jueves, 29 de septiembre de 2016

Cómo se estructura un departamento de compliance

Cuando una organización toma la decisión desde el gobierno corporativo de realzar y entregar la verdadera importancia del compliance en su organización, varios son los temas que se nos presentan al momento de coordinar su estructura. Lo fundamental es que la persona que lidere la unidad entienda la importancia del área y su impacto en la organización, además, se debe reconocer que ninguna unidad es la misma para toda organización, se requieren particularidades propias que respondan a las necesidades de la institución vinculada al sector económico en que está inserta. Además, se deben considerar factores territoriales y las características propias que tenga esa organización, lo importante es que debe tener una estructura adhoc a la realidad de la organización.

Lo que está claro es la necesidad del cargo de Compliance Officer  quien lidera la función y que posea los recursos materiales pero también el apoyo de la alta gerencia para hacer frente a su tarea, que tenga la colaboración de comités u órganos colegiados para el análisis y discusión de los temas relevantes de sus decisiones.

No podemos dejar de lado el tener presente si la organización pertenece o no a sectores regulados, su estructura y tamaño, las competencias propias del compliace officer, la existencia de otras unidades de control como controlaría, auditoría, áreas de control de gestión, para evitar duplicidad de funciones.

El tema es que en muchas organizaciones se encuentran en una transición desde la inexistencia de estas unidades hasta otras que han debido pasar por la fase de constitución y luego consolidarse para tomar validez.

Partir desde cero da la oportunidad para ir delineando y planificando las áreas de trabajo y también identificar con quienes se debe trabajar, ir adecuándose a la formación del directorio, lo que está claro es que hoy se trabaja con equipo multidisciplinarios y se deben tener competencias para trabajar con abogados, ingenieros y auditores en un entorno cada vez más complejo para las organizaciones.


Cómo se estructrura un departamento de compliance

Cuando una organización toma la decisión desde el gobierno corporativo de realzar y entregar la verdadera importancia del compliance en su organización, varios son los temas que se nos presentan al momento de coordinar su estructura. Lo fundamental es que la persona que lidere la unidad entienda la importancia del área y su impacto en la organización, además, se debe reconocer que ninguna unidad es la misma para toda organización, se requieren particularidades propias que respondan a las necesidades de la institución vinculada al sector económico en que está inserta. Además, se deben considerar factores territoriales y las características propias que tenga esa organización, lo importante es que debe tener una estructura adhoc a la realidad de la organización.

Lo que está claro es la necesidad del cargo de Compliance Officer  quien lidera la función y que posea los recursos materiales pero también el apoyo de la alta gerencia para hacer frente a su tarea, que tenga la colaboración de comités u órganos colegiados para el análisis y discusión de los temas relevantes de sus decisiones.

No podemos dejar de lado el tener presente si la organización pertenece o no a sectores regulados, su estructura y tamaño, las competencias propias del compliace officer, la existencia de otras unidades de control como controlaría, auditoría, áreas de control de gestión, para evitar duplicidad de funciones.

El tema es que en muchas organizaciones se encuentran en una transición desde la inexistencia de estas unidades hasta otras que han debido pasar por la fase de constitución y luego consolidarse para tomar validez.

Partir desde cero da la oportunidad para ir delineando y planificando las áreas de trabajo y también identificar con quienes se debe trabajar, ir adecuándose a la formación del directorio, lo que está claro es que hoy se trabaja con equipo multidisciplinarios y se deben tener competencias para trabajar con abogados, ingenieros y auditores en un entorno cada vez más complejo para las organizaciones.


miércoles, 28 de septiembre de 2016

Ciberderecho y ciberseguridad

Conceptos como ciberderecho y ciberseguridad son utilizados de manera general  para hacer referencia a las normas que regulan los aspectos de internet y también en el campo de la seguridad de la información, tal vez con algo de marketing para atraer la mirada hacia estos conceptos que para algunos suelen ser lejano, pero es más cercano de lo que muchos creen. Desde que compramos un teléfono inteligente, accedemos desde nuestro computador a internet o navegamos por nuestra tablet estamos expuestos a los riesgos que hay en internet. Como sociedad debemos entender que cada vez más conviviremos con ella y será parte de nuestros días tal como se empieza a ver en internet de las cosas IoT, desde tener conectado nuestro refrigerador a nuestra red de casa para que nos informe qué nos falta de productos o los juegos de consola que tenemos conectados también a la red. Se imagina usted ir a un café y conectarse a una red wifi abierta y que hackean su celular extrayendo sus imágenes y que posiblemente sean publicadas en la web. Ante estos actos podemos quedar indefensos.

