Esta Norma establece los requisitos para asegurar una adecuada gestión de la privacidad de la Información Personal Identificable a través de la implantación de un SGPI, alcanzando con él un nivel superior en las dimensiones de seguridad, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de información que manejan este tipo de información. No olvidemos que, según lo establecido en el artículo 4. 1 del RGPD, son datos personales toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador.

Principalmente, será determinante en cuanto al cumplimiento del principio de responsabilidad proactiva del RGPD, que requiere, en general, la gestión continua del cumplimiento normativo ,y en particular, de los riesgos que el tratamiento de la Información Personal Identificable supone para los derechos y libertades de sus interesados y amplía los controles recogidos en las dos citadas Normas, adaptándolos y mejorándolos para afianzar la seguridad de la Información Personal Identificable, operados dentro de los sistemas de información de las entidades. Igualmente, se añaden nuevos requisitos, diferenciados entre aquellos destinados a la gestión del dato por parte de los responsables del tratamiento; y por parte de encargados del tratamiento y subencargados del tratamiento.

Los principios rectores son fundamentalmente los derivados del artículo 43 de la Constitución Española, que reconoce a todas las personas el derecho a la protección de la salud y de sus

normas de desarrollo, siendo las más relevantes la Ley 14/1986, General de Sanidad, Ley 16/2003 de cohesión y calidad del SNS y la Ley 33/2011, General de Salud Pública.

Los objetivos estratégicos están directamente vinculados con los retos identificados para el SNS y se articulan en cuatro componentes: las personas, los procesos, los datos y la innovación en las

ciencias de la salud. Estos cuatro componentes deben reforzarse entre sí, incrementando la eficiencia del sistema en su conjunto.

Las líneas estratégicas tienen un carácter transversal y deben reforzarse mutuamente dentro de los proyectos concretos en los que se desagreguen los objetivos:

1. Desarrollo de Servicios Públicos Digitales en el sector salud.

2. Impulso de la interoperabilidad de la información sanitaria, en el ámbito nacional e internacional, al servicio tanto de la vigilancia en salud como de las intervenciones sanitarias de cualquier naturaleza facilitando la toma de decisiones por las autoridades, gestores y profesionales sanitarios.

3. Extensión y refuerzo de la analítica de datos y de la explotación de información para la “inteligencia de negocio” del SNS.

Este Plan tiene como objetivo modernizar y reforzar la ITSS, convirtiéndola en un elemento esencial del Estado social para contribuir a superar la situación económica provocada por la pandemia durante los próximos tres años. Las principales actuaciones serán las relativas al control y revisión de los ERTE, teletrabajo, falsos autónomos, empleadas del hogar, discriminación por razón de sexo y brecha salarial, medidas de protección frente al Covid-19 en las empresas y control de la contratación temporal y a tiempo a parcial.

A finales de noviembre, los 193 Estados miembros de la UNESCO aprobaron un acuerdo que pasará a la historia por ser la primer Norma a nivel mundial que sienta las bases sobre la ética de la inteligencia artificial.

Este texto pionero, plasma los pilares para la infraestructura jurídica del futuro y el desarrollo seguro de la Inteligencia Artificial (IA). Los Estados Miembros de la UNESCO adoptan el primer acuerdo mundial sobre la ética de la inteligencia artificial.

El contenido de esta Norma establece principios fundamentales, tales como:

• Proporcionalidad e inocuidad. Las tecnologías de la IA no garantizan necesariamente, por sí mismas, la prosperidad de los seres humanos. En particular, los sistemas de IA no deberían utilizarse con fines de calificación social o vigilancia masiva.

• Seguridad y protección. Se propiciarán el desarrollo de marcos de acceso a los datos que sean sostenibles, respeten la privacidad y fomenten un mejor entrenamiento y validación de los modelos de IA que utilicen datos de calidad.

• Equidad y no discriminación. Los actores de la IA deberían promover la justicia social, la salvaguardar la equidad y la lucha contra todo tipo de discriminación.

• Sostenibilidad. La llegada de las tecnologías de la IA puede beneficiar los objetivos de sostenibilidad, pero se debe realizar una evaluación continua de los efectos humanos.

• Derecho a la intimidad y protección de datos. Estos derechos deben ser respetados, protegidos y promovidos a lo largo del ciclo de vida de los sistemas de IA.

• Supervisión y decisión humanas. Un sistema de IA nunca podrá reemplazar la responsabilidad final de los seres humanos y su obligación de rendir cuentas.

• Gobernanza y colaboración adaptativas y de múltiples partes interesadas. La participación de las diferentes partes interesadas a lo largo del ciclo de vida de los sistemas de IA es necesaria para garantizar enfoques inclusivos de la gobernanza de la misma.

Estos principios sientan las bases a tener en cuenta en los distintos ámbitos de actuación, tales como, como la política, el medio ambiente, el gobierno de los datos o la educación.

