Protección de datos
-
¿Es la cara el único dato que permite reconocer a una persona?
- Uso de imágenes accesibles en internet
Marcas
NORMATIVA AL DÍA: Normas, guías y códigos
-
Modificación normativa de Prevención del blanqueo de capitales
-
Reforma de la Ley de la Ciencia, la Tecnología y la Innovación
-
Herramienta sobre la valoración del nivel de riesgo en el tratamiento de datos.
-
Actualidad sobre las transferencias internacionales de datos entre la UE y EEUU.
_____________________________________________________________
Propiedad intelectual
-
Los problemas de la serie de Amazon “El señor de los anillos: los anillos de poder” con los derechos de autor.
A la hora de realizar una obra derivada resulta esencial conocer los derechos de los que se dispone, más aún cuando la misma tiene origen en un ecosistema complejo de obras y personajes. Así, tal y como sucediera en el caso de “Enola Holmes” comentado en una newsletter anterior, el desarrollo por Amazon de la serie ambientada en el “imaginario mitológico” de J.R.R. Tolkien, se enfrenta a la difícil tarea de no abordar tramas o personajes protegidas por derechos de autor sobre los que no dispone de licencia, evitando al mismo tiempo contradecir la narrativa.
J.R.R. Tolkien transfirió en 1969 por 10.000 libras a United Artists los derechos de autor de gran parte de su obra (en especial sus obras más famosas, “El Hobbit” y “El Señor de los Anillos”). Tras su muerte en 1973, su hijo Christopher Tolkien reordenó el archivo de su padre, y publicó una serie de obras (“El Silmarillion”, “Cuentos inconclusos de Númenor y la Tierra Media” o “La historia de la Tierra Media”) gestionados por The Tolkien Estate.
Los derechos de United Artists que habilitan la creación y explotación como videojuegos, series y películas, fueron adquiridos por New Line [Warner Bros] para la trilogía de Peter Jackson.
Los derechos obtenidos por Amazon en 2017 por su parte le habilitan a ambientar su serie en “La Segunda Edad de la Tierra Media”, etapa anterior a la “Edad Tercera”, que es donde transcurren los libros (“El Hobbit” y “El Señor de los Anillos”) pero no le habilitan a adaptar estas dos últimas obras (propiedad de Warner), ni las obras propiedad de Tolkien Estate.
Resaltar la necesidad de realizar una buena gestión de los derechos de autor (tanto de una obra en concreto como su conjunto) a efectos de evitar que los diferentes derechos de explotación se vean limitados por su reparto entre diferentes propietarios y los vetos y prohibiciones entrecruzadas.
Protección de datos
-
Finalización del período para la adaptación de los contratos que utilicen las garantías de las cláusulas contractuales tipo de la Comisión Europea para la transferencia internacional de datos
El 27 de diciembre de 2022 finalizará el plazo de 15 meses de validez transitoria otorgado por la Decisión 2021/914 de la Comisión Europea. Dicha Decisión implanta un nuevo conjunto de cláusulas contractuales tipo para la transferencia de datos personales a terceros países. derogando las cláusulas de las Decisiones previas a partir del 27 de septiembre de 2021. Daba un plazo transitorio de validez para los contratos suscritos antes de dicha fecha con las cláusulas derogadas, bajo la premisa de que las operaciones de tratamiento no fuesen modificadas y las cláusulas ofreciesen garantías adecuadas a la transferencia. Pero desde el 27 de diciembre de 2022 no gozarán de validez los contratos que contengan las cláusulas derogadas, debiendo adaptarse a las nuevas.
En los últimos meses hemos podido revisar varias resoluciones emitidas por la Agencia Española de Protección de datos (AEPD) relativas al uso de sistemas biométricos en entornos laborales. La novedad de esta resolución es la finalidad del tratamiento, que no es el habitual control de acceso sino el registro de jornada laboral.
