Propiedad Intelectual e Industrial
Protección de datos – Seguridad de la Información
NORMATIVA AL DÍA: Normas, guías y códigos
PROPIEDAD INTELECTUAL E INDUSTRIAL
El Tribunal Supremo analizará la autoría de más de 200 cuadros que habían sido divulgados bajo la firma del famoso artista Antonio de Felipe.
El 21 de mayo de 2021 la Audiencia Provincial de Madrid emitió sentencia en la que se determinaba que 221 obras que fueron publicadas bajo la firma de Antonio de Felipe, debían tener la consideración de obras en coautoría ya que habían sido fruto de la colaboración entre éste y la artista Fumiko Negishi. Según se indica en los hechos probados, sería esta segunda artista quien bajo una relación de colaboración con el primero, habría ejecutado materialmente las obras bajo las indicaciones de Antonio de Felipe. Es por ello que el tribunal entiende que los cuadros son el resultado de una simbiosis artística de ambos profesionales y no una mera ejecución mecánica por parte de la segunda artista, lo que provoca que se concluya que ambos son autores por igual de las obras.
La decisión ha sido recurrida y será revisada por el Tribunal Supremo por lo que habrá que ver la condición final que se otorga a ambas partes en relación con la creación.
PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN
La AEPD acaba de actualizar su “Guía sobre el uso de las cookies”. Entre las novedades más destacables está la adaptación del documento a las directrices sobre patrones engañosos y criterios para los conocidos como muros de cookies.
En cuanto al plazo de adaptación, la AEPD indica que “los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para introducir los cambios necesarios para la utilización de cookies”
Nuevo acuerdo entre Estados Unidos y Europa sobre la transferencia de datos personales.
Tras dos intentos de establecer una regulación sobre la transferencia de datos personales entre la UE y EEUU, frustrados por el TJUE, la Comisión Europea emitió el pasado 10 de julio una decisión, en la que se concluye que los Estados Unidos garantizan un nivel de protección adecuado de los datos transferidos de la UE.
En la nota de prensa publicada por la Comisión, se ataca al problema que pusieron de relieve las anteriores regulaciones y por lo cual fueron invalidadas por el TJUE: la no existencia de una ley federal que regule la gestión de los datos y que la CIA, el FBI o la NSA pudieran acceder a los mismos. En este contexto, la decisión introduce nuevas garantías vinculantes, tales como la limitación del acceso por parte de los servicios de inteligencia estadounidenses a los datos de la UE a lo necesario y proporcionado, o el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos al que todo ciudadano de la UE podrá acceder.
El activista Max Schrems, quien consiguió tumbar las dos decisiones previas de transferencia de datos entre EEUU y la UE ante el TJUE, afirma que volverá a dirigirse al mismo con el objeto de impugnar esta decisión.
Tratamiento de datos con fines de marketing telefónico.
El pasado 26 de junio, la Agencia Española de Protección de datos (AEPD) publicó una Circular, con el objetivo de fijar los criterios relativos a la aplicación de la normativa sobre protección de datos de carácter personal, sobre el derecho a no recibir llamadas no deseadas con fines comerciales introducido por la Ley General de Telecomunicaciones. Tal derecho, contemplado en el artículo 66.1.b) de la mencionada Ley, entró en vigor el pasado 29 de junio.
El foco de la Circular es analiza las bases que legitimarían el tratamiento de los datos con finalidad de prospección comercial por vía telefónica, esto es, el consentimiento o el el interés legítimo. En cuanto al consentimiento, se establece que no se podrán realizar llamadas comerciales a números generados de forma aleatoria sin que el usuario haya otorgado consentimiento expreso previamente. En cuanto a los usuarios que figuren en guías de abonados, deberán prestar su consentimiento específico y expreso para que sus datos puedan ser utilizados con fines comerciales.
Por otra parte, en relación con el interés legítimo señala que siempre que no prevalezcan los intereses o los derechos fundamentales de los usuarios también será lícito el tratamiento de los datos de los consumidores cuando dicho tratamiento sea necesario para la satisfacción de intereses de la empresa que los trata, o intereses de terceros. Del mismo modo, establece que, si existía una relación contractual previa entre el usuario y el responsable del tratamiento, (interactuación del interesado con el responsable en el último año) éste le podrá llamar para ofrecerle productos o servicios similares a los que fueron objeto del contrato (en la línea de lo previsto en el artículo 21.1 de la LSSI) y matiza que esta presunción de concurrencia del interés legítimo no aplicaría a la comunicación de datos personales a otras entidades del mismo grupo empresarial con fines de comunicación comercial, para la que se requerirá el consentimiento.
Asimismo, indica que en el caso de los números de teléfono de personas físicas que presten servicios en personas jurídicas o que tengan la consideración de empresarios individuales o profesionales liberales operará la presunción del artículo 19 de la Ley Orgánica 3/2018 siempre que la oferta de productos se refiera a su actividad profesional y no personal.
Finalmente, la AEPD establece una serie de garantías adicionales con el objetivo de cumplir con los principios que rigen el tratamiento de datos personales: i) Al inicio de cada llamada, se deberá informar de la identidad del empresario, y si procede, de la identidad de la persona por cuenta de la que se efectúa la llamada; ii) se deberá indicar la finalidad comercial e informar sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas no deseadas; iii) cualquier manifestación contraria a la recepción de las llamadas debe entenderse como revocación del consentimiento o como el ejercicio del derecho de oposición del afectado; iv) la llamada deberá ser grabada, como medio de demostrar el cumplimiento de la normativa relativa a la protección de datos personales.
Meta y su batalla con la normativa de protección de datos.
Meta no pasa por su mejor momento en cuanto a relaciones con la normativa de protección de datos europea ya que, además de las multas millonarias impuestas a dicha organización se ha conocido la decisión de la Autoridad de Control de Noruega de paralizar temporalmente los tratamientos de publicidad comportamental que realizan Facebook e Instagram sobre los datos de los usuarios noruegos. Esta decisión, viene a raíz de la reciente sentencia del Tribunal de Justicia de la Unión Europea en el que se indicaba que la forma en que Meta realizaba tipo de tratamientos (sin solicitar consentimiento del interesado) no cumplía con la normativa, de manera que la autoridad de control noruega prohíbe dicho tratamiento desde el 4 de agosto y durante 3 meses salvo que el tratamiento se ajuste a la normativa antes del transcurso de dicho periodo. Asimismo, señalan que en el caso de no adecuarse el tratamiento a la normativa impondrá una multa diaria de hasta 1 millón de NOK al día. Habrá que esperar para ver cómo reaccionan el resto de autoridades de control y si esto se extiende a otros países.
Por otro lado, se ha conocido que la normativa de protección de datos estaría siendo la razón por la cual en la Unión Europea no puede emplearse la aplicación Threads, una red social creada por Meta basada en textos cortos, que trata de competir con Twitter. La compañía manifiesta estar estudiando como regular el intercambio de datos entre esta nueva plataforma e Instagram y Facebook para introducir la aplicación en la Unión Europea, de forma ajustada a las exigencias normativas.
El Centro criptológico nacional actualiza la Guía CCN-STIC 825 sobre el Esquema Nacional de Seguridad y la Certificación 27001
La guía ofrece las medidas compatibles entre el Esquema Nacional de Seguridad con el estándar ISO/ IEC 27001:2022. Este documento resulta útil tanto para aquellas organizaciones que tienen un SGSI basado en la ISO 21001 y desean dar el salto al ENS como viceversa.