPD ha impactado con una serie de nuevas obligaciones para la protección de datos personales integrados en las bases de datos de empresas e instituciones. Paralelamente, establecía las responsabilidades de los depositarios de dichos datos, respecto a la portabilidad de los datos recabados y a su uso comercial.

De esta forma, en el marco de una fusión o adquisición, cualquier incumplimiento del RGPD supondrá una multa para el vendedor y el comprador que puede llegar a 20 millones de euros o 4% del volumen anual de negocio a nivel global.

Además, en caso de un acuerdo sobre activos, el contrato de cesión de activos puede anularse íntegramente. También es posible que ambas partes pueden sean llamadas a comparecer personalmente ante la justicia por su responsabilidad civil. Por esta razón, garantizar el cumplimiento de la empresa antes y durante dicho proceso es una condición esencial.

A su vez, la Ley de Protección de Secretos Empresariales, sancionada en 2019, ha dado origen a nuevas obligaciones para Consejeros y Administradores, que deben tomar medidas proactivas para proteger la información confidencial que sea objeto de transacciones y establece multas muy altas para aquellos que incumplan, lo que se suma al daño a la reputación.

AUDITORÍA PREVIA: UNA PRIMERA FASE FUDAMENTAL

En esta etapa clave, el comprador debe garantizar el correcto tratamiento de los datos que la empresa recaba, almacena y transmite. Paralelamente, habrá implantado las medidas necesarias para informar a las personas afectadas (clientes, empleados y proveedores), a los que también poner en conocimiento sobre cualquier cuestión relativa al ejercicio de sus derechos, especialmente de los de información, rectificación y cancelación.

Asimismo, el vendedor deberá demostrar que ha empezado a implantar las medidas de seguridad necesarias para conservar los datos personales de los que dispone. Además, debe demostrar que los contratos relativos al tratamiento de datos subcontratados a terceros sean conformes con la normativa.

Para un proceso de fusión y adquisición, no solo debe contemplarse la seguridad y el cumplimiento normativo, sino que la herramienta debe facilitar el uso a todo tipo de personas, independientemente de su afinidad y experiencia tecnológica.

DiliTrust Data Room ofrece una respuesta práctica y sencilla para cumplir todas estas obligaciones, protegiendo datos confidenciales y la información almacenada durante todo el proceso.

¿Y cómo lo hace? Su recinto seguro y desarrollado bajo políticas de “Security by design”, aplica los protocolos de cifrado más estrictos y ofrece 4 niveles de permiso de control de acceso para resguardar la información. Estos permisos se pueden asignar a su vez por usuario o por equipo. usuario.

A su vez, La seudonimización los datos almacenados se lleva a cabo de forma sistemática.

CUMPLIMIENTO DURANTE LA OPERACIÓN

Cuando se lleva a cabo una auditoria previa de forma completa, suele tener consecuencias en la negociación sobre el precio de venta.

¿Por qué sucede esto? Porque esta auditoría permite al comprador evaluar correctamente el grado de cumplimento de la empresa en venta. Por ejemplo, en el caso de la adquisición de bienes inmuebles, el comprador puede negociar el precio de venta considerando la renovación que deberá realizar tras adquirirlo en base a la inspección y las recomendaciones que haya formulado su perito tasador tras visitar las instalaciones.

El contrato de venta de acciones define los términos de la transmisión de acciones en el marco de la cesión de una sociedad. Entre ellas figuran las declaraciones y garantías del vendedor respecto a la conformidad con el RGPD, así como las acciones y garantías específicas que se hayan emprendido a consecuencia de las irregularidades y los riesgos potenciales identificados durante la auditoría previa.

DESAROLLO DE LA OPERACIÓN DE FUSIÓN O ADQUISICIÓN

Las responsabilidades relativas al tratamiento de los datos personales de los que ya disponía la empresa objetivo se transferirán al comprador una vez que se haya completado la operación de fusión-adquisición. DiliTrust Data Room, no solo cumple RGPD e integra las cláusulas en sus condiciones contractuales, sino que está certificada en ISO 27001, lo que ofrece una mayor garantía de seguridad.

