ES • EN • EUS • FR
Protección de datos – Seguridad de la Información

 

Propiedad Intelectual e Industrial

 

Compliance
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

________________________________________________________________________________________________________________

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el control de jornada de trabajadores.Nuevos pronunciamientos de diferentes autoridades de protección de datos.

Nos hacemos eco de nuevos pronunciamientos de autoridades de protección de datos sobre uso de soluciones de biometría para el control de jornada, en este caso, de los dictámenes del Consejo de Transparencia y Protección de Datos de Andalucía, y de la Autoridad Catalana de Protección de Datos, ambos del 28 de julio de 2023. A destacar de ambos pronunciamientos la gran seguridad jurídica que otorgan en cuanto que se establecen claramente los requisitos que hay que cumplir en estas situaciones. 

Consideran los dictámenes que, dado que se tratan datos biométricos para la identificación, será necesario en primera instancia acudir a los convenios colectivos (en caso de personal laboral) o a los acuerdos con el personal funcionario, en el marco de la negociación colectiva, para analizar si es posible llevar a cabo este tratamiento. En defecto de convenio o pacto, se podrán emplear estos sistemas cuando concurra el consentimiento explícito del interesado. En tal caso, deberá disponerse de una alternativa de libre elección para cumplir el control del horario. También deberá cumplirse con el resto de principios y obligaciones, destacando el principio de minimización del art. 5.1.c) del RGPD.  

En todo caso, es importante recordar la necesidad de realizar una evaluación de impacto previo al tratamiento de los datos que analice y documente todas estas cuestiones, en cuanto que de lo contrario, la organización se expone a una sanción y a la paralización del tratamiento hasta cumplir con las obligaciones (sin ir más lejos, este ha sido el caso de la Diputación de Cuenca, ya que  la Agencia Española de Protección de Datos, en una resolución la ha sancionado a por utilizar lectores de huellas para controlar los horarios sin otorgar información a los trabajadores sobre el tratamiento de sus datos, y sin realizar la Evaluación de Impacto correspondiente). 

 

Volver al índice

 

La AEPD prohíbe a la Mancomunidad de la Comarca de Pamplona recopilar datos de apertura de contenedores vinculados a domicilios. 

La AEPD ha publicado una resolución, en agosto de 2023, mediante la cual ha establecido que la Mancomunidad de la Comarca de Pamplona carece de legitimación para recoger el número de veces que un domicilio abre la tapa de los contenedores orgánicos o de resto, mediante el sistema de tarjeta de apertura vinculada a los domicilios.  

Dichos contenedores seguirán abriéndose mediante el sistema de tarjetas, pero la información que se obtenga será encriptada para no poder utilizarse, tal y como ha señalado el presidente de la MCP en una rueda de prensa. 

 

Volver al índice

 

Sanciones a dos importantes organizaciones por incumplimientos en materia de Cookies. 

 La AEPD ha emitido dos resoluciones este mes de agosto contra dos empresas de ámbito nacional. En la primera resolución, la sanción se ha fundamentado en que, en el panel de control sobre cookies, si se seleccionaba el botón de “rechazar todas”, la web seguía utilizando cookies de terceros de Google, sin consentimiento del usuario. En el caso de la segunda resolución, la sanción viene fundada en la falta de inclusión en el banner, de un acceso al panel de control que permitiera revocar el consentimiento, o rechazar las cookies aceptadas previamente.  

 R. 23 de agosto: https://www.aepd.es/es/documento/ps-00132-2023.pdf

R. 25 de agosto: https://www.aepd.es/es/documento/ps-00051-2023.pdf

 

Volver al índice

 

Conservación de documentación de identidad tras verificación de identidad. La Comisión de Protección de Datos de Irlanda sanciona a AirBNB 

El pasado 21 de junio de 2023, la Comisión de Protección de Datos de Irlanda emitió una resolución mediante la cual se estableció que la retención por parte de una empresa de una copia del documento de identidad de un usuario, tras la finalización del proceso de verificación de identidad, infringía los principios de minimización de datos y de limitación del plazo de conservación del Reglamento General de Protección de Datos. Por ello, se ha amonestado a la compañía, ordenándole tomar medidas para remediar las infracciones producidas, así como para prevenir infracciones futuras, incluyendo, entre estas medidas, la revisión de políticas internas relacionadas con la verificación del usuario. 

 

Volver al índice

 

“Fraude del CEO”: ¿Es el trabajador responsable de las cantidades defraudadas? Tribunal de Cuentas exige 4 millones de euros en el caso de la estafa a la EMT de Valencia.      

La sección de Enjuiciamiento del Tribunal de Cuentas ha rechazado el recurso de apelación presentado por una extrabajadora de la Empresa Municipal de Transportes de Valencia, condenándola como responsable de un fraude ocurrido en septiembre de 2019. El modus operandi de los estafadores consistió en suplantar la identidad de un abogado de un reconocido despacho, así como del presidente de la EMT, solicitando a la empleada una serie de pagos, habiéndole hecho firmar previamente una supuesta carta de confidencialidad.  

El Tribunal de Cuentas afirma en la resolución que la empleada actuó de manera gravemente negligente y que «asumió funciones que correspondían a otros cargos directivos de la sociedad sin tener atribuidas las competencias«, causando un grave perjuicio a la entidad. No obstante, los responsables de la estafa no han sido encontrados, y el procedimiento penal se mantiene detenido. 