Así la AEPD aclara en primer lugar que los datos biométricos que se tratan son datos sensibles por lo que se requiere en primer lugar levantar la prohibición de tratamiento (artículo 9.2 RGPD) y posteriormente una base legal legitimadora del mismo (artículo 6 RGPD). En cuanto a la base legal, el reclamado basaba el tratamiento en varias de las previstas en el artículo 6 a lo que la AEPD aclara que de las alegadas por el reclamado la única correcta, en el caso analizado, es el cumplimiento de la obligación legal del responsable, prevista en el artículo 34.9 del Estatuto de los Trabajadores.
Cumplido el requisito de disponer de base legal se analiza la base alegada para levantar la prohibición, siendo aquí donde el empleador falla ya que no resulta posible juicio de la AEPD alegar “razones de un interés público esencial” (9.2 g), que el “tratamiento es necesario para fines de medicina preventiva o laboral” o que el tratamiento resulta necesario para cumplir con el artículo 34.9 del Estatuto de los Trabajadores. La imposibilidad de alegar esta última base radica en que la norma invocada no recoge la forma en que debe realizarse el tratamiento, solo la necesidad de realizarlo.
No obstante, la propia AEPD recoge que aplicando el 9.2b) podría levantarse la prohibición cuando: “el tratamiento sea necesario para dicho cumplimiento, en la medida en que así lo autoricen los Estados Miembros, o un Convenio Colectivo también con arreglo al derecho de los Estados miembros, que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”. Se recomienda por tanto evaluar si en el Convenio Colectivo se regula la posibilidad de implantar este tipo de soluciones biométricas para la llevanza del registro horario o en caso contrario evaluar otras alternativas como las que la Agencia Catalana recoge en una respuesta a una consulta.
Adicionalmente, recuerda asimismo la AEPD la necesidad de realizar una evaluación de impacto del tratamiento previo a su inicio, algo que la reclamada no había hecho.
El artículo 38.3 del RGPD establece que el delegado de protección de datos “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones” lo que a juicio del TJUE “ampara al delegado de protección de datos contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción, cuando tal decisión esté relacionada con el desempeño de sus funciones, debe considerarse dirigido esencialmente a preservar la independencia funcional del delegado de protección de datos (…)”.
Visto el objetivo de dicho precepto, lo que plantea la cuestión prejudicial del Asunto C‑534/20 es si dicho régimen puede verse reforzado por un Estado miembro, como sucede en el caso alemán o si por el contrario una previsión nacional a ese respecto sería contraria al RGPD.
En este sentido, el TJUE señala que cada Estado miembro tiene libertad, para establecer disposiciones específicas más protectoras en materia de despido del delegado de protección de datos. Así, si bien se aclara que el artículo 38.3 RGPD no otorga una protección laboral general sí que deja la puerta abierta a que el estatus del DPO se pueda reforzar a nivel nacional.
Señalar en este sentido que, en España, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales no establece un régimen de protección al DPO mayor al previsto en el citado artículo del RGPD.
Resulta evidente afirmar que la imagen de una persona es un dato personal, pero lo que no resulta tan incontrovertido es si para la consideración de la imagen como dato personal se exige que la fotografía muestre determinados elementos identificativos (rostro/ signos especiales o singulares…).
En el caso resuelto por la AEPD la imagen objeto de controversia se encontraba en el sitio web de la reclamada, para ilustrar el trabajo que realizaban. La imagen no permitía ver por completo a la persona, por lo que la empresa consideró que, al vérsele solo en parte, no resultaba posible su identificación, estaba “anonimizada”.
La AEPD difiere y basa la resolución en la Sentencia del Tribunal Supremo, Sala de lo Civil, de fecha 12 de julio de 2004, número de recurso 1702/200, al indicar que la imagen junto con el contexto de la imagen (referencia a la empresa) era suficiente para identificar a la persona física. Además, con la cita a la mencionada STS recuerda que no es necesario que el dato sea identificable para la generalidad del público, siendo suficiente con que lo sea, como indica el TS, para quien conocen a la persona.
El TS analiza el conflicto que se produce entre el derecho a la propia imagen (art 18.1 CE) y el derecho a la libertad de información (art 20.1) cuando un medio de comunicación difunde imágenes obtenidas de internet para ilustrar una noticia.
