Protección de datos y seguridad de la información
-
Sanción por no atender el derecho de rectificación de datos personales.
-
Condena a un diario por ilustrar una noticia de un asesinato con la imagen de un tercero.
Servicios de la sociedad de la información
Propiedad Intelectual e Industrial
Publicidad y comunicaciones comerciales
NORMATIVA AL DÍA: Normas, guías y códigos
EVENTOS Y CHARLAS
Charla UPV/EHU
Nuestros compañeros Fernando Armendáriz Carrascón y Álvaro Abáigar Domínguez estuvieron el pasado día 14 de diciembre en la UPV/EHU impartiendo el módulo «Aspectos jurídicos del emprendimiento y de la protección del conocimiento» que se encuadra dentro del Programa de Emprendimiento Juvenil que organiza la Universidad.
Jornada sobre novedades legislativas de la normativa de residuos
Candela Martínez, abogada del Departamento de Nuevas Tecnologías, intervino junto con Pelayo Piedra, Nerea Carmona y Diego Ortigosa en la jornada sobre “Novedades legislativas de la normativa de residuos” aportando la visión publicitaria de la mencionada normativa. La jornada estuvo organizada por ADEGI y tuvo lugar en su sede de 9:30 – 11:30 el pasado viernes 16 de diciembre.
Experto Universitario en Derecho Digital
Álvaro Abáigar y Jorge Arellano participan en el “Experto Universitario en Derecho Digital” que se imparte en la Universidad Pública de Navarra durante los meses de octubre a junio. Ya se ha impartido por nuestros compañeros él módulo de análisis de riesgos y evaluación de impacto, así como un prime módulo en materia de la propiedad intelectual con especial foco en la protección del software. Quedando previstas para los próximos meses en el caso de Álvaro Abáigar los módulos correspondientes a propiedad industrial con especial foco en las patentes tecnológicas y la transferencia de tecnología. Y por parte de Jorge Arellano los módulos específicos de compliance en los que abordará cuestiones sobre la ISO37301 entre otras.
Protección de datos y seguridad de la información
-
Meta se enfrenta a una pluralidad de sanciones por incumplimientos de la normativa de protección de datos en varias de sus soluciones.
La filtración de datos personales producida por scraping en las plataformas de Facebook e Instagram entre mayo de 2018 y septiembre de 2019, que fuera objeto de investigación el pasado año ha motivado la imposición por la Autoridad de control irlandesa a Meta de una sanción de 265 millones.
No es sin embargo la única sanción a la que puede enfrentarse la mencionada compañía ya que queda asimismo pendiente de conocer la opinión del Comité Europeo de Protección de Datos (EDPB) sobre tres decisiones de la Autoridad de control irlandesa que habían enfrentado a esta última con otras autoridades de control europeas. En dicha decisión, el propio EDPB adelanta que se resuelve, entre otras cuestiones, la cuestión sobre la licitud del tratamiento de datos para publicidad comportamental sobre base de la ejecución del contrato. Dicha decisión se pronuncie.
La Autoridad de control alemana ha emitido una comunicación informando que ha realizado una serie de contactos con Microsoft a los efectos de analizar el contrato de encargo de tratamiento (Anexo de Protección de Datos de Office 365) por el que se regula el uso de la solución en la nube de dicha sociedad Microsoft Office 365 por los clientes alemanes. Se trata por tanto de un análisis con alcance limitado que no entra a analizar aspectos como las operaciones de tratamientos o cuestiones de secreto de comunicaciones.
Así, sobre la base del mencionado alcance, la Autoridad de control alemana desaconseja el uso de la solución de Microsoft por entender que:
-
-
Desde un punto formal no estaría dando cumplimiento al artículo 28 RGPD por el que se regula el contrato de encargo de tratamiento en la medida en que no se facilita suficiente información o la misma no resulta clara es aspectos como (instrucciones, medidas de seguridad, supresión y devolución de datos al finalizar los servicios, de información sobre los subencargados).
-
No identifica correctamente el rol que desempeña Microsoft en cada momento (responsable o encargado) ni la información sobre el tratamiento de datos que efectivamente realiza.
-
No se han implementado medidas suficientes para compensar las deficiencias de protección en materia de datos personales existentes entre legislación estadounidense y la europea.
-
La AEPD ha sancionado con 25.000€ a una entidad bancaria por no atender las reiteradas peticiones de una clienta de rectificar los datos de su domicilio. Tras modificar la clienta por la aplicación digital de la entidad su dirección en octubre de 2017, en 2020 aun constaban documentos con su antigua dirección. Tras peticionar vía online y correo postal la rectificación y solicitar la entidad bancaria información adicional para realizar la gestión, en 2021 aún seguían sin modificarse los datos. En su sanción, la AEPD recuerda que entre los principios que rigen el tratamiento de datos personales conforme a la normativa, se encuentra el de “exactitud”, por el que los datos deben ser “exactos” y, por tanto, “actualizados”, imponiendo a los responsables la obligación de rectificar sin dilación los datos inexactos.