A resaltar la existencia de un voto particular que solicita la absolución de la trabajadora, lo que ha servido para recurrir ante el Tribunal Supremo. Estando actualmente el caso en manos del Supremo, la defensa ha argumentado que la empleada fue engañada, que no actuó de forma dolosa, y que los responsables del fraude serían únicamente los estafadores, y la entidad financiera que permitió los pagos. 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Quién puede comercializar la icónica botella verde de sidra de Asturias?

El pasado 19 de julio de 2023, el Tribunal Supremo emitió una sentencia por la que se declaró la validez del registro de una marca tridimensional, constituida por la popular forma de la botella de sidra, conocida como botella “molde de hierro. La sentencia, que da la razón a la Asociación de Sidra Asturiana, afirma que la botella posee un conjunto de características que no son atribuibles a la búsqueda de un resultado técnico en la botella, sino que otorgan una apariencia particular, y que permiten que el comprador la asocie a la “Sidra Natural Asturiana, lo que implica que solo podrá utilizarse para envasar sidra natural elaborada en Asturias. 

 

Volver al índice

 

Nueva sentencia en EE.UU. sobre los derechos de autor de las obras generadas por IA. 

La Jueza Beryl Howell del Tribunal Federal de Washington ha confirmado la postura mantenida por la Oficina de Derechos de Autor de EE.UU., de que las obras generadas por IA no pueden estar protegidas por los derechos de autor. Lo novedoso de la sentencia es que pone de relieve la importancia de la autoría humana en una obra, afirmando que se trata de un “Requisito fundamental” para poder obtener la protección que le otorgan los derechos de Propiedad Intelectual, inclusive cuando el solicitante sea el titular de la solución de IA utilizada para la generación del activo que se quiere registrar como obra. 

 

Volver al índice

 

COMPLIANCE

El Tribunal Supremo desestima el recurso de la Agencia Valenciana Antifraude contra la anulación de un estatuto de denunciante protegido.

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha desestimado el recurso interpuesto por la Agencia Valenciana Antifraude, frente a una sentencia del Tribunal Superior de Justicia de Valencia. Dicha sentencia anulaba el estatuto de denunciante protegido al jefe de urbanismo del Ayuntamiento de Los Montesinos, protección que había sido otorgada por la Agencia en base a una denuncia interpuesta ante un Juzgado de Torrevieja, donde revelaba determinados hechos presuntamente delictivos, en materia urbanística.  

La sentencia establecía que Agencia Anticorrupción solo podía conceder dicho estatuto cuando la denuncia se realizaba frente a la propia agencia, en aplicación de la Ley 11/2016 de la Comunidad Valenciana, de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción. Por su parte, el Tribunal Supremo señala que no puede revisar en casación la interpretación de normativa autonómica realizada por un Tribunal Superior de Justicia, salvo que se trate de una infracción de normativa Estatal o europea. Si bien existe al respecto la Directiva de la UE 2019/1937, de 23 de octubre “Whistleblowing, dicha Directiva no era directamente aplicable debido a que, en el momento de los hechos, no había sido traspuesta todavía al derecho nacional.    

 

Volver al índice

 

 

Responsabilidad penal de la empresa: criterio sobre el beneficio y el debido control. 

Debido a su relevancia en la aplicación de sistemas de Corporate Compliance, destacamos a continuación extracto de la Sentencia 10/2023 de la Audiencia Nacional de 29 de mayo de este año 2023, por la que se analiza el criterio de la audiencia del debido control y el beneficio de la persona jurídica. 

Como es sabido, para que pueda apreciarse la responsabilidad penal de la empresa se deben cumplir los siguientes requisitos:  la comisión de un delito en el seno la persona jurídica por su personal, que el delito se haya producido en beneficio (directo o indirecto) de la empresa y la falta de medidas de control.  A este respecto, la sentencia establece que las personas jurídicas no deben establecer controles sobre todos y cada uno de sus procesos, sino sobre aquellos de los que pueda obtener un beneficio o ventaja por la falta de aplicación de medidas de supervisión. Así, el pronunciamiento judicial dicta lo siguiente: “la organización no puede controlar cualquier acontecimiento que tenga lugar en el desarrollo de su actividad, entendiéndose como un razonable límite exigir únicamente que lo haga con respecto a las conductas que le son estructuralmente beneficiosas quedando excluidas las que ningún beneficio podrían reportarle. Desde otras perspectivas, se ha venido entendiendo que la empresa tenderá a relajar sus controles con relación, precisamente, a aquellos comportamientos que pudieran reportarle beneficios, siendo precisamente ahí donde dichas prevenciones resultarán más necesarias”. Por otro lado, el pronunciamiento no precisa que la persona jurídica obtenga finalmente un beneficio, sino que será suficiente que la corporación rebaje sus controles ante la expectativa de una ventaja o beneficio con independencia de que este llegue a producirse.

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

Aprobado el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial, que se adscribirá al Ministerio de Asuntos Económicos y Transformación Digital, convirtiendo a España en el primer país europeo en tener un órgano de estas características.  

 

Volver al índice

 

Aprobada la norma ISO/TS 37008:2023 para las investigaciones internas de las organizaciones. 

El pasado 28 de julio, se aprobó la ISO/TS 37008:2023, que ofrece orientación sobre las investigaciones internas dentro de las organizaciones, y que será aplicable a todas las entidades, independientemente de su tipo, tamaño, ubicación, estructura o propósito.

 

Volver al índice

 

Suscríbete a nuestra newsletter

He leído y acepto la Política de Privacidad
X