ES • EN • EUS • FR

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 01 – 2023

Protección de datos y seguridad de la información

 

Servicios de la sociedad de la información 

 

Propiedad Intelectual e Industrial

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

EVENTOS Y CHARLAS

 


 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

META y Publicidad Comportamental – Pronunciamiento del Comité europeo de protección de datos (EDPB).

Adelantábamos en la última newsletter del año 2022 que estaba pendiente el pronunciamiento del EDPB en relación con tres decisiones de la Autoridad de control irlandesa que habían enfrentado a esta última con otras autoridades de control europeas en relación con el tratamiento de publicidad comportamental realizado por Meta a través de Instagram.

El pasado 12 de enero el EDPB publicaba su decisión resolviendo que la publicidad comportamental no resulta necesaria para la prestación de los servicios que Meta presta a través de Instagram, por lo que se concluye que existe infracción del artículo 6 del Reglamento General de Protección de datos (RGPD).

En relación con la amplitud de argumentos recogidos por el EDPB en su resolución, en la presente newsletter vamos a resaltar tres cuestiones: i) la referencia a la percepción del usuario, quien a diferencia de lo que se alegaba de contrario, no se entiende probado que comprenda que Instagram sea un servicio de publicidad online personalizado, entendiendo que lo percibirá como un servicio para comunicarse, compartir y recibir contenido de terceros; ii) la idea de que la base legal elegida por Meta (ejecución del contrato) impediría que los interesados pudieran oponerse al tratamiento de sus datos con fines de publicidad comportamental, lo que, atendiendo a la limitada oferta de servicios similares a Instagram, supondría un perjuicio para los interesados; y iii) el mandato del EDPB a la Autoridad de control irlandesa para que en su resolución indique que se debe corregir la infracción del artículo 6.1 del RGPD (disponer de base legal) en relación con el uso de publicidad comportamental en Instagram en un plazo de 3 meses desde la notificación de la misma. Esto debería suponer un cambio importante en el funcionamiento de la plataforma y eventualmente podría afectar al tipo de contenido que dicha plataforma ofrezca a aquellos usuarios que no acepten la publicidad comportamental.   

Además de la cuestión de la licitud del tratamiento, entre otras cuestiones el EDPB aprecia asimismo la infracción del artículo 5.1. a) RGPD (principio de lealtad) y remite a la Autoridad de control irlandesa el encargo de investigar si Meta realiza tratamiento de categorías especiales de datos, y si de hacerlo cumple con las exigencias.

 

Volver al índice

 

La AEPD analiza el uso de Google Analytics.

La AEPD, a raíz de una reclamación interpuesta por Noyb frente a Google y la Real Academia Española, ha analizado la compatibilidad del servicio Google Analytics con el Reglamento General de Protección de datos (RGPD) en lo tocante a las transferencias internacionales de datos que, según habían concluido otras autoridades de control europeas y alegaba el reclamante, se produce con el uso de dicho servicio.

En el caso objeto de análisis por la AEPD, se destaca que tras realizarse actuaciones previas de investigación, se entiende acreditado que el uso de Google Analytics cesó al conocerse la Sentencia Schrems II – que invalidaba la Decisión del “Escudo de Privacidad” relativo a la transferencia de datos personales entre la UE y EEUU- y que el uso que la RAE hacía del servicio de analítica no tenía como objetivo la identificación de usuarios, de forma que concluye la AEPD que no se acredita la existencia de incumplimiento alguno.

Pese a la resolución de la AEPD, resulta preciso advertir que en la resolución emitida no se valida el uso de Google Analytics con carácter general sino el caso concreto objeto de investigación. No resulta por tanto posible extrapolar las conclusiones alcanzadas por la AEPD en el presente caso a situaciones de uso diferentes, siendo en todo caso imprescindible analizar el uso de este tipo de servicios caso por caso.  

 

Volver al índice

 

¿Cómo acreditar que una información es falsa o inexacta para solicitar su retirada?     

