Propiedad Intelectual e Industrial
Protección de datos
Compliance
NORMATIVA AL DÍA: Normas, guías y códigos
EVENTOS Y CHARLAS
PROPIEDAD INTELECTUAL E INDUSTRIAL
Katy Perry vs Katie Perry y la importancia de una buena estrategia marcaria ante la internacionalización.
Ya hay resolución judicial en el proceso que ha enfrentado la marca de ropa Katie Perry y la conocida artista. Los tribunales australianos han determinado que la cantante Katy Perry infringió la marca de ropa australiana al vender bajo el nombre “Katy Perry” ropa a través tanto de minoristas como de sitios web durante su gira por el territorio australiano.
La similitud entre las marcas y la identidad en los productos hicieron que el tribunal australiano entendiera que existía infracción quedando pendiente de fijar la indemnización que deberá abonarse a la titular de la marca de ropa Katie Perry.
Este tipo de reveses a nivel marcario resultan habituales cuando las marcas no son elementos de fantasía sino denominaciones más o menos comunes. Es por ello que resulta esencial plantear una estrategia marcaria clara que pueda adelantarse a posibles conflictos en nuevos territorios donde se busque emplear la marca.
PROTECCIÓN DE DATOS
1.200 millones de sanción a Meta: las transferencias de datos a EE.UU. en tela de juicio
El pasado 22 de mayo, la Autoridad de Control irlandesa impuso a Meta Platforms Ireland Limited (Meta IE) la mayor sanción en materia de protección de datos hasta la fecha, por una infracción de la normativa en relación con las transferencias internacionales de datos entre Europa y Estados Unidos.
Las transferencias de datos, aunque se basaban en las Cláusulas contractuales tipo (SCC) desde julio de 2020, no se entendió que cumplían con las exigencias de la normativa y es por ello que se solicita a Meta que ajuste dicho tratamiento al RGPD.
La respuesta de Meta no se hizo esperar y el mismo día 22 de mayo indicaba que recurriría la sanción por entender que las transferencias internacionales que venía realizando eran compatibles con las exigencias del reglamento toda vez que se basaban en mecanismos válidos, como son las SCC, a los que recurren gran parte de las empresas ubicadas en territorio estadounidense.
La sanción a Meta llega en un momento en el que el problema de las transferencias internacionales de datos a Estados Unidos parece no tener una solución a corto plazo ya que, las últimas noticias apuntan a que el intento de acuerdo para sustituir el “Privacy Seal” está recibiendo reparos por parte de algunas instituciones de la Unión Europea que, aunque no sean vinculantes, establecen un punto de inseguridad sobre la vida del posible nuevo instrumento.
Resulta recomendable ante esta situación, revisar correctamente las transferencias internacionales de datos que se producen en el seno de las organizaciones para asegurar la corrección de las mismas con las exigencias normativas.
¿Puede un log “técnico” generado por un dispositivo tener la consideración de dato personal?
La Agencia Española de Protección de Datos (AEPD) en su procedimiento PS281/2022 entiende que en el supuesto de hecho objeto de análisis no cabe afirmar que los logs generados por el sistema de alarma instalado en el domicilio personal del reclamante no son datos personales.
La empresa reclamada en su respuesta al ejercicio de derecho de acceso efectuado por el reclamante le facilitaba cierta información sobre el registro del logs y argumentaba que no podía facilitar más datos, por entender que los mismos no tenían la consideración de datos personales al ser datos técnicos referidos a protocolos internos de comunicación-verificación, registro de señales o de procedimientos internos y que por su naturaleza, incluso eran susceptibles de ser considerados secreto empresarial.
La AEPD, sin embargo, lejos de acoger la teoría del reclamado manifiesta que en la medida en que el interesado se encuentra ligado al equipo instalado en su domicilio de forma única y permanente, todos los logs generados por el mismo documentan y contienen información vinculada directa o indirectamente con el interesado, en concreto en relación con la seguridad de su vivienda y de la seguridad en su propia vivienda. Es por ello, que la AEPD en este caso, atendiendo al contexto, establece que no cable distinción alguna entre logs “técnicos” y datos personales ya que toda la información permite la identificación del reclamante y le afecta de un modo u otro.
La presente resolución resulta especialmente relevante para los dispositivos de IoT ubicados en domicilios particulares o destinados a ser empleados por consumidores, resultando recomendable realizar un análisis detallado de los datos e informaciones que efectivamente se recaban a través de los mismos y de la posible vinculación con los usuarios de los mismos para garantizar la conformidad con la normativa.
¿Qué tiene que tener una Evaluación de Impacto para ser considerada correcta por la Agencia Española de Protección de Datos?
Si bien son varias las resoluciones de la Agencia Española de Protección en donde se sanciona a una organización por no realizar una evaluación de impacto no abundan resoluciones de la AEPD en las que efectivamente se entra en el detalle de analizar si la evaluación de impacto realizada es correcta. Por ese motivo, esta resolución sancionadora de la AEPD tiene su interés ya que realiza un análisis crítico del proceso realizado que pone sobre la mesa los puntos importantes que viene considerando al respecto. Concretamente, la AEPD manifiesta la importancia de recoger adecuadamente la evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad, no bastando indicar que las operaciones son necesarias. Asimismo, se muestra crítica en la resolución con la ausencia de controles señalando que el informe tampoco recogía “las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas”.