Así recuerda que ninguno de los derechos es absoluto y la prevalencia de uso sobre otro debe analizarse caso por caso, siendo relevante para que prevalezca la libertad de información el análisis de tres pautas “A) que la información comunicada venga referida a un asunto de interés general o relevancia pública, sea por la materia, por razón de las personas o por las dos cosas; B) proporcionalidad; es decir, que no se usen expresiones inequívocamente injuriosas o vejatorias; y C), por último, aunque no por ello menos importante, el de la veracidad«.
Aplicando dichas reglas al objeto de la controversia, el uso por parte de una cadena de televisión de unas imágenes obtenidas del canal de Youtube del hijo del reclamante para ilustrar el nivel de vida del reclamante quien supuestamente pertenecía a una red de narcotráfico, aprecia el TS que prevalece el derecho a la libertad de información. Basa dicha decisión en el contexto del reportaje en el que se difunden las imágenes que entiende es respetuoso con la persona y no tiene como objetivo satisfacer la curiosidad ajena sino ilustrar aspectos vinculados al caso sobre el que se está informando como puede ser el elevado nivel de vida del retratado siendo el uso de las imágenes coherente con el objetivo y contenido del reportaje.
Marcas
Según hemos podido conocer a través de diversas noticias, Citroën inició un procedimiento judicial en 2017 contra la sueca Polestar (filial de Volvo) por su comercialización en Francia bajo un logo con “parecidos razonables” al de Citroën. Un tribunal francés paralizó la venta de los coches eléctricos de Polestar en Francia (además de imponer una multa de 150.000€ por daños y perjuicios).
La similitud de logotipos se basaba en la presencia en el logo de Polestar de dos “chevrones”, emblema de Citroën desde principios del 1919, aunque tanto por formato como disposición fuesen diferentes y diferenciables. La similitud también se planteaba respecto al logo de DS, submarca inicial de Citroën (aunque ya independiente). El juzgado francés estimó riesgo de confusión para los usuarios por el nuevo logo adoptado por Polestar en 2017, llegando a restringir el acceso a la web de Polestar desde territorio francés por el uso marcas registradas francesas. La sentencia, evacuada en julio de 2020, extendía la prohibición durante seis meses, hasta enero de 2021. Citroën parece haber acudido al tribunal europeo a efectos de extender la prohibición a todo el territorio de la UE, en paralelo a negociaciones con Polestar, que prepara su vuelta al mercado francés una vez levantada la prohibición.
Más información:
https://www.actualidadmotor.com/polestar-y-citroen-solucionan-el-problema-de-los-logos-copiados/
https://www.actualidadmotor.com/logo-polestar-prohibido-francia-similitud-citroen-ds/
Reza el artículo 7.1.b) de la Ley de Marcas que no podrán registrarse como marcas los signo “que por ser idénticos o semejantes a un nombre comercial anterior y por ser idénticas o similares las actividades que designa a los productos o servicios para los que se solicita la marca, exista un riesgo de confusión en el público; el riesgo de confusión incluye el riesgo de asociación con el nombre comercial anterior”.
El TSJ de Madrid no aprecia riesgo de confusión entre las denominaciones “Princeps Vinum” y “Príncipe de Viana” y fallar a favor de la inscripción de la marca “Princeps Vinum”, pese a dedicarse ambas al sector vitivinícola. El TSJM estimaba que, pese la similitud denominativa y gráfica (ambos signos incluían una corona de tres puntas), la visión de conjunto de las marcas, junto con los factores complementarios (de significado semántico-conceptual de los componentes de la marca), permitían afirmar que no se producía confusión en el público por lo que ambos signos distintivos podían convivir. Por lo que ordenaba la inscripción de la marca.