El TJUE, en su sentencia, examina las circunstancias en la que el gestor del motor de búsqueda viene obligado a acceder a la solicitud de desindexar cierta información cuando el interesado alega que la misma es falsa o inexacta. Así, el TJUE aclara que la carga de prueba recae en quien ejercita el derecho al olvido debiendo “aportar las pruebas que, habida cuenta de las circunstancias del caso concreto, pueda razonablemente exigírsele que busque a fin de acreditar dicha inexactitud manifiesta. A ese respecto, no puede, en principio, obligarse a dicha persona a presentar en apoyo de su solicitud de retirada de enlaces al gestor del motor de búsqueda, ya antes de la vía judicial, una resolución judicial anterior dictada contra el editor del sitio de Internet de que se trate, ni siquiera una de medidas provisionales”; aunque matiza el TJUE que, en el caso de haberse iniciado dicho procedimiento, corresponderá al gestor del motor de búsqueda el advertir de la existencia del mismo.

Así, una vez aportadas por el interesado pruebas pertinentes y suficientes, que sean idóneas para fundamentar la solicitud y que acrediten la inexactitud manifiesta de la información que figura en el contenido indexado, o al menos de una parte de esa información que no es menor en el conjunto del referido contenido, el gestor del motor de búsqueda estará obligado a acceder a dicha solicitud de retirada de enlace.  

Analiza asimismo el TJUE de forma separada el supuesto de indexación de imágenes que realizan los motores de búsqueda de imágenes a partir del nombre de los interesados. En este sentido aclara que el gestor del motor de búsqueda muestra las fotografías del interesado fuera del contexto en el que se publican en la página web indexada, realizando un tratamiento de datos autónomo e independiente del que realiza el editor del contenido original, por lo que se deberá realizar una ponderación autónoma de dicho tratamiento. Así el TJUE señala que “para que se supriman de los resultados de una búsqueda de imágenes efectuada a partir del nombre de una persona física fotografías mostradas en forma de previsualizaciones que representan a dicha persona, procede atender al valor informativo de dichas fotografías con independencia del contexto de su publicación en la página web de la que procedan, pero teniendo en cuenta cualquier elemento textual que acompañe directamente a esas fotografías en los resultados de la búsqueda y pueda arrojar luz sobre su valor informativo”. Puede suceder por tanto que se mantenga la indexación del contenido original incluidas las imágenes que lo acompañan pero que se determine la necesidad de desindexar la previsualización de imágenes del resultado de búsqueda por imagen.

Se pone de manifiesto la importancia de articular correctamente el ejercicio del derecho al olvido facilitando información pertinente y suficiente sobre la inexactitud o falsedad para garantizar que el mismo resulta correctamente atendido.

 

Volver al índice

 

Teléfonos personales y doble factor de autenticación en el entorno laboral.

El uso del doble factor de autentificación mediante el envío de un código de acceso por mensajería al dispositivo móvil es uno de los mecanismos de seguridad recomendados por el Instituto Nacional de Seguridad (INCIBE) como factor adicional de identificación: algo que sabes (la contraseña) y algo que posees (certificados, teléfonos móviles, etc).

Sin embargo, no puede olvidarse que el número de teléfono móvil particular es en un dato de carácter personal, que para su tratamiento requiere de una base legal que lo ampare. En este caso, la falta de base legal habilitante ha motivado el apercibimiento por la AEPD al Ayuntamiento de Madrid que solicitó a sus funcionarios de policía el número de teléfono personal para implementar dicha medida de seguridad.

La AEPD señala que el consistorio no podía invocar el interés legítimo como base legal (ya que el RGPD veda ese fundamento a las autoridades públicas) que tampoco podía ampararlo en el cumplimiento de una obligación legal, en tanto que ninguna normativa (ni siquiera la autonómica o local aplicable a la policía local madrileña) contempla precepto alguno que requiera la cesión del número del teléfono móvil personal para la finalidad para la que fue empleada.

 

Volver al índice

 

¿Puedo geolocalizar el coche de empresa?

El Tribunal Europeo de Derechos Humanos (TEDDHH) considera que el despido fundado, entre otras evidencias, en los datos del GPS del coche de empresa que el empleado usaba tanto para el trabajo como de forma particular, no vulnera los derechos del trabajador.