Asimismo, resulta importante resaltar que la propia AEPD indica que la carga de la prueba recae sobre el responsable. Es por ello que cobra especial relevancia generar evidencias del correcto funcionamiento de los canales habilitados a la comunicación con los clientes, ya que, como se ha visto en otras resoluciones de la AEPD, el hecho de que un derecho se ejercite por una vía distinta a la habilitada por el responsable para el ejercicio de derechos en materia de protección de datos no implica que pueda entenderse que dichos derechos no han sido ejercitados por el interesado debiendo en su caso ser el responsable quien redirija la petición a los canales internos correspondientes.
El Tribunal Supremo ha condenado por vulneración del derecho al honor y a la propia imagen a un diario digital por usar la imagen de un particular para ilustrar una noticia que versaba sobre el asesinato por un recluso de un compañero de celda. En el vídeo del diario, se indicaba que el recluso había sido “campeón de muay thai”; pero en vídeo se incorporaba la imagen de un campeón de boxeo, distinto del recluso, extraídas de una entrevista realizada al ganar dicho tercero un campeonato. El problema radicaba en la que naturaleza de la noticia y la imagen personal adjunta invitaban a la errónea asociación entre el recluso y el particular. El Tribunal rechaza las alegaciones de la “doctrina del reportaje neutral” invocados por el diario para otorgar preferencia a su derecho a la información frente al derecho al honor y la propia imagen, habida cuenta de que, si bien el contenido escrito es veraz, no lo es el contenido videográfico, “extraído de un contexto totalmente ajeno y desvinculado” al de la noticia, empleado sin consentimiento de la persona retratada, y con fines diferentes para las que fue tomada.
Servicios de la sociedad de la información
- El titular de una cuenta en una red social puede ser responsable de los comentarios de los usuarios en su perfil público.
O al menos así lo entiende nuestro Tribunal Supremo, ratificando el dictamen de la Audiencia Provincial. En una publicación efectuada por un particular en su perfil público de una red social (Facebook) se vertieron una serie de comentarios injuriosos y simuladas amenazas contra un tercero. El particular alegó la falta de una norma que le obligase a supervisar los comentarios efectuados por otros usuarios, considerando que competía al prestador de servicios web. Los tribunales rechazaban esa postura, alegando las “facultades de administración y control” que tiene un usuario sobre su perfil (bloquear usuarios, ocultar, denunciar o eliminar comentarios…). Considera que “no puede desentenderse sin más de lo que se publica en su perfil por otros usuarios”, y que, por tanto, es responsable al permitir que los comentarios injuriosos continuasen en su perfil “en vez de eliminarlos, que es lo que debería haber hecho al tener (…) conocimiento de su contenido (…) atentatorio contra el honor” del injuriado y tener poder para borrarlos. Y al no borrarlos, se convierte “en responsable de los daños y perjuicios causados a título de culpa por omisión derivada” de incumplir su deber de diligencia y cuidado.
Propiedad Intelectual e Industrial
El juzgado de lo Mercantil nº 9 de Barcelona declaró mediante auto la medida cauelar de transferir a una wallet física los NFT’s objeto de litigio, y su entrega al LAJ del juzgado, a los efectos de custodia en tanto se dirima el procedimiento. El juzgado apuntaba que la controversia radica en si la propiedad de unos cuadros físicos alcanza a transformar la obra de arte en un NFT o supone una modificación que afecta a los derechos a autor. Pese a la retirada voluntaria de los NFT’s de las plataformas donde eran exhibidos, el juzgado estimaba que, en el marco recientes ataques cibernéticos a la aplicación donde eran alojados, no se podía garantizar que fuese imposible el acceso a los NFT’s, por lo que disponía la medida cautelar antedicha.
Publicidad y comunicaciones comerciales
Comienzan a oírse los primeros casos derivados de la caída del valor de los NFTs que si bien no parecen dirigir su objeto contra la pérdida de valor en sí misma sí que puede entenderse que tienen su origen en la misma. Así en EEUU parece que se ha iniciado una acción colectiva contra Yuga Labs y MoonPay así como frente aquellos famosos que promocionaban la compra de determinados NFTs de las colecciones creadas Yuga Labs así como el uso de MoonPay ocultando recibir beneficio económico con la propia promoción.
