Protección de datos – Seguridad de la Información
-
Biometría y protección de datos. Últimas novedades nacionales e internacionales.
-
El Modelo de “Consent or Pay” deberá ofrecer una alternativa real.
-
Las brechas de seguridad, errores que pueden costar muy caros.
-
La comunicación oral se considera tratamiento de datos personales.
Cumplimiento normativo
Propiedad Intelectual e Industrial
Normativa al día
-
La ONU aprueba la primera resolución global para regular la Inteligencia Artificial.
-
Actualización de la regulación del Registro Central de Delincuentes Sexuales.
PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN
Biometría y protección de datos. Últimas novedades nacionales e internacionales
Desde la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos por la Agencia Española de protección de datos (AEPD) cualquier resolución, guía o recomendación que trate sobre biometría suscita un gran interés A continuación recogemos algunas novedades sobre la cuestión:
-
- En el plano internacional, destacar que CNIL, la autoridad de protección de datos de Francia, ha abierto una consulta sobre la autenticación multifactor hasta el próximo 31 de mayo que hace una referencia concreta a las soluciones de identificación basadas en tecnologías biométricas. Por lo que se indica en el citado documento, en el contexto de la consulta se puede utilizar una solución basada en biometría con el objetivo de identificar a un sujeto siempre que se ofrezca una alternativa, lo que deja como válido el consentimiento para levantar la excepción del artículo 9 que tantos quebraderos de cabeza está trayendo en nuestro país. Esto parece alinearse con la guía sobre biometría de ICO (la autoridad de protección de datos de Reino Unido).
-
- En clave nacional, se han conocido varias sanciones principalmente basadas en el incumplimiento por parte de los responsables de tratamiento de las exigencias normativas en cuanto a defectos o inexistencia de evaluación de impacto previa al inicio del tratamiento, por no informar correctamente a los interesados y no establecer medidas de seguridad suficientes. A destacar al respecto la sanción impuesta al Burgos CF que, si bien había realizado una evaluación de impacto, la misma era posterior al inicio del tratamiento por lo que incumplía el Reglamento. Adicionalmente en cuanto a la base legal necesaria para levantar la prohibición del tratamiento de datos biométricos el propio club manifestó que no disponía de la misma ya que el consentimiento no se recabó siguiendo las exigencias del Reglamento ni en relación con los mayores de edad ni con los menores.
Volver al índice
El Modelo de “Consent or Pay” deberá ofrecer una alternativa real.
El Comité Europeo de Protección de Datos se ha pronunciado en abril de 2024 acerca del modelo “Consent or Pay” que ofrecen actualmente las grandes plataformas en línea. En este sentido, el organismo ha considerado que ofrecer únicamente una alternativa de pago al consentimiento no debería ser el camino por defecto para los responsables del tratamiento. Por ello, señala que el modelo deberá proporcionar una verdadera opción para los usuarios, evitando la coerción o la discriminación, que garantice que el consentimiento sea informado, específico, inequívoco y otorgado a través de una acción clara.
Sobre este asunto puedes consultar más información en el artículo publicado en nuestro sitio web escrito por nuestra compañera Candela Martínez Arellano.
Volver al índice
Las brechas de seguridad, errores que pueden costar muy caros.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción al Servicio Público de Empleo Estatal (SEPE) a consecuencia de una brecha de seguridad producida por un ransomware en 2021. Se notificó por parte del SEPE a la AEPD una brecha de seguridad que impedía el acceso a los interesados a los servicios telemáticos de la administración. En este sentido, la AEPD ha señalado que el SEPE no disponía de las medidas de seguridad adecuadas a los posibles riesgos, y que tardó más tiempo del requerido legalmente en notificar la brecha, por lo que se le ha apercibido.
No es la única sanción por este motivo, 3 millones y 3.5 millones de euros han sido los importes de las multas impuestas por la AEPD a un importante grupo empresarial nacional del sector energético, tras notificar una brecha de seguridad en sus sistemas causado por un ataque informático. La brecha implicó el acceso de terceros a datos personales de usuarios, almacenados en una base de datos compartida por distintas sociedades del grupo. De este modo, quedó en evidencia la falta de separación de las bases de datos de las distintas sociedades, así como la falta de un análisis de riesgos sobre las actividades de tratamiento. Es por esto que se imponen las sanciones por la falta de cumplimiento de la obligación de implantar medidas adecuadas para garantizar confidencialidad e integridad, así como a la falta de medidas adecuadas de seguridad.
No obstante los ejemplos anteriores, resulta preciso señalar que la notificación de la brecha no supone necesariamente la apertura de un procedimiento sancionador debiendo cumplirse con la obligación de notificar en cualquier caso.
Volver al índice
La comunicación oral se considera tratamiento de datos personales.
El pasado 7 de marzo de 2024, el TJUE dictó una sentencia en la cual decretó que la divulgación oral de datos personales constituye un tratamiento de los mismos, de acuerdo con el artículo 4.2 del Reglamento General de Protección de Datos. En este sentido, establece el TJUE que, al regular el concepto de tratamiento en el artículo señalado, el legislador pretendía dar una interpretación amplia, lo que incluiría la divulgación oral. En caso contrario, existiría la posibilidad de eludir el RGPD utilizando la divulgación oral en vez de escrita, lo que sería manifiestamente incompatible con el fin perseguido por la norma.
Volver al índice
CUMPLIMIENTO NORMATIVO
El Comité Económico y Social Europeo emite un Dictamen sobre la corrupción en la contratación pública y el mercado interior.