En el supuesto objeto de análisis, el empleado disponía de un coche de empresa que podía destinar a fines particulares, debiendo reembolsar los gastos de kilometraje efectuados con fines privados. Así, con el objeto de controlar la ubicación del vehículo, el tiempo de utilización del mismo, las distancias recorridas, las horas de salida y de parada y la velocidad a la que se circulaba, la empresa instaló en los vehículos un sistema GPS, que no podía ser desactivado por el personal, e informó debidamente a los empleados afectados por la medida, quienes firmaron y aceptaron dicha instalación y las condiciones de uso del vehículo. Atendiendo a los datos del GPS, así como a la información facilitada por el trabajador en el CRM de la empresa, se detecta que el trabajador no estaba cumpliendo con la jornada laboral y no estaba trasladando correctamente la información de los usos privados que hacía del vehículo, siendo estas las razones que motivaron el despido. 

Frente a dicho despido el trabajador presenta un recurso al entender que la tecnología empleada para realizar el control infringía su derecho a la privacidad y la vida privada. Analizando las circunstancias del caso, el TEDDHH estima que el trabajador estaba debidamente informado del uso del GPS; y que, además, su uso quedaba justificada y resultaba proporcional. Por lo que no considera vulnerado su derecho a la privacidad, y procedente el despido.

Se arroja así cierta claridad a los límites en el uso de elementos de control de la actividad laboral por parte de los empleadores. No obstante, previamente a la implementación de este tipo de medidas se deberán analizar las circunstancias concretas para diseñar el tratamiento de forma que respete la normativa y exigencias vigentes en materia de protección de datos y derecho laboral.

 

Volver al índice

 

Condena penal a una trabajadora por borrar correos y archivos de su empresa al ser despedida.

El Tribunal Supremo analiza si la conducta consistente en el borrado por una trabajadora de su buzón de correo, así como de los archivos que reflejaban los datos de los clientes (datos de contactos, tipos de empresas, productos comercializados y volumen y marcas de los mismos, descuentos, condiciones de portes, formas de pago, etc.) de la zona que tenía asignada en exclusiva, encaja en el tipo penal previsto en el artículo 264.1º del Código Penal.

Como ya había señalado en la Sentencia 220/2020, el Tribunal Supremo recuerda que para poder determinar la concurrencia de la conducta tipificada se exige que el comportamiento sea grave ( y que se aprecie una gravedad en el resultado de la acción delictiva. Así, establece que: “La gravedad de la acción viene determinada por el daño funcional que el comportamiento genere, resultando atípicas todas aquellas actuaciones que, pese a satisfacer objetivamente alguna de las modalidades de obrar previstas en el tipo penal, resulten cualitativa o cuantitativamente irrelevantes para que el servicio o el sistema operen de manera rigurosa. Solo si la función digital deviene imposible o si se trastoca de manera relevante la utilidad o facilitación que introduce, la actuación dolosa de pervertir el sistema puede llegar a merecer el reproche penal”.

Aplicando dichos criterios al relato de hechos probados, el Tribunal Supremo entiende en este caso que la trabajadora realizó una acción que revestía especial gravedad tanto por la eliminación definitiva de los datos como por la imposibilidad de recuperar los mismos por parte del empleador, quien tuvo que reiterar la actuación mercantil y administrativa para poder recuperar parcialmente los mismos. Asimismo, aprecia gravedad en el resultado al haber causado a la empresa un daño funcional que imposibilita el uso del sistema informático, así como unos indudables perjuicios económicos, organizativos y reputacionales. Había por tanto intención de perjudicar y perjuicio efectivo en la actividad empresarial, aunque no pudiera cuantificarse el daño emergente o el lucro cesante.

 

Volver al índice

Sanción a TIKTOK por su sistema de cookies.

La CNIL (la Autoridad de Protección de Datos de Francia) ha sancionado con cinco millones de euros a TIKTOK por entender que el sistema existente en su página web (“tiktok.com”) no era conforme al marco legal, en cuanto que el usuario no podía oponerse a la instalación de las cookies con la misma facilidad que el planteamiento de aceptación de la misma.  En concreto le reprocha que son “necesarios varios clics para rechazar todas las cookies, contra uno solo para aceptarlas”.

 

Volver al índice

 

WhatsApp corporativos y móviles de trabajadores, ¿cambio de criterio de la AEPD?