No es el único caso en el mundo “crypto” que aborda cuestiones de publicidad ya que recientemente se conocía el caso de una famosa celebridad estadounidense por publicidad encubierta de una criptodivisa en una red social.
A la luz de las mencionadas noticias, cabe recordar la importancia de respetar la normativa vigente en materia publicitaria aun cuando esta se realice a través de redes sociales. Así, aunque generalmente se pone de manifiesto la obligación de desvelar el carácter publicitario de las publicaciones este no es el único requisito necesario para considerar que la publicidad es lícita.
NORMATIVA AL DÍA: Normas, guías y códigos
El pasado 13 de diciembre la Comisión europea mediante la publicación de la propuesta de decisión de adecuación de dicho territorio inició el proceso de adopción de dicha herramienta que facilitará que las transferencias de datos a EEUU producidas por el uso de soluciones alojadas en dicho territorio se puedan realizar de forma segura y acorde al RGPD.
- Entrada en vigor de la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas, que modifica la Ley de Prevención de Blanqueo.
El pasado 19 de octubre entró en vigor la modificación la Ley 18/2022 de 28 de septiembre, de creación y crecimiento de empresas, la cual ha venido a modificar la Ley 10/2010 de 28 de abril de prevención del blanqueo de capitales y financiación del terrorismo. Entre otras cuestiones la reforma incluye las siguientes novedades:
-
-
Introducción del apartado 3 del artículo 2 relativo a los sujetos obligados: Se establece la posibilidad de excluir por vía reglamentaria a determinados sujetos obligados que realicen actividades financieras de forma ocasional y con reducido riesgo de blanqueo de capitales.
-
Modificación artículo 32 se ajustan las referencias al RGPD y Ley Orgánica 3/2018. En el artículo se indica que no es necesario consentimiento para el tratamiento de datos de diligencia debida y que no se atenderán los derechos establecidos en los artículos 15 a 22 RGPD.
-
Creación del artículo 32 ter: Referencia a la posible creación de ficheros comunes para sujetos obligados donde quienes utilicen el fichero común serán corresponsables.
-
Modificación del artículo 33: Con la modificación ya no es necesaria disposición reglamentaria que habilite el intercambio de información entre sujetos obligados, bastará con la decisión de la Comisión previo dictamen de la AEPD.
-
Pendiente de su publicación en el Diario Oficial de la UE, el 28 de noviembre el Consejo UE adoptaba la Directiva NIS 2, de seguridad de redes y sistemas de información, con el objetivo de establecer medidas encaminadas a garantizar un nivel de ciberseguridad común en la Unión. La Directiva será de aplicación tanto a entidades públicas como privadas, incluyendo a las que cumplan o superen los criterios de medianas empresas (según los parámetros de la Recomendación 2003/361/CE).
- Opinión del Supervisor Europeo de Protección de Datos (SEPD) a la Propuesta de Ley de Ciberresiliencia.
El Supervisor Europeo de Protección de Datos (SEPD), en su Opinión 23/2022, “acoge con satisfacción” la Propuesta de Reglamento de requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020, conocida como “Cyber Resilience Act” que busca ampliar el alcance de los productos cubiertos por la normativa y reforzar los requisitos esenciales de ciberseguridad, garantizando que los fabricantes ofrezcan productos de hardware y software más seguros durante todo su ciclo de vida, permitiendo a los consumidores tomar decisiones de consumo informadas en cuanto a la ciberseguridad de los productos que adquieren.
Dada la intrínseca relación de este tipo de productos y la protección de datos, el SEPD ha analizado la propuesta de normativa sobre Ciberresiliencia, y en su informe realiza una serie de recomendaciones, como: a) incluir el principio de protección de datos desde el diseño y por defecto entre los requisitos de ciberseguridad; b) reflejar la importancia de que los productos realicen operaciones de criptografía, cifrado y seudonimización; c) incluir en el ámbito de aplicación el Reglamento 2017/745 de productos médicos; d) aclarar la convivencia de la Propuesta con el RGPD; e) añadir definiciones claras sobre “free software’, ‘open source software’ and ‘free and open source software’.
Finalmente resalta la importancia de que las empresas tengan presente que la obtención de certificados de ciberseguridad no garantiza necesariamente el cumplimiento de la normativa en materia de protección de datos en la que la seguridad es solo uno de los pilares.
La Agencia Española de Protección de Datos ha revisado y publicado la traducción de la Guía “La adopción de técnicas de anonimización. El caso sanitario” de ENISA (European Union Agency for Cybersecurity), donde se detallan las técnicas de pseudoanonimización para el sector sanitario, a fin de ofrecer una mayor protección al tratamiento de datos sanitarios.