Sin embargo, en este entorno hay que tener claro que nos encontramos con algunos problemas tal como lo comenta el abogado español Alvaro Ecija socio de @ecixgroup y creador de Ciberderecho.com    @Alvaro_ecija en la reciente conferencia TEDx Valladolid realizada el 24 de septiembre pasado, quien propone considerar a internet como bien público y no como una red privada dominada por los grandes buscadores quienes imponen sus propios términos de condiciones, pero cada uno es diferente y estipula a través de contratos clicks las condiciones de operaciones y respeto de los derechos que considera necesario proteger. esto significa que un bien público es, desde el punto de vista jurídico, aquel que pertenece o es provisto por el Estado a cualquier nivel (gobierno central, municipal o local) a través de todos aquellos organismos que forman parte del sector público.

Será posible iniciar una discusión de esta naturaleza, ante la falta de leyes adecuadas es una de ellas, otro tema que también es necesario discutir es el anonimato de internet, hoy las máquinas están conectadas a través del protocolo TPP/IP , por lo tanto, solo identificamos máquinas y no personas, debemos seguir así o avanzar hacia una identificación y por otra parte, la jurisdicción en internet es territorial nacional, y dependerá de la existencia de legislación de cada  Estado, si es que existe, para regular estas acciones requieren ser tipificadas en esos estados para que los jueces pueden aplicar las normas, si no existen mucha acciones que para unos estados es ilegal para otros no tiene tipificción pues se dan en internet y quedan sin sanción.

De estas materias seguiremos escribiendo en un siguiente post.


CORTE DE SANTIAGO CONFIRMA SENTENCIA Y ORDENA A BANCO PAGAR INDEMNIZACIÓN A CLIENTE REMITIDO A DICOM POR DEUDA INEXISTENTE

La Corte de Apelaciones de Santiago confirmó la sentencia recurrida que ordenó al Banco de Chile pagar una indemnización de $2.000.000 (dos millones de pesos) a cliente que fue afectado por la comunicación de una deuda inexistente al boletín de informaciones comerciales Dicom.
En fallo unánime (causa rol 11.383-2015), la Tercera Sala del tribunal de alzada –integrada por las ministras María Soledad Melo, Maritza Villadangos y la abogada (i) Andrea Coppo– confirmó la resolución dictada por el Quinto Juzgado Civil de Santiago que ordenó indemnizar a David Marchant Abarca.

La resolución del tribunal de alzada confirma la responsabilidad del banco por comunicar una supuesta morosidad de $600.000 (seiscientos mil pesos) al boletín comercial después de que Marchant Abarca cerrara sus cuentas en 2012.

"Que tal como se colige del mérito de la documental acompañada al proceso, en especial correos electrónicos a fojas 69 y 70, resumen de estado de cuenta a fojas 71, carta de fojas 89, recibo de pago corriente a fojas 90 e informe comercial que se lee a fojas 91, lo cierto es que como señala la sentencia del tribunal a quo, la errada comunicación de una morosidad inexistente por parte de la entidad demandada y la posterior publicación de dicha desacertada información en el boletín comercial, impidió al demandado continuar con su postulación a un trabajo que representaba un ascenso laboral en su lugar de empleo, actuación culpable y negligente que, independientemente de que pueda entenderse aliada a otras conductas de terceros ajenos al juicio que contribuyeron a encausar los sucesos en el sentido antes referido, privó al actor de una oportunidad o una chance, esto es, de un bien aleatorio que se encontraba en juego, situación que como se desprende de lo manifestado por los testigos que depusieron en autos, le produjo un daño extrapatrimonial que se manifestó en la aflicción, frustración y angustia que le provocó tal ilegítima contrariedad", sostiene el fallo del tribunal de alzada.

lunes, 26 de septiembre de 2016

CORTE DE SANTIAGO CONFIRMA MULTA A BANCO POR INFRINGIR LEY DEL CONSUMIDOR EN CASO DE GIROS INDEBIDOS DE CUENTA

La Corte de Apelaciones de Santiago ratificó la sentencia que condenó al Banco Santander a pagar una multa de 30 UTM (unidades tributarias mensuales) por infringir la ley de protección del consumidor por giros de cuenta realizados sin autorización de titular.