NORMATIVA AL DÍA: Normas, guías y códigos
A través de la Disposición final segunda de la Ley 18/2022, de creación y crecimiento de empresas se modifica la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, siendo especialmente relevante desde el punto de vista de protección de datos la modificación del artículo 32 a través de la cual se aclaran, determinados aspectos sobre los tratamientos de datos que se deben realizar al cumplir con la citada norma de prevención del blanqueo: i) base legal habilitante; ii) obligaciones de información; iii) relación con los órganos centralizados de prevención o la iv) obligación de realizar una evaluación de impacto de los tratamientos.
Ha entrado en vigor la reforma de la Ley 14/2011, que contempla varias medidas destinadas a mejorar las garantías y derechos de la comunidad científica y el I+D+I. Entre las medidas de carácter más laboral se abordan cuestiones encaminadas a fomentar la transferencia del conocimiento entre el sector público y las empresas y la sociedad, en particular habilitando a las AAPP a invertir en las sociedades mercantiles.
En el ámbito de la protección de datos, la reforma busca asimismo reforzar la seguridad en el tratamiento y sus procesos (generación, almacenamiento, gestión, análisis y transferencia) exigiendo al Sistema de Información de Ciencia, Tecnología e Innovación implementar los criterios del Esquema Nacional de Seguridad y de Interoperabilidad y las directrices de la Oficina del Dato. Extendiéndose las obligaciones a los agentes del Sistema Español de Ciencia, Tecnología e Innovación en el marco de sus actuaciones en materia de investigación tanto pública como en el sector privado.
A ello se añade la promoción de la desagregación por sexo en la recogida, tratamiento y difusión de los datos a los efectos de elaborar los informes de impacto de género en el marco de la Estrategia Española de Ciencia, Tecnología e Información.
https://www.boe.es/buscar/act.php?id=BOE-A-2011-9617&b=17&tn=1&p=20220906#a11
Para facilitar la identificación del nivel de riesgo en el tratamiento de datos personales, la AEPD ha publicado la versión web de su herramienta Evalúa Riesgo RGPD, permitiendo a responsables y encargados realizar una primera evaluación inicial, de carácter no exhaustiva del riesgo intrínseco, detectando la obligación de efectuar una EIPD.
La AEPD ha dotado a la herramienta de una gran usabilidad, desde la compatibilidad con los navegadores, hasta la emisión de un informe final con los factores de riesgo fundados en el RGPD, LOPGDD, las directrices del Comité Europeo y las guías editadas por la agencia. Matiza que la herramienta tiene carácter general, requiriendo que en los supuestos concretos los responsables que la usen deben realizar ajustes de precisión en función del contexto y fines específicos.
En este sentido, cabe mencionar la reciente resolución de la AEPD (EXP202200399) en la que recuerda que estas guías son básicas y con su mero uso no se acredita el cumplimiento de las obligaciones legales exigibles al responsable. Concretamente, la AEPD señala en relación con la herramienta GESTIONA EIDP “sirve, únicamente, de guía para establecer los elementos básicos que deben ser tenidos en cuenta en los análisis de riesgos de los tratamientos y evaluaciones de impacto, sin embargo, no es válida para identificar de forma exhaustiva los posibles factores de riesgo que deben ser evaluados para proteger los derechos y libertades de los interesados presentes en el tratamiento de datos”.
Se pone por tanto en valor la importancia de contar con un asesoramiento ajustado a las características concretas de cada responsable.
Tras el comunicado conjunto emitido por la Comisión Europea y Estados Unidos el pasado 25 de marzo de 2022, parece que se está avanzando en alcanzar un acuerdo respecto al nuevo “Marco Transatlántico de Protección de Datos”, tras la invalidación en verano de 2020 por el TJUE del Privacy Shield por su falta de garantías respecto a la privacidad de los ciudadanos comunitarios, derivando en que autoridades de control en materia de protección de datos como la Autoridad austriaca o la francesa prohibiesen el empleo de Google Analytics. Se espera que la orden ejecutiva de EEUU se publique el próximo 3 de octubre siguiéndose posteriormente los cauces que correspondan.
Últimos boletines de Nuevas Tecnologías
Puedes consultar nuestras últimas newsletters a través de los siguientes enlaces:
- Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº7
- Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº6
- Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº5