-
-
La AEPD comprobará la situación de los delegados de protección de datos en las organizaciones.
-
IA: Actualización de la guía sobre inteligencia artificial por parte del ICO.
-
Videovigilancia. Multa por denegación de acceso a las imágenes grabadas de un parking de vehículos.
-
Sanción de 100.000€ por escanear el DNI a la entrega de un paquete para verificar la identidad.
-
Propiedad Intelectual e Industrial
NORMATIVA AL DÍA: Normas, guías y códigos
PROTECCIÓN DE DATOS
La AEPD comprobará la situación de los delegados de protección de datos en las organizaciones.
En el marco de una acción europea coordinada del Comité Europeo de Protección de Datos con las 27 Autoridades nacionales de Protección de Datos de los países de la UE, la AEPD procederá a un examen de comprobación para averiguar si la situación de los Delegados de Protección de Datos (DPD) en las organizaciones se realiza conforme a los requisitos exigidos por el Reglamento General de Protección de Datos. Examinará las actuaciones de más 30.000 entidades del sector público y privado. En este último, remitirán un cuestionario (diferenciado según sectores: bancario-financiero, energético, telecomunicaciones, sanidad, etc.) que contendrá cuestiones sobre la designación, conocimientos y experiencias de los DPD, pudiendo decidir las diferentes Autoridades sobre acciones adicionales de supervisión. Los resultados generados se publicarán en un informe.
Sanción a empresa por no desactivar el buzón de email de trabajo al finalizar la relación y seguir recibiendo y leyendo el correo electrónico
La Autoridad Italiana de Protección de Datos ha sancionado a una empresa por la siguiente situación. La empresa creó un buzón de correo para un consultor externo que no era empleado directo. Al finalizar la relación de asesoramiento, y pese a una solicitud expresa del consultor, la empresa no cerró la cuenta de email, sino que accedió a ella, consultó la correspondencia y redirigió los mensajes de los clientes allí alojados a otro email.
Al investigar el asunto, la Autoridad italiana averiguó que, de un lado, la empresa no había proporcionado al consultor, en su calidad de interesado, la política de privacidad de su compañía, vulnerando el art.13 RGPD (y, además, dicha política no cumplía los requisitos del RGPD). De otro lado, detectó que no se había articulado base legal alguna para el tratamiento de los datos; y aunque mantener las relaciones con sus clientes podría entenderse como un interés legítimo de la empresa, la Autoridad italiana entendía que había métodos menos intrusivos y acordes al principio de minimización (como un mensaje automatizado a los clientes indicando que esa cuenta no funcionaba), por lo que la actuación de la empresa fue intrusiva y desproporcionada.
IA: Actualización de la guía sobre inteligencia artificial por parte del ICO.
El enfoque dado por la autoridad de protección de datos británica en su actualización de la Guía va en la línea gubernamental favorable a la innovación y la ayuda a las organizaciones en sus deseos de implementar la IA a la vez que protegen a las personas, en especial, a grupos vulnerables. Entre los principales cambios introducidos en la guía destacan: la introducción de un capítulo sobre la transparencia en la toma de decisiones con IA; la agregación de especificaciones en la inferencia de la IA y los datos de categorías especiales y los grupos de afinidad; y una especial incidencia en el principio de equidad en el ciclo de vida de la IA, abarcado desde los enfoques técnicos para minimizar y mitigar el sesgo algorítmico en el procesamiento de los datos personales en la toma de decisiones automatizadas, hasta los aspectos fundamentales de la construcción de las IA .
Videovigilancia. Multa por denegación de acceso a las imágenes grabadas de un parking de vehículos.
La sanción fue impuesta a una compañía que negó a un usuario el acceso a las imágenes captadas por las videocámaras de un parking de un centro comercial. El usuario las solicitó primero de forma presencial y luego vía electrónica, rechazando la entidad el acceso al aducir que sólo se podía exigir el acceso por personal autorizado o por las autoridades competentes. La Agencia Española de Protección de Datos (AEPD) estima que la negativa incumplió el derecho de acceso del interesado a sus datos contemplado en el art.15 del Reglamento General de Protección de Datos (RGPD). LA AEPD estima que en este caso se negó incorrectamente dicho derecho al reclamante, bajo la excusa de que sólo el personal autorizado o los cuerpos de seguridad del Estado tiene acceso, siendo obligación de la entidad, en tanto que Responsable del tratamiento, el facilitar el acceso, por lo que estimó su actuación constitutiva de una infracción muy grave.
WhatsApp acepta el pleno cumplimiento de las normas de la UE mediante una mejor información a los usuarios y el respeto de sus decisiones.
La Comisión Europea publicó el 6 de marzo la aceptación por parte de WhatsApp del cumplimiento íntegro de la normativa comunitaria, en el que la compañía de mensajería manifestaba ofrecer mayor transparencia en las condiciones de servicio. Entre los compromisos digitales asumidos, se encuentran permitir a los usuarios rechazar las condiciones de servicio de forma tan visible como la de aceptarlas; garantizar que las notificaciones sobre las actualizaciones se puedan rechazar o retrasar; respetar las opciones de los usuarios, y no enviar notificaciones recurrentes. Así mismo, la compañía de mensajería confirmó que no intercambiaba sus datos ni con terceros, ni con otras empresas del grupo Meta (tales como Facebook) con fines publicitarios. No obstante, la Red de Cooperación para la Protección de Consumidores vigilará que WhatsApp cumpla los compromisos adquiridos, pudiendo imponer multas.
Sanción de 100.000€ por escanear el DNI a la entrega de un paquete para verificar la identidad.