En fallo unánime (causa rol 1.054-2016), la Sexta Sala del tribunal de alzada –integrada por los ministros Leopoldo Llanos, Gloria Solís y Elsa Barrientos– confirmó la sentencia recurrida, dictada por el Tercer Juzgado de Policía Local de Santiago, que acogió la demanda infraccional presentado por el Servicio Nacional del Consumidor (Sernac).

La sentencia del tribunal de alzada ratifica el incumplimiento del banco de las obligaciones en materia de seguridad en los giros, que no pueden ser atribuidos a negligencia del cliente.
"Cabe indicar que tratándose de un contrato que establece obligaciones para una de las partes y que se denuncian como infringidas –en este caso, el deber de seguridad en la prestación del servicio a que se refiere el Art. 23 de la citada ley, y que se entiende incorporado al contrato–, la prueba de la diligencia o cuidado en el cumplimiento de la obligación incumbe al obligado o deudor; en este caso, al denunciado. Luego, no puede pretenderse que su contraparte en el contrato –la consumidora– acredite la culpa o negligencia del obligado; más aun cuando se exige por el denunciado la prueba de hechos negativos como razonó el juez de primer grado", sostiene el fallo del tribunal de alzada.
Resolución que agrega: "Existen indicios en el proceso de que la consumidora empleó el cuidado debido en el cumplimiento de sus obligaciones. En efecto, es un hecho no discutido que dio oportuno aviso de los dos giros en su cuenta al Banco en cuanto se percató de los mismos; y que persistió en las actuaciones a fin de que se solucionara la irregularidad anterior interponiendo el reclamo respectivo ante el Sernac. Lo anterior lleva a concluir –apreciando los antecedentes anteriores conforme a la sana crítica– que la afectada cumplió con su propio deber de cuidado en el uso de su tarjeta; toda vez que no resulta racional estimar que realizó dichas acciones si el menoscabo que denunció se hubiere debido a actuaciones propias".

"Como ha sido declarado por esta Corte –continúa–, ‘el sistema de pago que subyace en esta clase de tarjetas demanda tanto del emisor como del usuario resguardos especiales. En lo que atañe al titular de la tarjeta, es efectivo que debe hacerse responsable de la seguridad del documento y, en particular, de la administración de su clave. En ese contexto, una diligencia esperable de su parte es que deba dar aviso de eventuales extravíos, sustracciones u operaciones sospechosas, no solo porque de ese modo puede liberar su responsabilidad por movimientos que no haya realizado, sino porque –además– es la manera en que puede dejar constancia cierta de tales circunstancias. Por su lado, es evidente que el banco –en cuanto proveedor del servicio– debe también otorgar al titular de la tarjeta las seguridades necesarias, en términos que pueda operar con ella en forma regular, sin menoscabos ni tropiezos, porque se trata de un producto que ofrece al cliente y por la sencilla razón que ese es su negocio' (Causa rol Rol N° 1740-2012, 9/8/2013) (…) así las cosas, en la especie se ha incurrido en una infracción a lo establecido en el artículo 23 de la Ley 19.946, sobre Protección a los Derechos del Consumidor, en cuanto a que el Banco Santander Chile, actuando con negligencia, causó menoscabo al consumidor por fallas de seguridad del servicio prestado".

Fuente: Poder Judicial

viernes, 23 de septiembre de 2016

La industria de la ciberseguridad

A nivel global y en virtud de estudios de Gartner, nos señalan que el sector de la ciberseguridad presentó el año 2015 una facturación  de 62.540 millones de Euros con proyección de 79.292 millones de Euros para el 2018.

Dado el impacto global que significa, tanto, a ciudadanos, empresas y Gobiernos, se han desarrollado mapas de tendencias de demanda en el que se identifican  20 tendencias globales en materia de ciberseguridad agrupadas por 6 sectores de actividad.