Recientemente se ha conocido una resolución de la Agencia Española de Protección de Datos (AEPD) que parece apuntar a un cambio de criterio sobre la incorporación de trabajadores a grupos de WhatsApp corporativos que se montan para compartir información de la organización.

La postura conocida de la AEPD hasta la fecha era que resultaba necesario la obtención del consentimiento del trabajador para emplear su móvil particular para un tratamiento como el de la incorporación a grupos de WhatsApp. La resolución que comentamos, por el contrario, establece que no hay infracción en cuanto que “los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada, que ha informado a los trabajadores de la finalidad del tratamiento en los grupos de WhatsApp creados con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos”.

 

Volver al índice

 

SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN 

 

Amazon y falsificaciones. 

No es la primera vez que el TJUE se pronuncia sobre la responsabilidad del operador de un sitio de Internet de venta en línea en relación con la venta de productos que emplean marcas de terceros sin autorización del titular. No obstante, en la cuestión prejudicial resuelta se añaden varios matices que previamente no habían sido tomados en consideración, a saber: i) la presentación uniforme bajo el logotipo de proveedor de oferta de productos propios y de terceros; ii) la naturaleza y la amplitud de los servicios prestados por el operador a aquellos terceros que venden en su plataforma.

Atendiendo a dichos elementos, el TJUE señala que en materia de comercio electrónico resulta exigible que los anuncios sean transparentes para el consumidor, quien tiene que estar en disposición de distinguir entre el operador y el vendedor, algo que en el caso de Amazon el tribunal no entiende posible debido a la uniformidad en la presentación de las ofertas y al hecho de que, entre otros servicios, el operador atienda las cuestiones que plantean los consumidores sobre los productos, el envío, el almacenamiento o las devoluciones. Así concluye que el consumidor medio, normalmente informado y atento entenderá que operador es quien comercializa el producto.

Habida cuenta de lo anterior, el TJUE resuelve la cuestión prejudicial planteada a raíz del caso de infracción de marca iniciado por Louboutin, frente a Amazon, por la venta de zapatos bajo su marca de color, señalando que puede entenderse que el operador hace un uso de la marca ajena que figura ilícitamente en el producto comercializado por terceros a través de su sitio web, siempre que el operador sea identificado por el consumidor como vendedor y responsable del producto adquirido en su sitio web, aunque no lo sea.

Se resquebraja así la tendencia jurisprudencial previa del TJUE que venía eximiendo de responsabilidad al operador por no entender que este hiciera uso de la marca infringida. No supone, sin embargo, un cambio jurisprudencial, tan solo se añade un matiz a tener en cuenta a la hora de analizar este tipo de usos.

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

El caso “Taburete” – Encargo de obra y derechos de propiedad intelectual. 

La prensa se ha hecho eco de una sentencia del Juzgado de lo Mercantil número 3 de Madrid en la que, según relata el medio editorial, se concluye que no podía considerarse autor ni productor a la empresa contratada por un conocido grupo musical, por entenderse que entre las funciones que le eran encomendadas, así como en el desempeño de las mismas, no se apreciaba que esa persona realizara las actividades propias de las figuras de productor o autor, de conformidad con los conceptos recogidos en la normativa de aplicación.

Si bien, sin disponer de acceso a la sentencia completa no resulta posible realizar una valoración y aunque la normativa de propiedad intelectual no sea eminentemente formalista, resulta preciso resaltar la importancia de disponer de acuerdos robustos que protejan los intereses de ambas partes y garanticen que el negocio jurídico cumpla las expectativas de todas las partes involucradas.

 

Volver al índice

 

Los NFT entran en la 12ª Clasificación de Niza de 2023.

La 12ª Clasificación de Niza recoge las nuevas realidades digitales, incorporando en la Clase 9, con el número de base 090918, los “archivos digitales descargables autentificados por tókenes no fungibles [NFT]”. No obstante, la Oficina de Propiedad Industrial de la Unión Europea advirtió que, por tratarse los NFT de certificados digitales cuya función es registrar y autentificar bienes digitales, al constituir ambos elementos diferenciados, debe especificarse el elemento digital concreto que el NFT certifica.

 

Volver al índice

 

NORMATIVA AL DÍA: NORMAS, GUÍAS Y CÓDIGOS  

 

Creación de la Agencia Española de Supervisión de Inteligencia Artificial. 

