Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #AEPD

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3 – 2025

Publicado el 18-03-2025
Protección de datos y seguridad de la información
 
Cumplimiento normativo

 

Charlas, eventos y novedades

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Toma de posesión de Lorenzo Cotino Hueso y Francisco Pérez Bes como presidente y adjunto, respectivamente, de la AEPD 

Lorenzo Cotino Hueso y Francisco Pérez Bes han tomado posesión del cargo de presidente y adjunto, respectivamente, de la Agencia Española de Protección de Datos (AEPD) en un acto celebrado en la sede de la Agencia y presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños.  

En su discurso, Lorenzo Cotino destacó los retos que enfrenta la AEPD debido al avance tecnológico y la inteligencia artificial, subrayando la necesidad de un plan estratégico para abordar estos desafíos. Por su parte, Francisco Pérez Bes enfatizó el compromiso de la Agencia con la cercanía al ciudadano, la transparencia y la innovación. Durante el acto, el ministro Félix Bolaños recordó la importancia de la privacidad en un contexto tecnológico en constante evolución y anunció la próxima aprobación de la Ley para la protección de los menores en entornos digitales. El mandato de los nuevos responsables de la AEPD tendrá una duración inicial de cinco años. 

 

 
Volver al índice
 

 

La AEPD sanciona a la Liga con 1 millón de euros por aplicar control biométrico en el acceso a los estadios 

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de un millón de euros a la Liga Nacional de Fútbol Profesional (LNFP) por incumplimientos en el tratamiento de datos personales en los accesos a los estadios de fútbol. La investigación, derivada de denuncias presentadas en 2022 y 2023, determinó que la Liga implementó sistemas de reconocimiento biométrico, como el uso de huellas dactilares y reconocimiento facial, sin cumplir con las garantías exigidas por el Reglamento General de Protección de Datos (RGPD).  

La AEPD ha determinado que estos sistemas no tenían una base legal adecuada, ya que el consentimiento no era libre al no haber alternativa real. Además, la Liga no evaluó el impacto en los derechos de los aficionados ni tomó medidas para reducir los riesgos del uso de datos biométricos. 

Como resultado, además de la multa, la AEPD ha ordenado la suspensión temporal del uso del reconocimiento biométrico hasta que se garantice el cumplimiento del RGPD. La Liga deberá realizar una Evaluación de Impacto en Protección de Datos para justificar la necesidad y proporcionalidad del sistema, así como implementar medidas de seguridad adecuadas. En caso de que la evaluación determine que el tratamiento de datos biométricos sigue siendo necesario, la Liga deberá solicitar consulta previa a la AEPD antes de su aplicación. La resolución puede ser recurrida ante la Audiencia Nacional, lo que podría prolongar el litigio durante varios meses o años. 

 

 
Volver al índice
 

 

España y la IA: anteproyecto de ley para la gobernanza de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado el anteproyecto de ley para la gobernanza de la Inteligencia Artificial (IA), alineando la legislación española al reglamento europeo. La normativa establece restricciones estrictas para el uso de la IA, prohibiendo prácticas como técnicas subliminales, explotación de vulnerabilidades y reconocimiento biométrico en espacios públicos, salvo por seguridad nacional. Además, regula los sistemas de alto riesgo en sectores como sanidad e infraestructuras e introduce la posibilidad de retirar del mercado sistemas que causen incidentes graves. También impone sanciones de hasta 35 millones de euros o el 7% del volumen de negocio global en casos de incumplimiento. 

Para garantizar el cumplimiento de estas normativas, se designan diversas autoridades de supervisión según el sector, incluyendo la Agencia Española de Protección de Datos, el Consejo General del Poder Judicial, el Banco de España y la Agencia Española de Supervisión de la Inteligencia Artificial. El anteproyecto se tramitará por la vía de urgencia antes de su aprobación definitiva en el Consejo de Ministros y su envío a las Cortes Generales. 

 

 
Volver al índice
 

 

 

CUMPLIMIENTO NORMATIVO

 

España refuerza la integridad y la ética en la Administración Pública 

Publicada en el BOE la Resolución de 5 de febrero de 2025, de la Secretaría de Estado de Función Pública, por la que se publica el Acuerdo del Consejo de Ministros de 28 de enero de 2025, por el que se aprueba el Sistema de Integridad de la Administración General del Estado. Se trata de un conjunto unificado de medidas que tiene como propósito promover y consolidar de manera global una cultura de integridad y valores éticos en la actuación de todo el personal de la Administración General del Estado.  

El Sistema incluye un código de buena administración para empleados públicos, un código de buen gobierno para altos cargos, un mecanismo de gestión del riesgo de integridad, protocolos para canales internos de información y una guía para la gestión de buzones de ética institucional. 

El Sistema alinea a España con las recomendaciones y mejores prácticas en materia de transparencia y buen gobierno de instituciones como la OCDE o el Consejo de Europa. 