El sector industrial y medio ambiente, cibserseguridad en sistemas de control industrial, ICS/SCADA cuya naturaleza es multidisciplinar y aplicable diversos sectores..

Otra área es el sector movilidad, con la protección de vehículos inteligentes, seguridad y protección de vehículos aéreos no tripulados, drones, protección de sistemas de comunicación vía satélite.

El sector economía, big data, detección de fraudes en banca y seguros, gestión de información de eventos de seguridad con tiempos de respuestas para incidentes, seguridad de la información para servicios Fintech.

Por otra parte, en el sector ciudadanía también es posible ver aspectos relevantes en temas de salud, en la protección de los dispositivos médicos, cifrado de investigaciones médicas y farmacéuticas, almacenamiento seguro de datos médicos.

En el sector de Tecnologías de la Información, podemos encontrar aspectos relevantes en servicios de seguridad en la nube, cifrado en tiempo real, hacking ético, prueba de "pentest", preparar personas y certificarlas de acuerdo a estas herramientas.

tencias-ciberseguridad-incibe

Fuente: Tendencias en el mercado de la Ciberseguridad. Página 43.

Fuente: Incibe.es

jueves, 22 de septiembre de 2016

Chile, empresas y transformación digital

Nuestro país y las empresas están enfrentando un gran desafío, la transformación digital que hoy estamos viviendo, algunos dicen que nos encontramos en la 4 Revolución Industrial, que impactará de manera relevante en los empleos. Los profesionales y técnicos que hoy salen de las instituciones de educación superior deben estar preparadas para un entorno laboral más exigente y de alta especialización. Es deber de las Instituciones de Educación Superior el tener la capacidad de mirar el entorno en que estamos viviendo para entregar las competencias pertinente a todos estos nuevos profesionales. Es importante entender que el país requiere que una reforma en la educación superior debe ser con un FIN que permita mejorar las condiciones y acciones de operación de las instituciones de educación superior y no generar mayor burocracia o mecanismos de control excesivos que limiten sus capacidades de acción, debemos pensar qué tipo de instituciones de educación superior necesita nuestro país para hacer frente a la revolución digital que ya estamos viviendo y no quedarnos abajo de ella.

Pero el tema no se agota sólo en el aspecto de formación para el entorno laboral, sino que también es necesario que las empresas comprendan que deben ser eficientes y eficaces en su gestión, deben preparar equipos que respondan a las nuevas necesidades de los clientes, tener la capacidad de ver qué ocurre en el entorno para poder correr y responder oportunamente a estas condiciones. Todos los cambios tecnológicos, los cambios demográficos, el valor del conocimiento por sobre las materias primas nos imponen un sentido de urgencia para mantener el CRECIMIENTO, palabra que ha estado ajena a nuestra realidad los últimos años.  La transformación digital debe avanzar y las empresas deben ser las primeras en adaptarse a este entorno, de lo contrario la pérdida de competitividad será brutal para ellas y generará un impacto también en el empleo de sus trabajadores. En un reciente reportaje del El Confidencial de España  que se basa en un estudio del World Economic Forum se habla de la tormenta perfecta en el trabajo para los próximos 5 años, y que desde el año 2020 comenzaremos a experimentar cambios relevantes en la manera en cómo nos organizamos, si no somos capaces de reaccionar el impacto para nuestra economía será fuerte y obviamente impactará también en el empleo.

Estas breves líneas nos exponen a un entorno complejo que como país debemos ser capaces de enfrentar para hacer frente a la transformación digital que debemos realizar prontamente. 

lunes, 1 de agosto de 2016

Formación de expertos en ciberseguridad

El tema de la ciberseguridad es una materia que va tomando relevancia cada día, muchos especialistas ven que no hay suficientes profesionales preparados para hacer frente a las exigencias que el entorno nos exige estar preparado cada vez, pero para ello es necesario formar a personas con una mirada integral desde la perspectiva que la seguridad de la información involucra aspectos multidimensionales. Esta materia no solo es un ámbito del sector informático, también de la auditoría y también el marco legal.