El Comité Económico y Social Europeo (CESE) ha emitido un dictamen estudiando el impacto de la corrupción de la contratación pública en el mercado interior. El informe concluye que el marco normativo relativo a la corrupción en el ámbito europeo se encuentra disperso en diferentes regulaciones que no guardan relación entre sí, afectando a la contratación pública. Del mismo modo, se proponen diversas medidas, tales como mejorar los procedimientos previstos en las directivas de contratación, implantar una digitalización real que permita la transparencia y rapidez en todo el ciclo de la contratación pública, o crear instrumentos que respalden la integridad del procedimiento, entre otras.
Volver al índice
ELISA, la nueva herramienta para conocer la ejecución de las inversiones del Plan de Recuperación, Transformación y Resiliencia.
El Gobierno ha lanzado una herramienta llamada ELISA, que permite hacer un seguimiento de las convocatorias de licitaciones y subvenciones que ejecuten inversiones del PRTR, así como su resolución, poniendo dicha información a disposición de todos los interesados. En concreto, la aplicación, que será actualizada mensualmente, muestra datos como el número de empresas y hogares que han recibido financiación, el tamaño de dichas empresas, o las inversiones realizadas en determinados sectores.
Volver al índice
PROPIEDAD INTELECTUAL E INDUSTRIAL
El nombre Pablo Escobar no podrá ser registrado como marca.
El Tribunal General de la Unión Europea (TGUE) ha refrendado la decisión de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) de denegar el registro del signo denominativo “Pablo Escobar” como marca. La empresa puertorriqueña Escobar Inc., solicitó en 2021 el registro, que fue denegado por la EUIPO al considerar que se trataba de una marca contraria al orden público y a las buenas costumbres. Ante esto, la sociedad puertorriqueña decidió impugnar la decisión ante el TGUE, que ha confirmado la decisión de la EUIPO, basada en la percepción que tiene el público objetivo sobre Pablo Escobar, considerando que se encuentra asociado con el tráfico de drogas y con el narcoterrorismo, así como con los crímenes y el sufrimiento derivados de ellos. De este modo, el TGUE ha establecido que la marca será percibida como contraria a los valores y a las normas morales fundamentales de la sociedad.
Volver al índice
Fin de la batalla entre Inditex y Buongiorno. El caso Zara.
El pasado 10 de abril de 2024, tras once años en los Tribunales, concluyó la batalla legal entre Inditex y la empresa italiana Buongiorno Myalert, con una sentencia del Tribunal Supremo, tras la respuesta del TJUE a la Cuestión Prejudicial planteada. El Supremo ha condenado a Buongiorno por infracción de marca, al considerar que el uso que hacía de la marca Zara no podía ampararse en el límite alegado que se limita a permitir el mismo únicamente cuando resulta necesario “a efectos de designar productos o servicios como correspondientes al titular de esa marca o de hacer referencia a los mismos solamente cuando tal uso de la marca sea necesario para indicar el destino de un producto comercializado o de un servicio ofrecido por ese tercero».
Por ende, se ha condenado a la compañía italiana a pagar una indemnización de 2.215,60 euros a la textil española, así como a publicar un comunicado donde se reproduzca el fallo de la sentencia en las páginas blinko.es y blinkogold.es, con un enlace a la sentencia completa.
Volver al índice
NORMATIVA AL DÍA
La ONU aprueba la primera resolución global para regular la Inteligencia Artificial.
El pasado 21 de marzo, la Asamblea General de las Naciones Unidas aprobó la primera resolución relativa a la IA, con el objetivo de fomentar un desarrollo seguro, responsable y equitativo de dicha tecnología, a fin de evitar un uso malintencionado de la misma, e impedir desigualdades entre países.
Volver al índice
Nueva Guía STIC-892 publicada sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2.
El Centro Criptológico Nacional ha publicado su nueva guía sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2, que explica la forma de cumplir con los requisitos de la misma.
Volver al índice
Aprobada la Directiva de Debida Diligencia en las empresas.
El Parlamento Europeo ha aprobado el pasado 24 de abril la Directiva de Debida Diligencia, que tiene por objeto proteger los derechos humanos y el medioambiente en el ámbito empresarial, previendo sanciones para las empresas que incumplan la normativa.
Volver al índice
La Comisión Nacional de los Mercados y la Competencia publica un Informe sobre el proyecto de Real Decreto por el que se desarrolla la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas en lo referido a la factura electrónica entre empresas y profesionales.
Volver al índice
Actualización de la regulación del Registro Central de Delincuentes Sexuales
Se publica el Real Decreto 407/2024 por el que se modifica el Real Decreto 1110/2015 que regula el Registro Central de Delincuentes Sexuales, resultando interesante la modificación del artículo 9 que regula la expedición de certificados de datos inscritos permitiéndose a las empresas, y organizaciones cuando sea necesaria para la contratación y ejercicio de la relación laboral o actividad solicitar, el certificado directamente siempre que cuenten con el consentimiento expreso del interesado.
Volver al índice
Transferencias internacionales a EEUU
Se han publicado por parte del Comité Europeo de Protección de Datos diversos materiales y guías en relación con la decisión de adecuación relativa a Estados Unidos, los cuales pueden ser consultados a través del siguiente enlace.
Volver al índice
Finalmente, se ha publicado la modificación del Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, conocido como eIDAS2 (Reglamento – UE – 2024/1183 – EN – EUR-Lex (europa.eu).
Volver al índice