La Agencia Española de Protección de Datos ha sancionado a una operadora de telecomunicaciones por dar la instrucción a la empresa de mensajería de escanear el DNI del destinatario del paquete en el momento de la entrega para verificar la identidad del destinatario. La AEPD entiende que hay otros procedimientos menos invasivos para verificar la identidad del destinatario “sin que sea necesario fotografiar su DNI” ya que el documento contiene muchos otros datos adicionales a los estrictamente necesarios para identificar al destinatario (ej. lugar de nacimiento). Se recuerda por tanto la importancia de respetar el principio de minimización de datos diseñando los procedimientos de forma tal que únicamente se recojan aquellos datos estrictamente necesarios.
PROPIEDAD INTELECTUAL E INDUSTRIAL
La razón por la que Toblerone tendrá que dejar de usar la icónica imagen del monte Cervino.
Mondelez, la empresa productora y distribuidora del famoso dulce de chocolate Toblerone, no podrá usar la imagen del monte Cervino ubicado en los Alpes Suizos. La razón de este cambio se debe a que el propietario de la empresa, ha decidido trasladar la producción de las tabletas fuera de Suiza, en concreto a la ciudad de Bratislava en Eslovenia.
La Swissness Act que fue aprobada en Suiza en 2017, establece un régimen muy restrictivo en lo que al uso de símbolos nacionales se refiere. Así, la mencionada normativa recoge por ejemplo que los productos que aseguren ser “hechos en Suiza” deberán estar elaborados al menos con un 80% de materias primas que provengan de este país y en el caso de la leche y productos lácteos, en un 100%.
La decisión de trasladar la producción fuera del país que ha tomado la empresa, les prohíbe seguir usando la silueta del monte Cervino que llevan utilizando desde la década de 1920. Sin embargo, la empresa ha decidido usar un logotipo de montaña más genérico y moderno. Además, en vez de explicar que es un producto “hecho en Suiza”, se advertirá que está “establecido en Suiza”; lugar desde donde se distribuye desde los inicios de la compañía.
En el caso descrito la imposibilidad de emplear el monte suizo viene impuesta por una normativa específica, pero debe tenerse en cuenta que el uso de elementos territoriales en el etiquetado de productos a nivel europeo debe respetar la normativa vigente en cada caso debiendo evitarse producir error en el consumidor receptor con respecto al origen de real del producto o sus ingredientes.
NORMATIVA AL DÍA: NORMAS, GUÍAS Y CÓDIGOS
Entra en vigor la Ley 2/2023 de protección al denunciante.
El día 13 de marzo entró en vigor la ley destinada a ofrecer protección a las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta ley obliga a las personas jurídicas del sector privado con 50 o más trabajadores, a los partidos políticos y sindicatos, y a todas las empresas del sector público; a contar con un Sistema interno de información para la denuncia de irregularidades, y no será suficiente con tener un buzón interno de comunicaciones.
Estos sistemas, deben contar con medidas técnicas que permitan garantizar la confidencialidad, seguridad y protección de datos del informante y aquellas partes involucradas en el proceso. De igual manera, los sistemas deberán estar soportados por políticas y procedimientos internos alineados con los requisitos establecidos en la norma.
Conforme a lo expuesto, las medidas que se deben adoptar para adecuarse a los sistemas de información requeridos, se establece un plazo máximo de tres meses; y para las entidades jurídicas de 249 trabajadores o menos hasta el 1 de diciembre de 2023. Las sanciones por el incumplimiento de esta norma son multas de hasta 300.000 euros para las personas físicas y de 1.000.000 de euros para las personas jurídicas.
Aprobación del RD 176/2023 por el que se desarrollan entornos seguros de juego.
El día 15 de marzo se publicó en el BOE un Real Decreto que pretende implementar medidas destinadas a la prevención de conductas adictivas en el sector del juego y proteger a las personas consumidoras de dichos servicios, en especial, a los grupos de riesgo, imponiendo a las empresas del sector un marco comercial de consumo saludable.
El RD introduce una nueva categorización de los participantes, definiendo categorías como “clientela privilegiada” (las que por volumen de gasto son objeto de atención especializada), “participantes jóvenes” (menores de 25 años), “participantes con comportamiento de juego intensivo” (con pérdidas de 600€ en tres semanas seguidas, 200€ en caso de los jóvenes) y “participantes vulnerables o grupos de riesgo”.
La ley entrará en vigor el 15 de septiembre de 2023, fecha en la que las empresas del juego tendrán que haber dado de baja los servicios de atención especializada que reciba la clientela privilegiada joven; el resto de obligaciones entrarán en vigor el 15 de marzo de 2024. Entre estas últimas obligaciones destacan la prohibición de actividades promocionales a participantes jóvenes, limitaciones en los medios de pago a los participantes con comportamiento intensivo, límites a los importes en apuestas en directo, establecimiento previo del tiempo y cantidad máxima a emplear en una sesión de juego, etc . Entre otras medidas, prevé que los operadores designen un “Responsable del juego seguro”, figura compatible con el desempeño de otras tareas en la organización (salvo una dependencia directa con el departamento de marketing). Su función será supervisar las políticas de juego seguro del operador, elaborando un plan de medidas activas y una memoria anual. Así mismo, prevé la inclusión en las webs y aplicaciones de los operadores de información sobre “juego seguro” y las medidas específicas destinadas a implementarlos (facultades de autoprohibición o autoexclusión, limitación de cantidades y tiempos, etc.).
Estas medidas deben ser puestas en relación con el régimen sancionador de la Ley Reguladora del Juego, que contempla como infracciones graves incumplir las obligaciones de juego responsable, en cuantía de entre 100.000 y 1 millón de euros, y suspensión de actividad de hasta 6 meses.