Con servidores europeos certificados y asistencia 24h del día los 7 días de la semana, DiliTrust se convierte en un socio estratégico de negocios, permitiendo que las empresas se enfoquen en la negociación, facilitando la tarea de los responsables de seguridad de la información y de los directores de riesgo y cumplimiento, ya que cuentan con una herramienta que hace más fácil su trabajo.

El 16 de julio la AEPD emitió un comunicado para anunciar que, a partir de ese mismo día, el acuerdo Privacy Shield quedaba sin efecto por sentencia del Tribunal de Justicia de la UE en el caso C-311/18 conocido como Schrems II (DPC v Facebook Ireland Limited, Maximilian Schrems) 1 .

Il Privacy Shield è caduto: e ora?

En dicho comunicado, también se pronunciaba sobre la validez de la decisión 2010/87 sobre las Cláusulas Contractuales Estándares, manteniendo su vigencia. Esto no significa que las CCE importan una protección automática. Al contrario. Recordemos que la resolución de la comisión establece que “el nivel de protección de datos debe evaluarse a la luz de todas las circunstancias de la operación de transferencia de datos o sucesión de las mismas”. Es decir, los mecanismos de protección deben garantizar como mínimo un nivel equivalente al garantizado en la UE por el RGPD, y esta obligación para ambas partes está establecida en dicha decisión.

Antecedentes

En el año 2013, Edward Snowden dio a conocer el programa PRISM de vigilancia masiva, por el cual la NSA (Agencia Nacional de Seguridad) tenía acceso directo 2   a los sistemas de Google, Facebook, Apple, Microsoft, Yahoo, y otras tecnológicas de EE. UU., para obtener las comunicaciones electrónicas de no estadounidenses 3 . Estas comunicaciones incluyen historial de búsqueda, el contenido de correos electrónicos, archivos transferidos y chats.

Ese mismo año, Max Schrems, un abogado austríaco y activista de privacidad de datos, fundador de NOYB, entabló una demanda contra Facebook ante la Agencia Irlandesa de Protección de Datos (DPC), dado que esta compañía, como el resto de las Big Tech estadounidenses, tienen su sede europea en dicho país.

Facebook Ireland transfiere datos de sus usuarios europeos a servidores de la matriz en Estados Unidos. Schrems peticionó al DPC la prohibición de la transferencia y el tratamiento de datos personales de usuarios europeos en servidores estadounidenses, en base a las actividades de vigilancia de los servicios de inteligencia, y que la ley estadounidense no proporciona un nivel de protección suficiente a los datos en Estados Unidos. Esa transferencia se amparaba en los principios del “Safe Harbor” 4 . El TJUE se expidió sobre la invalidez de dichos principios 5 , y finalmente, la transferencia de datos entre la matriz estadounidense y la sede europea de Facebook finalmente se concretó bajo el amparo de las CCE. Luego, en julio de 2016, se adoptó un nuevo acuerdo, el Privacy Shield.

Schrems objetó que las CCE no podían en la práctica ser protección suficiente dado que las empresas estadounidenses tienen la obligación legal de entregar información a las autoridades de dicho país, y que, por lo tanto, el DPC debería haber suspendido la transferencia de datos en base a la decisión de la comisión de las CCE.

Al no poder expedirse, el DPC inició una acción ante la Corte irlandesa, que, a su vez, refirió el caso al TJUE.

Preguntas Frecuentes

1) ¿En qué me afecta la caída del Privacy Shield?
Si su proveedor de servicios de comunicaciones electrónicas se encuentra registrado en la siguiente lista o se anuncia en su propia página como firmante del Privacy Shield, significa que ese proveedor es importador de datos a EE.UU. y, por lo tanto, la transferencia de datos bajo ese marco ya no es legal.

2) He contratado con la sede europea, ¿por qué debería afectarme?
La legislación estadounidense tiene jurisdicción sobre empresas de ese país fuera de su territorio. El TJUE consideró en su sentencia, que, en esencia, la legislación estadounidense (en particular, el art. 702 de la ley FISA y el decreto EO 12333, ver nota vi “cronología legal” al pie) no garantiza un nivel de protección a ciudadanos europeos equivalente al del RGPD, dado que las autoridades tienen acceso a las comunicaciones electrónicas en poder de proveedores estadounidenses independientemente de donde tenga sede la empresa o los servidores.