Este tema es tratado de manera muy interesante en un reciente artículo publicado en el diario El Mundo donde señala que  hay escasez sistémica de profesionales ha provocado un importante aumento de los salarios. De hecho, según señala el informe (que ha sido elaborado con las opiniones de profesionales del sector TI de Alemania, Australia, EEUU, Francia, Israel, Japón, México y Reino Unido), los puestos de trabajo de profesionales de la ciberseguridad son hasta un 10% más alto que en el resto del sector tecnológico.Hoy hay que diversificar el campo de la ciberseguridad. Desde la empresa Intel recomiendan integrar a las mujeres y a las minorías, que están infrarepresentadas en este campo, así como acabar con el estigma que rodea a los hackers.

Las empresas del siglo XXI deben tener presente que no existirá compliance sino se adaptan a las exigencias informáticas que estás presentes en cada organización, pues las tecnologías juegan un factor vital en la gestión y administración de la organizaciones, particularmente en la gestión de los datos y de la información.

Fuente. El Mundo

lunes, 11 de julio de 2016

Ex. Corte Suprema declara ilegal cláusulas de contratos de empresa para la venta de entradas por vulnerar los derechos del consumidor

La Ex. Corte Suprema acogió el recurso de casación presentado por el Servicio Nacional del Consumidor (Sernac) y declaró ilegal las cláusulas de los contratos de Ticket Master S.A. por violar la privacidad de clientes, aplicando a la empresa, además, una multa de 50 UTM (unidades tributarias mensuales).
En fallo unánime (causa rol 1533-2015), la Segunda Sala del máximo tribunal –integrada por los ministros Haroldo Brito, Carlos Cerda, Jorge Dahm y los abogados (i) Leonor Etcheberry y Rodrigo Correa– determinó que la cláusula: "Política de privacidad de Ticketmaster", es abusiva y vulnera normas contenidas en la ley de protección de los derechos del consumidor.
"Que la cláusula "Política de Privacidad de Ticketmaster", al autorizar a recolectar "información que es derivada de los gustos, preferencias y en general de la utilización que hacen los Usuarios de los Servicios", también contraviene la buena fe en los términos proscritos por el artículo 16 g) de la ley de protección de los derechos del consumidor. Dicha recopilación está también incluida en el concepto de "tratamiento de datos" que utiliza el inciso primero artículo 4 de la ley 19.628. En efecto, la ya citada letra o) del artículo 2 de dicha ley, define el tratamiento de datos como "cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar... datos de carácter personal". Se trata por otra parte de información que excede de la necesaria para concluir las transacciones de compraventa de entradas, de manera que su recolección requiere o autorización legal o expreso consentimiento del titular de los datos. Por razones idénticas a las señaladas en el considerando precedente, resulta abusiva y nula esta cláusula en cuanto por ella se busca obtener tal consentimiento en forma atada a una operación comercial con un objeto diferenciado", sostiene el fallo.

Resolución que agrega: "La cláusula "Política de privacidad de Ticketmaster" también autoriza a la denunciada a utilizar la información obtenida a través del sitio "para diversos objetivos comerciales, como lo es el proporcionar datos estadísticos (por ejemplo: 50% de nuestros Usuarios son mujeres) a anunciantes potenciales, enviar publicidad a los Usuarios de acuerdo a sus intereses específicos, conducir investigaciones de mercadeo, y otras actividades o promociones que Ticektmaster considere apropiadas". Esta cláusula contraviene lo dispuesto en el inciso segundo del artículo 3 de la citada ley de protección de la vida privada: "El titular puede oponerse a la utilización de sus datos personales con fines de publicidad, investigación de mercado o encuestas de opinión". Esta prohibición no es más que una particularización de la prohibición genérica del artículo 4 de la misma ley citado en los motivos precedentes, pues tal utilización de datos personales también se encuentra incluida en la definición del "tratamiento de datos". Por esta razón, también en este punto la cláusula "Política de privacidad de Ticketmaster" resulta abusiva y nula".
Asimismo, se confirmó el fallo que declaró ilegal las cláusulas: "Condiciones de Uso"; "contenida en el ticket de entrada"; "Enlaces y Resultado de Búsqueda" ; "Privacidad"; cláusula de exención de responsabilidades" y "límites de responsabilidad".

Fuente: Poder Judicial