JM Consultores SLU

JM Consultores SLU LOPDGDD + ISO27701 + ENS
Programación sistemas llave en mano.

23/10/2025

El Delegado de Protección de Datos (DPO): mucho más que una obligación legal

En un entorno donde los datos personales son el nuevo activo estratégico, el DPO se convierte en una figura esencial para garantizar la confianza, la transparencia y la seguridad jurídica.

¿Su función?

Asesorar, supervisar y conectar la organización con la AEPD y los interesados, asegurando que cada tratamiento de datos cumpla con el RGPD desde el diseño y por defecto.

Consultora de protección de datos, LSSI, adecuaciones webs,
comercio electrónico, Canal de denuncias,
Delegado de Protección de Datos (DPD), formaciones, ENS e ISO27701

22/10/2025

Interesante sentencia del TS que marca un hito jurisprudencial en España en materia de transparencia algorítmica.

➡️ Acepta que el derecho de acceso a la información pública puede exigir el acceso al código fuente cuando el sistema automatizado tenga efectos en derechos individuales.

➡️ Introduce la idea de que no basta con entregar documentación técnica o especificaciones, si el acceso al funcionamiento interno del algoritmo es esencial para verificar su conformidad con la normativa.

➡️ Reconoce que los límites al acceso (como la propiedad intelectual, la seguridad o la protección de datos) deben ser ponderados con el interés público, la función social de la herramienta y la necesidad de control externo independiente.

➡️Se rechaza el argumento de la "seguridad por la oscuridad", es decir, que ocultar el código fuente sirva por sí mismo como medida de protección.

➡️ Establece que el derecho de acceso a la información pública es un derecho constitucional ejercitable frente a la Administración, más allá de su función como principio rector de actuación administrativa.

➡️Implica que la Administración deberá adoptar medidas para facilitar ese acceso con garantías (por ejemplo, condiciones de confidencialidad, limitaciones de difusión, compromisos de uso) para mitigar los riesgos derivados de la apertura del código fuente.

Consultora de protección de datos, LSSI, adecuaciones webs,
comercio electrónico, Canal de denuncias,
Delegado de Protección de Datos (DPD), formaciones, ENS e ISO27701

21/10/2025

¿Sabes que este proyecto de ley pretende modificar la LSSI para adaptarla al Reglamento de Servicios digitales (DSA)?. También otorga competencias para la Agencia Española de Protección de Datos - AEPD.

🔹 1. Competencias de supervisión

👉 La Agencia Española de Protección de Datos - AEPD se encarga del cumplimiento en materia de publicidad prohibida: anuncios basados en categorías especiales de datos (art. 9 RGPD) y los anuncios personalizados dirigidos a menores.
👉 La CNMC (Comisión Nacional de los Mercados y la Competencia) se designa como Coordinador de Servicios Digitales → supervisa la mayoría de las obligaciones del DSA (con facultades de investigación, inspección y sanción).

🔹 2. Órdenes de actuación y entrega de información

👉 Los órganos competentes (administrativos o judiciales) podrán dictar órdenes de retirada de contenidos ilícitos o interrupción de servicios.
👉 Se regula cómo deben colaborar los intermediarios en la entrega de datos de identificación de usuarios (con autorización judicial previa en algunos casos).
👉 Se establece un procedimiento intracomunitario de cooperación cuando la orden se dirija a prestadores establecidos en otro Estado miembro

🔹 3. Nuevos deberes para prestadores

👉 Los proveedores de acceso a Internet deberán informar permanentemente a los clientes sobre medidas de seguridad (antivirus, antispam, filtros, etc.).
👉 Los prestadores que ofrezcan redes sociales o servicios equivalentes deberán facilitar a los usuarios la portabilidad de sus contenidos en formato estructurado y, si es posible, transferirlos directamente a otro proveedor.

🔹 4. Régimen Sancionador

👉 Nuevas infracciones graves y muy graves vinculadas al DSA (ej. incumplir deberes de diligencia, ignorar órdenes de retirada, no colaborar en investigaciones, incumplir obligaciones de transparencia).
Multas:
Infracciones muy graves → hasta 6 % del volumen de negocio mundial.
Infracciones graves → hasta 4 %.
Infracciones leves → hasta 2 %.
Se prevé la terminación del procedimiento si el infractor adopta medidas correctoras o asume compromisos vinculantes

20/10/2025

¿Estás listo para la transición a ISO/IEC 27001:2022?

🔍 Desde la publicación de la ISO/IEC 27001:2022, se han incorporados cambios importantes dentro del sistema de gestión de seguridad de la información como la reducción de controles en el Anexo A de 114 a 93, nuevos controles (por ejemplo: inteligencia de amenazas, uso seguro de servicios en la nube, enmascarado de datos, prevención de fuga de datos, etc) y mejoras en cláusulas de soporte, planificación, evaluación del desempeño y mejora continua.