La falta de análisis de dichos elementos supone, a juicio de la AEPD, una falta de diligencia en la elaboración de la evaluación de impacto lo que implica la imposición de sanciones. Resulta por tanto importante recordar no solo la necesidad de realizar una evaluación de impacto sino también la necesidad de asegurar que la misma cumple con los requisitos establecidos en el artículo 35 RGPD.
Buzones de correo y salida de trabajadores y Videovigilancia y control laboral. Resoluciones de interés.
Las resoluciones de la AEPD en el ámbito de las relaciones laborales son siempre de gran interés por las repercusiones que conllevan. Sirva esta entrada de recopilación de dos recientes especialmente relevantes en la materia:
Buzones de correo y salida de trabajadores: la AEPD recuerda en el expediente EXP202200993 la necesidad de tener bien controlados los accesos a los buzones de correos ante la salida de los trabajadores de la organización ya que en caso contrario no resulta posible garantiza la confidencialidad, integridad ni seguridad de los datos. Estos elementos deben ser garantizados en todo momento por los responsables del tratamiento quienes deben evaluar adecuadamente el nivel de seguridad de los datos a fin de evitar que el tratamiento infrinja el RGPD. Así, no solo debe tenerse presente el respeto a la privacidad de la persona trabajadora saliente sino la responsabilidad de la organización en relación con los datos que se conservan en el buzón.
Videovigilancia y control laboral: importancia de justificar la proporcionalidad: Uno de los puntos relevantes de este tipo de tratamiento de datos es la evaluación de la proporcionalidad de la medida en relación con el artículo 89.3. de la LOPDGG. Al respecto destacar esta reciente resolución de la AEPD en la que se examina la proporcionalidad de un sistema que además de imagen registraba sonido. Al respecto la AEPD recuerda que “según doctrina del Tribunal Constitucional, la grabación de conversaciones entre trabajadores o entre éstos y clientes no se justifica por la verificación del cumplimiento por el trabajador de sus obligaciones o deberes”. Por tanto, será del todo imprescindible realizar el preceptivo examen de proporcionalidad y generar el registro oportuno del mismo.
COMPLIANCE
13 de junio: fin del plazo para implementar “canales de denuncia” para las empresas de más de 249 trabajadores y entidades públicas.
El próximo día 13 de junio finalizará el plazo para implementar los Sistemas internos de información y los canales «de denuncias” asociados, al que vienen obligadas las entidades del sector público y del sector privado con más de 249 trabajadores. Por su parte, los municipios de menos de 10.000 habitantes y las entidades del sector privado de menos de 249 trabajadores tienen de plazo hasta el 1 de diciembre de 2023.
NORMATIVA AL DÍA: Normas, guías y códigos
Reforma de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD).
La Ley 11/2023, que ha transpuesto varias Directivas europeas, ha introducido una serie de modificaciones en la LOPDGDD, debido a la corrección de una serie de errores del RGPD publicado por el Diario Oficial de la UE.
Entre las principales novedades introducidas por la Disposición final novena de la Ley 11/2023 la AEPD destaca:
-
-
La creación de un nuevo procedimiento específico de apercibimiento, destacado por su flexibilidad y rapidez, y “con una duración máxima de seis meses”, con el que se busca “agilizar la respuesta a las reclamaciones de los ciudadanos”;
-
La posibilidad de efectuar las actuaciones investigadoras por parte de la AEPD de forma remota a través de sistemas digitales;
-
El establecimiento de “modelos de presentación de reclamaciones ante la AEPD”, a los efectos de simplificar la presentación de reclamaciones, y que se publicarán en el BOE y la Sede Electrónica de la Agencia, siendo obligatorio su uso al mes de su publicación.
-
Nuevas Guías y Circulares AEPD.
La AEPD ha publicado las siguientes guías y circulares que entendemos pueden ser de su interés:
La Guía de Aproximación a los espacios de datos desde la perspectiva del RGPD, con el objetivo de facilitar el cumplimiento en los espacios de datos (infraestructuras que facilitan el acceso a los datos para su explotación en modelos de negocio).
La Guía de Orientaciones para la validación de sistemas criptográficos en la protección de datados, para configurar un nivel de seguridad apropiado al riesgo en el tratamiento de datos.
Un Proyecto de Circular sobre el derecho a no recibir llamadas no deseadas, en el marco de la Ley General de Telecomunicaciones, que se encuentra en trámite de audiencia.
Aprobadas versiones en castellano (UNE) de la ISO 27001 e ISO 27002.
El pasado 17 de mayo, la Asociación Española de Normalización (UNE) publicó las versiones en castellano de las normas ISO/IEC 27001:2023 y 27002:2023 para el impulso de la ciberseguridad y digitalización.
EVENTOS Y CHARLAS
Jornada sobre las implicaciones de la Ley 2/2023 de protección al informante.
El pasado 18 de mayo, nuestro compañero Jorge Arellano impartió una jornada formativa sobre los Aspectos clave de la Ley 2/2023 de Protección al informante en la sede de la Fundación Industrial Navarra, desgranando las obligaciones que dicha normativa impone al sector público y las entidades del sector privado de más de 50 trabajadores.