La IA se encuentra cada día más impregnada en todos los campos de la sociedad y el sector sanitario no es ninguna excepción. De hecho, el impacto de los avances en IA ya están comenzando a dejarse notar en tecnologías como escáneres de detección temprana y modelos de predicción hasta la monitorización de pacientes con diagnósticos poco comunes. Cabe resaltar la importancia de la protección jurídica en el tratamiento de los datos sensibles, como los datos de salud. Atendiendo a esta necesidad de protección, ya se pronunció, en el mes de Junio la Organización Mundial de la Salud (OMS) quien publicó el primer informe mundial sobre inteligencia artificial (IA) aplicada a la salud y los seis principios rectores relativos a su concepción y utilización. La OMS publica el primer informe mundial sobre inteligencia artificial (IA) aplicada a la salud y seis principios rectores relativos a su concepción y utilización (who.int)

Es indudable que la IA ya se encuentra omnipresente en nuestro día a día con tecnología tan habitual como los asistentes de voz.

Por ello, ante este panorama tecnológico, la Unión Europa se encuentra trabajando bajo el paraguas del plan de estrategia digital denominado “Shaping Europe"s Digital Future,” habiendo presentado el 21 de abril su Propuesta de Reglamento sobre Inteligencia Artificial (“Propuesta de Reglamento IA”) EUR-Lex - 52021PC0206 - EN - EUR-Lex (europa.eu) para crear el marco normativo de esta tecnología que avanza a pasos agigantados.

Es evidente que la IA debe continuar creciendo, pero debe ir acompañada de la creación de una normativa sólida por parte de los Estados, dado los dilemas éticos que puede conllevar esta nueva tecnología, como afirmó de la Directora General de la UNESCO Audrey Azoulay: “El mundo necesita reglas para que la inteligencia artificial beneficie a la humanidad.”

Artículo de Carolina Sanabrias.

Con el objetivo de proteger a las personas que alerten de conductas ilícitas e irregulares, el 16 de diciembre de 2019 entró en vigor la Directiva Europea del Parlamento Europeo y del Consejo de 23 de octubre de 2019 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión - Directiva 2019/1937-. Una de las principales obligaciones que establece esta Directiva es la creación de canales de denuncia internos.

¿Objetivos de la Directiva?

• Detectar y prevenir conductas ilícitas e irregulares en una fase temprana.

• Contribuir al funcionamiento y mejora de los procesos y políticas internas de la empresa mediante el establecimiento de canales de denuncias eficaces, confidenciales y seguros.

• Proteger a los denunciantes de posibles represalias.

¿Sujetos obligados?

Se encuentran obligados a establecer canales de denuncias internos:

• Las entidades jurídicas del sector privado que tengan más de 50 trabajadores.

• Las entidades jurídicas privadas de menos de 50 trabajadores, cuando estas empresas se encuentren vinculadas con los servicios productos y mercados financieros o sean sujetos obligados por cuestiones de prevención del blanqueo de capitales y financiación del terrorismo.

• Todas las entidades jurídicas del sector público entre las que se encuentran los municipios de más de 10.000 habitantes o que cuenten con más de 50 trabajadores.

El hecho de la obligación de implantar un canal de denuncias interno no exime de que este tenga que cumplir con la normativa vigente en materia de protección de datos de carácter personal, pues no debemos olvidar que conlleva el tratamiento de datos, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), en su artículo 24, aborda los puntos que se deben tener en cuenta para la regulación del canal de denuncias.

El tratamiento de datos personales a través de estos sistemas tiene que fundamentar su licitud en una de las siguientes bases legales del artículo 6 del RGPD:

1) Para el sector privado. Artículo 6.1.c) del RGPD: El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el artículo 6.1.f) del RGPD: el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento.

2) Para el sector público. Artículo 6.1.c) del RGPD: El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o el artículo 6.1.e) del RGPD: el tratamiento es necesario para el cumplimiento de una misión realizada en interés público.

Se deberá proceder a la actualización del registro de actividades de tratamiento, incluyendo toda la información necesaria (artículo 30 del RGPD), ya que implica una recogida y tratamiento de datos de carácter personal que podrían ser de especial sensibilidad. Posteriormente, se tendrá que realizar un análisis de riesgos que nos permita determinar las posibles amenazas, definir el nivel de riesgos de las mismas y especificar los protocolos para prevenir y gestionar dichos riesgos.

Se deberá comunicar a empleados y terceros sobre la implantación del canal de denuncias explicando su funcionamiento. Además, se tendrá que facilitar la información del tratamiento de datos que conlleva la formulación de una denuncia (artículos 13 y 14 del RGPD y 11 de la LOPDGDD) tanto a los denunciantes como los potenciales denunciados. Está información se tendrá que facilitar al denunciado cuando haya transcurrido un tiempo prudencial en el que se haya podido realizar la investigación preliminar de los hechos, permitiéndole defender debidamente sus intereses, sin que ello implique revelar la identidad del denunciante.