3) La validez de las Cláusulas Contractuales Estándar no se puso en duda en la sentencia. ¿Por qué no puedo aplicarlas, o aplicar las Normas Corporativas Vinculantes?
Dado el conflicto jurisdiccional y el alcance de las leyes estadounidenses, es poco probable que las CCE o las Normas Corporativas Vinculantes puedan ofrecer protección suficiente y adecuado al nivel exigido por el RGPD en la práctica. Cabe recordar que, si bien las CCE y las NCV tienen validez entre las partes, pero las leyes tienen precedencia sobre cualquier acuerdo entre privados—en este caso, se trata de leyes de comunicaciones y seguridad nacional de los EE. UU.

Deben analizarse los riesgos y los mecanismos técnicos inherentes a dicha transferencia, así como evaluar alternativas.

Si llega a la conclusión de que, teniendo en cuenta las circunstancias de la transferencia y las posibles medidas complementarias, no se garantizarían las garantías adecuadas, deberá suspender o finalizar la transferencia de datos personales fuera de la UE. Sin embargo, si tiene la intención de seguir transfiriendo datos a pesar de esta conclusión, debe notificar a su Autoridad de Supervisión competente

4) ¿Cuáles son las consecuencias de incumplir con la protección de datos?
Multas de hasta 4% de los ingresos anuales de una empresa, o de hasta 20 millones de euros.

5) ¿Cuánto tiempo tengo para implementar otras medidas?
La sentencia del TJUE no establece período de gracia. La sentencia entró en vigor el 16 de julio de 2020.

6) ¿Qué mecanismos puedo implementar para cumplir con RGPD?
La solución ideal sería un nuevo acuerdo marco entre la UE y los EE. UU., consideran expertos como Leandro Nuñez de Audens, despacho especializado en Nuevas Tecnologías y Privacidad de Datos. Esta solución sin embargo es lejana. Se trata de un conflicto legal internacional. 6

Dado que la FISA (art. 702) estará vigente hasta el año 2023, y salvo que se modifiquen los artículos que afectan la protección de datos, los administradores o responsables de datos pueden seguir las recomendaciones de la Comisión Europea de Protección de Datos:

  • Identifique donde se encuentran sus datos y hacia donde se transfieren, verificando donde se encuentra la sede de su proveedor y el datacenter.
  • Clasifique los datos por nivel de confidencialidad: Confidencial (ultrasecreto: información del consejo y alta dirección, departamento jurídico, M&A, propiedad intelectual, etc.), Restringido (nivel medio de confidencialidad), Interno (nivel bajo), Público (acceso público disponible).
  • Analice los riesgos de transferencia para verificar si efectivamente el proveedor de servicios puede cumplir con el nivel de protección establecido en el RGPD.
  • Cuando tenga dudas, podría implementar un acuerdo por el cual, siempre que haya un requerimiento de obtención de datos por parte de las autoridades, el proveedor debe informar a la empresa que transfiere datos fuera de la UE de modo que pueda tomar las medidas pertinentes. En este caso, el proveedor se enfrenta a incumplir las leyes de su país o el contrato con su cliente, y las leyes siempre tienen precedencia.
  • Cuando no existan las garantías adecuadas, deberá suspender o finalizar la transferencia de datos personales fuera de la UE, y transferir nuevamente los datos a la UE.
  • Planifique una migración a un proveedor europeo.

 

De no poder implementar una migración completa de inmediato, puede ejecutarla por etapas. En tal caso, comience por migrar la información clasificada como confidencial y restringida.

En conclusión, la caída del Privacy Shield por motivo del conflicto entre la legislación de los EE. UU. y la UE, y la inexistencia de un período de gracia, impone a las empresas europeas la obligación de tomar medidas concretas. No se vislumbra la posibilidad de un nuevo acuerdo a corto plazo, considerando que una de las leyes que lo ha originado tiene vigencia hasta el 2023. Y ese no es el único factor que influye—existen varios, de índole política y diplomática.

La responsabilidad recae no solo sobre los DPO, sino sobre todos los que tratan información confidencial que pueda contener datos sensibles: los responsables de Compliance, Directores Jurídicos, de GRC, Comités de auditoría y los administradores de la sociedad, pues cuando la información es recopilada, se obtiene en bloques y no de forma aislada.