Mediante su Disposición Adicional Séptima, la Ley 28/2022 de 21 de diciembre, de fomento del ecosistema de las empresas emergentes, autoriza la creación de la Agencia Española de Supervisión de Inteligencia Artificial, adscrita al Ministerio de Asuntos Económicos. La dota de personalidad jurídica pública y potestades administrativas, incluida la inspectora y sancionadora (en función de la legislación nacional y del futuro Reglamento UE de IA), a los efectos de supervisar la comercialización de los sistemas de IA (en especial, los que afecten a la salud, seguridad y derechos fundamentales) y la protección de sus usuarios.

 

Volver al índice

 

Manual informativo sobre el procedimiento de solicitud de declaración de caducidad y nulidad de marca.

La Oficina Española de Patentes y Marcas (OEPM) ha publicado un manual informativo referente a los nuevos procedimientos de nulidad y caducidad administrativa de los signos distintivos. El motivo radica en que, a partir del 14 de enero de 2023, la OEPM asume la competencia para declarar dicha caducidad o nulidad, de conformidad a la transposición de la Directiva europea 2015/2436 de 16 de diciembre, que implicaba la sustitución de las acciones por la vía civil por el nuevo procedimiento administrativo.

 

Volver al índice

 

Propuesta de la Comisión Europea de modernización de la legislación de protección de diseños industriales.

El 28 de noviembre de 2022, la Comisión Europea remitió al Parlamento Europeo y al Consejo dos propuestas para modernizar la legislación sobre protección de diseños, efectuando una propuesta para modificar el Reglamento sobre dibujos y modelos comunitarios, y una propuesta de Directiva para refundir la protección jurídica de los diseños.

 

Volver al índice

 

CIBERREG, el proyecto de ciberseguridad que coordinará Navarra.

Con la participación de otras CCAA (Murcia, Asturias, Canarias, Cantabria, Extremadura, Baleares y Castilla-La Mancha), el proyecto CIBERREG se marca como objetivo impulsar la ciberseguridad desde los territorios, en el marco del programa RETECH del Gobierno de España, enfocado en cinco ejes de actuación: fomento del ecosistema empresarial del sector de ciberseguridad, creación de centros de ciberseguridad regionales, y centros demostradores, la gestión del talento y acciones de sensibilización.

Su concreción en Navarra se centrará en la creación del Navarra Cybersecurity Center, una “ventanilla única de respuesta a incidentes de ciberseguridad” que prestará servicio tanto a ciudadanos como empresas, centrando su enfoque en PYMES y autónomos. Además, efectuará una “monitorización constante del ciberespacio en busca de amenazas”, así como fomentar y mejorar el grado de ciberseguridad de los diferentes espacios y entornos.

 

Volver al índice

 

EVENTOS Y CHARLAS

 

Experto Universitario en Derecho Digital

Álvaro Abáigar y Jorge Arellano participan en el “Experto Universitario en Derecho Digital” que se imparte en la Universidad Pública de Navarra durante los meses de octubre a junio. Ya se ha impartido por nuestros compañeros los módulos de análisis de riesgos y evaluación de impacto, así como los correspondientes a propiedad intelectual con especial foco en la protección del software, patentes tecnológicas y la transferencia de tecnología. Quedando pendientes los módulos específicos de compliance, a impartir por Jorge Arellano, en los que se abordarán cuestiones sobre la ISO37301 entre otras.  

 

Volver al índice

 

Emprender en industrias creativas, culturales y audiovisuales  

Candela Martínez, abogada del área de propiedad intelectual y derecho del entretenimiento, intervendrá, junto a Fernando Armendáriz (Socio de ARPA y director del equipo de start-up y emprendimiento) y David Asín (Asociado de ARPA y director del departamento fiscal) y a otros profesionales del sector, en el curso “Emprender en industrias creativas, culturales y audiovisuales” organizado por el Servicio Navarro de Empleo de Gobierno de Navarra, que se celebrará en formato presencial entre el 31/01/2023 y el 23/03/2023.  

 

Volver al índice

 

Suscríbete a nuestra newsletter

He leído y acepto la Política de Privacidad
X