Del mismo modo, la información obtenida a través del canal de denuncias debe respetar en todo momento el principio de proporcionalidad y limitación de la finalidad, no pudiendo utilizar la información recabada por este medio para fines que no sean la detección y prevención de conductas ilícitas e irregulares en el seno de la Organización.

Se deben adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad, respecto este punto es importante señalar que la LOPDGDD permite la creación de sistemas de denuncias anónimas. En los supuestos de que la denuncia no sea anónima, se debe garantizar la privacidad e impedir la identificación del denunciado, para ello se deben adoptar las medidas necesarias que impidan cualquier acceso no autorizado, se debe limitar los accesos permitiendo que únicamente pueda tratar la información el órgano designado por la Organización para gestionar la instrucción de la denuncia.

Por último, la Organización deberá fijar el plazo de conservación, según lo establecido en el artículo 5.1.e. del RGPD, de la denuncia, limitándose al tiempo necesario para la investigación de los hechos y, como máximo, a la tramitación de los procedimientos judiciales que pudiesen derivarse de la misma. En todo caso, los datos deben suprimirse transcurridos tres meses desde su introducción en el sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la Organización. Respecto este punto, es importante tener en cuenta la respuesta que la Agencia Española de Protección da a la consulta formulada por la Asociación Española de Compliance (ASCOM) en la que aclara que deberá procederse a su supresión del concreto sistema de información de denuncias internas, pasando a integrarse en los sistemas propios del órgano de cumplimiento o, en su caso, del que tenga a su cargo la gestión de recursos humanos.

Artículo de Fernando Aguado.

El Tribunal Supremo recientemente ha dictado una sentencia en unificación de doctrina en el que establece que si el pacto de no competencia no incluye una compensación económica adecuada, el pacto no es válido (sentencia del Tribunal Supremo de 18 de octubre de 2021).

El pacto de no competencia postcontractual es un acuerdo entre el empresario y el trabajador que limita el derecho al trabajo y a la libre elección de profesión regulado en el artículo 35 de la Constitución Española, por lo que dicha limitación tiene que cumplir una serie de requisitos establecidos en la ley. En concreto el artículo 21.2 del Estatuto de los trabajadores nos dice que dicho pacto una vez finaliza la relación laboral, no podrá tener una duración superior a 2 años para técnicos y 6 meses para el resto de trabajadores, y su validez se encuentra supeditada a :

a) Que el empresario tenga un efectivo interés industrial o comercial en ello.

b) Que se satisfaga al trabajador una compensación económica adecuada.

La falta de una contraprestación económica en este tipo de pacto determina que el acuerdo sea nulo, no teniendo efecto alguno.

En el presente caso, la cláusula de no competencia, sobre la que ha decidido el Tribunal Supremo, establecía que el trabajador estaba obligado a no realizar ninguna actividad propia del sector de los implantes dentales durante la vigencia de su contrato y en los 2 años posteriores a su extinción. A cambio de esta renuncia el empleado recibía un "plus de no competencia" por importe de 35 euros mensuales. Y en caso de incumplimiento, tendría que indemnizar a la empresa con el importe equivalente a la suma de los salarios percibidos en los seis meses anteriores a la fecha de la extinción del contrato.

El Tribunal Supremo estima el recurso de casación interpuesto por la defensa del trabajador y determina que la compensación económica abonada al trabajador no es adecuada y, por lo tanto, el pacto no es válido. Para ello el Alto Tribunal ha tenido en cuenta 3 factores:

1) La duración del pacto de no competencia: En este caso se acordó por el periodo máximo que permite la ley de 2 años, lo que “limita seriamente sus expectativas profesionales”.

2) La compensación económica que se abona al trabajador, en este caso percibía 35 euros mensuales, que representa el 1,76% de sus salario mensual, respecto un salario de 1.985 euros mensuales con inclusión de la prorrata de pagas extras.

3) Y finalmente el importe de la indemnización que ha de abonar el trabajador a la empresa en caso de incumplimiento. En este caso, el trabajador debía pagar a la empresa una indemnización equivalente a la suma de los últimos seis meses de salario.

A pesar del acuerdo que tenían firmado, el Tribunal Supremo concluye que el pacto no es válido, porque entiende que es desproporcionado entre la compensación económica que recibe el trabajador frente a la que ha de abonar el trabajador a la empresa en caso de incumplimiento. Por último, el Supremo precisa que tampoco procede que el empleado devuelva a la empresa las cantidades percibidas mensualmente como compensación porque nada se pactó al respecto en el acuerdo de no competencia firmado entre las partes, de ahí la importancia de cuando se redacta este tipo de acuerdos prever todas las circunstancias posibles.

Artículo de José Luis de Vicente.