🗓️ Fecha clave: 31 de octubre de 2025. A partir de esa fecha, los certificados basados en la versión 2013 dejarán de ser válidos.

✅ Si tu empresa tiene certificación bajo la versión antigua, es fundamental realizar la transición: actualización el SoA, adaptación controles nuevos, ampliación del análisis de riesgos, mejoras del contexto y partes interesadas, segregación de roles, etc.

Consultora de protección de datos, LSSI, adecuaciones webs,
comercio electrónico, Canal de denuncias,
Delegado de Protección de Datos (DPD), formaciones, e

17/10/2025

JM Consultores SLU es tu socio estratégico, si buscas una solución llave en mano para garantizar el cumplimiento del RGPD y la LOPDGDD,:
🔹 Delegado de Protección de Datos externo (DPD)
🔹 Auditoría inicial + Plan de adecuación
🔹 Redacción integral de documentos legales
🔹 Formación y sensibilización del personal
🔹 Asistencia técnica ante brechas o inspecciones
Con nuestra entidad demuestras cumplimiento, reduces riesgos y generas confianza institucional.
Contacta con nosotros : [email protected]

16/10/2025

La AEPD sanciona a una empresa por enviar email a la cuenta personal cuando dispone de correo corporativo.

DOBLE Infracción art 6.1 y 5.1 f RGPD Falta de legitimación para usar su correo personal (900€) y de confidencialidad, ya que los enviaban en copia visible a otras personas (500€)

RECLAMANTE SOLICITO CESE DEL USO DE SU EMAIL PERSONAL

🚨 Informa a la Agencia que había sido incluido en el correo corporativo de la empresa al objeto de recibir comunicaciones internas de trabajo, a pesar de disponer de un correo profesional

❌ El tratamiento fue realizado sin recabar el consentimiento del reclamante y sin que haya quedado acreditada ninguna otra base de legitimación de las previstas en el art. 6 RGPD

EN DEFINITIVA:
Hubo una comunicación no autorizada de datos personales del reclamante (correo electrónico personal), al usarlo para el envío de comunicaciones con asuntos laborales dirigidas a varios destinatarios, con las direcciones visibles para todos ellos

AEPD LE PIDE QUE APORTE MEDIDAS CORRECTIVAS NECESARIAS:
1. Que acredite la revisión de la gestión de listas de correos para reflejar medidas más estrictas de control de envíos y de detección y gestión de errores en todas las fases del ciclo de vida del mismo

2. También evitar el uso de direcciones de correo electrónico personales sin el consentimiento de sus titulares

Finalmente paga de manera voluntaria para acogerse a la doble reducción del 40%

Consultora de protección de datos, LSSI, adecuaciones webs,
comercio electrónico, Canal de denuncias,
Delegado de Protección de Datos (DPD), formaciones, e

15/10/2025

En un entorno digital cada vez más exigente, la seguridad de la información no puede dejarse al azar.

El Esquema Nacional de Seguridad (ENS) establece el marco de referencia para garantizar la confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad de la información en el sector público y en las empresas que trabajan con él.

En JM Consultores SLU nos hemos preparado para ayudarte a comprender sus fases, requisitos y ventajas estratégicas.

Consultora de protección de datos, LSSI, adecuaciones webs,
comercio electrónico, Canal de denuncias,
Delegado de Protección de Datos (DPD), formaciones, e

14/10/2025

Multa de 42.000 € por incluir a una empleada en un grupo de WhatsApp laboral sin su consentimiento
La AEPD sancionó recientemente a LVMH Iberia por añadir a una empleada a un grupo de WhatsApp de trabajo sin su permiso.

¿En qué consistió la sanción?
La empleada tuvo que usar su teléfono personal para temas laborales.
Fue agregada a un grupo de trabajo durante sus vacaciones, sin aviso previo.
La sanción inicial de 70.000 € se redujo a 42.000 € tras asumir la responsabilidad la empresa.

✅ Otros detalles:
El consentimiento explícito es indispensable para cualquier comunicación laboral en canales personales.
Proporcionar teléfonos de trabajo ayuda a separar lo personal de lo profesional y proteger la privacidad.
Plataformas corporativas como Teams, Slack o correo institucional son alternativas más seguras que WhatsApp.

Los empleados pueden rechazar participar en grupos no obligatorios y acudir a la autoridad de protección de datos si su privacidad se ve comprometida.

13/10/2025

LA EVALUACIÓN DEL RIESGO DE REIDENTIFICACIÓN DE UN DATASET.