Habiendo tanto en juego, la solución más práctica y sencilla para ahorrar quebraderos de cabeza y prevenir multas es cambiar a un proveedor con sede y datacenter europeos como ya han indicado varias agencias de protección de datos (Berlín, con influencia en todo el país, Países Bajos, etc.)

DiliTrust tiene 25 años de trayectoria trabajando por la privacidad y seguridad de los datos de sus clientes.

Como fabricante europeo de soluciones de Governance para la Gestión de Consejos de Administración, la Gestión Jurídica Integral (gestión de sociedades y poderes, contratos y litigios) y el Intercambio Seguro de Información, ofrece las garantías requeridas por el RGPD y este nuevo contexto.

DiliTrust cuenta con certificación 27001 (soluciones, empresa y servidores franceses certificados) y desarrolla sus soluciones con el principio Security by Design.

Si desea conocer más sobre como DiliTrust puede apoyarle a hacer más eficiente su gestión de una manera segura, y en total cumplimiento con leyes europeas, póngase en contacto con nosotros para solicitar una demo sin compromiso.

 

Fuentes :

Guía de la Comisión Europea de Protección de Datos – Preguntas Frecuentes

Sentencia TJUE sobre caso Schrems II

Decisión 2010/87 (Sobre los niveles de privacidad de las CCE y NCV)

NOYB: Antecedentes Caso Schrems



1 : El Tribunal de Justicia de la UE declaró inválida la decisión 2016/2297 de la comisión en la que se aceptaba como adecuada la protección del Safe Harbor, el antecedente del Privacy Shield.

2 : NSA Prism program taps in to user data of Apple, Google and others

3: Los ciudadanos y residentes estadounidenses cuentan con protección constitucional en procesos de privacidad en EE. UU. No así los ciudadanos de otros países.

4: Los principios del Safe Harbor, emitidos por el Departamento de Comercio de los Estados Unidos, fueron adoptados por la CE mediante decisión de la CE 2000/520, en la que operaba una presunción de adecuación del nivel de privacidad.

5: El Tribunal entendió que dado que los datos personales transferidos bajo los principios del Safe Harbor podían ser accedidos por las autoridades estadounidenses con sus programas de vigilancia en un modo que era incompatible con el motivo por el cual se habían transferido.

6: CRONOLOGÍA LEGAL


  • 1978: La FISA (Ley Federal de Vigilancia Extranjera) se sancionó por primera vez en el año 1978 con vigencia temporal y ha sufrido diversas modificaciones que extienden su validez. Esta ley no requiere a las autoridades una orden judicial para acceder a los datos. La última renovación data del año 2018, hasta 2023.
  • 1981: Se emite el secreto presidencial EO 12333 sobre inteligencia, por primera vez. La última modificación data de 2008.
  • 2000: Emisión y adopción de los Principios del Safe Harbor.
  • 2001: A raíz del 9/11 se sancionó la ley PATRIOT. Esta ley amplia la definición de inteligencia extranjera para incluir las capacidades, intenciones y actividades de entidades y personas extranjeras, cuya información puede obtener un fiscal en el transcurso de una investigación.
  • 2008: Se incorpora el artículo 702. El programa PRISM operó bajo este artículo.
  • 2013: Episodio Edward Snowden. Revela públicamente la vigilancia masiva de datos incluyendo contenido y metadatos. Metadatos son: números de teléfono, direcciones de correo electrónico y nombres de usuario, datos de geolocalización, fecha y hora de tus llamadas telefónicas, correos electrónicos, archivos y fotografías, y registro de actividad.
  • 2015: Caída del Safe Harbor.
  • 2016: Entrada en vigor del Privacy Shield.
  • Enero 2018: Renovación del artículo 702 (FISA). Vale mencionar que este artículo genera controversia en EE. UU. y diversas asociaciones de libertades civiles han iniciado acciones.
  • Marzo 2018: Sanción de la ley CLOUD que habilita el acceso a datos fuera del territorio de los Estados Unidos, previa orden judicial, luego del caso Microsoft Ireland.
  • Mayo 2018: Entrada en vigor del RGPD.
  • 2020: Caída del Privacy Shield.