El responsable debe evaluar el riesgo de reidentificación de un dataset antes de compartirlo (ya sea anonimizado o seudonimizado). Y sí, documentarlo.

La gran pregunta: ¿cómo? Pues evaluando:

- si la información es fácilmente identificable con los medios fácilmente disponibles,

- si existen técnicas que permitan la identificación de la información por parte de cualquier persona que obtenga acceso a ella,

- si hay información adicional que permita la identificación,

- la medida en que una persona puede utilizar la información o las técnicas adicionales para identificar a las personas a las que se refiere la información original.

Ello teniendo en cuenta factores como el coste, el tiempo, el estado de la técnica, el tipo de comunicación que se realice (pública o más limitada) y las posibilidades legales de reidentificar.

Esto, claro, variará en función de quien tenga la información, lo cual también debe analizarse.

Todo ello debe: estar documentado, justificado y ser revaluado.

La (ICO), además, nos habla del test del “motivated intruder” para evaluar el riesgo de reidentificación, esto es: considerar todos los pasos y medios que "razonablemente" es probable que sea utilizado por alguien motivado para identificar a personas supuestamente no identificables.

09/10/2025

Sanción por enviar usuario y contraseña por email sin medidas de seguridad

La AEPD ha sancionado a una empresa por enviar credenciales de acceso (usuario y contraseña) a través de correo electrónico sin las medidas de seguridad adecuadas, vulnerando el artículo 32 del RGPD. Este caso evidencia la importancia de revisar los sistemas de registro online y evitar prácticas que pongan en riesgo la confidencialidad de los datos personales.

Una persona denunció que, al registrarse en la web de una librería online, recibió un correo automático con su dirección de email y la contraseña elegida. La AEPD verificó que el proceso de alta generaba este mensaje sin protección adicional y que la práctica se mantuvo hasta la apertura del procedimiento sancionador.

El reclamado alegó que las contraseñas estaban cifradas en sus servidores, que el email se enviaba solo al usuario y que desde junio de 2023 se había eliminado esta función. También defendió que utilizaba doble autenticación con un “código de centro” y que no trataba datos especialmente sensibles.

La AEPD recordó que el artículo 32 del RGPD exige medidas técnicas y organizativas adecuadas al riesgo, y que el correo electrónico, especialmente sin cifrado TLS, es un medio vulnerable. Enviar usuario y contraseña en un mismo mensaje supone:

🌩️ Riesgo de interceptación durante la transmisión.
🌩️ Posible almacenamiento sin protección en la bandeja de entrada del usuario.
🌩️ Mayor probabilidad de accesos no autorizados y suplantación de identidad.

La AEPD ha rechazado todas las alegaciones del reclamado, argumentando que:

✨ La existencia de políticas de seguridad no sustituye la implementación de medidas concretas contra riesgos identificados.
✨ La doble autenticación no era efectiva al carecer de control en la distribución del código.
✨ El cese posterior de la práctica no elimina la infracción cometida.
✨ No se requiere un daño material efectivo para sancionar; basta el riesgo potencial.

Este caso deja lecciones claras para responsables y encargados de tratamiento:

🎖️ Nunca enviar usuario y contraseña juntos por email.
🎖️ Usar enlaces temporales para que el usuario establezca su contraseña.
🎖️ Implementar cifrado TLS y medidas de seguridad extremo a extremo en la transmisión de datos.
🎖️ Revisar periódicamente los procesos de alta y acceso a plataformas online.

08/10/2025

La Agencia Estatal de Administración Digital y el Centro Criptológico Nacional CCN presentan en la Unión Europea la alineación del Esquema Nacional de Seguridad ENS con la Directiva NIS2.

La presentación tuvo lugar en la última convocatoria del Grupo de Cooperación de la Directiva NIS2, foro europeo clave para definir directrices comunes que garanticen una aplicación eficaz y coherente de la normativa en los Estados miembros.

🌍 En ella, se destacó el papel del ENS en el fortalecimiento del ecosistema digital nacional y su potencial como modelo a seguir en el ámbito europeo.

🌐 Este paso reafirma el compromiso de España con el fortalecimiento de la ciberseguridad europea y con la construcción de un alto nivel de protección para las redes y sistemas de información.

Dirección

Calle CONCEJO DE COLUNGA
Gijón
33204

Teléfono

+34661323106

Página web

Notificaciones

Sé el primero en enterarse y déjanos enviarle un correo electrónico cuando JM Consultores SLU publique noticias y promociones. Su dirección de correo electrónico no se utilizará para ningún otro fin, y puede darse de baja en cualquier momento.

Contacto La Empresa

Enviar un mensaje a JM Consultores SLU:

Atajos

Compartir

Categoría