 

 
Volver al índice
 

 

Modificación del Estatuto de la Autoridad independiente de protección del informante 

El Real Decreto 102/2025, de 18 de febrero, introduce modificaciones en el Estatuto de la Autoridad Independiente de Protección del Informante (A.A.I.), aprobado mediante el Real Decreto 1101/2024, de 29 de octubre, con el objeto de reforzar su marco normativo y mejorar su operatividad.  

Entre las modificaciones introducidas, se ha determinado que la sede de esta autoridad estará en Madrid. Asimismo, se han precisado y ampliado las funciones, reforzando su capacidad de asesoramiento jurídico interno para garantizar el adecuado ejercicio de sus competencias. Se establece, además, que podrá asumir funciones asignadas por su Estatuto u otras normativas, incluidas aquellas delegadas por la Presidencia de la Autoridad Independiente de Protección del Informante, A.A.I. 

Por otro lado, se han ajustado los procedimientos de consulta y emisión de informes, permitiendo solicitar la opinión de los departamentos de la Administración General del Estado cuando sus competencias puedan verse afectadas por la normativa en cuestión. Asimismo, se ha previsto la posibilidad de solicitar informes tanto a la Gerencia como a la Comisión Consultiva de Protección del Informante. 

 

 
Volver al índice
 

 

Escándalo en la Eurocámara: Huawei bajo investigación por presunta corrupción y sobornos 

Según una investigación belga en curso, Huawei habría sobornado a eurodiputados para influir en políticas comerciales de la Unión Europea. 

La policía belga ha llevado a cabo una serie de registros en la sede europea de Huawei en Bruselas y ha detenido a varios de sus lobistas por presunta corrupción en el Parlamento Europeo. La Fiscalía belga investiga un posible caso de soborno, falsificación de documentos y blanqueo de capitales, en el que estarían implicados hasta quince eurodiputados.  

La Fiscalía ha destacado que los presuntos sobornos se habrían materializado en forma de remuneraciones, regalos y privilegios con el objetivo de influir en la toma de decisiones del Parlamento Europeo, particularmente en relación con las restricciones impuestas a empresas chinas de telecomunicaciones. 

 

 
Volver al índice
 

 

EE. UU. suspende temporalmente la aplicación de la ley anticorrupción en el extranjero (FCPA) 

El presidente de EE.UU. ha ordenado la suspensión temporal de la aplicación de la Ley de Prácticas Corruptas en el Extranjero (FCPA) durante un periodo de 180 días, argumentando que su aplicación excesiva afecta la competitividad de las empresas estadounidenses y perjudica los intereses económicos y de seguridad nacional. Durante este periodo, el Fiscal General deberá detener la apertura de nuevas investigaciones, analizar los casos en curso y emitir nuevas directrices que limiten el alcance de la ley para alinearla con los intereses económicos y de política exterior del país. 

La decisión ha generado controversia, ya que algunos advierten que podría debilitar la lucha contra la corrupción en el extranjero, mientras que el gobierno de EE. UU. sostiene que la suspensión es necesaria para evitar regulaciones que obstaculizan la presencia de compañías estadounidenses en mercados estratégicos. Dependiendo de los resultados de la revisión, la suspensión podría extenderse otros 180 días si se considera necesario y podría llevar a cambios permanentes en la aplicación de la ley. 

 

 
Volver al índice
 

 

La Unión Europea aprueba la Ley Ómnibus 

La Comisión Europea ha aprobado el paquete Ómnibus, marcando un hito en la regulación de la sostenibilidad empresarial al introducir una serie de reformas destinadas a reducir la carga administrativa para las empresas sin comprometer sus compromisos ambientales. La propuesta de la Comisión Europea busca simplificar normativas clave, como la Directiva de Información sobre Sostenibilidad Corporativa (CSRD), la Directiva sobre Diligencia Debida en Sostenibilidad (CSDDD) y la taxonomía de la UE, con el objetivo de armonizar el marco regulador y mejorar la competitividad empresarial.  

Esta iniciativa responde a preocupaciones recientes sobre el impacto de la burocracia en el crecimiento económico y la capacidad de las empresas europeas para competir a nivel global, un aspecto destacado en el Informe Draghi de 2024. 

Entre las principales medidas del paquete se encuentra la reducción de un 25% en la carga de reporte para empresas y hasta un 35% para pymes, garantizando un marco normativo más claro y coherente. Asimismo, se introduce un enfoque flexible para las empresas de tamaño mediano y aquellas con operaciones en múltiples Estados miembros, permitiendo regímenes regulatorios adaptados a sus necesidades. Además, la iniciativa busca optimizar el acceso a programas de inversión como InvestEU y el Fondo Europeo para Inversiones Estratégicas (FEIE), facilitando la financiación sostenible para la transición ecológica. 

 

 
Volver al índice
 

 

Actualización de la norma ISO 37001:2025 

La norma ISO 37001:2025, publicada el 28 de febrero de 2025, representa la segunda edición del estándar global para sistemas de gestión antisoborno. Esta actualización incorpora modificaciones relevantes destinadas a mejorar la prevención, detección y gestión del soborno en organizaciones de distintos sectores. 

Entre las principales actualizaciones se destacan su alineación con la estructura armonizada de normas ISO e IEC, lo que facilita su integración con otros sistemas de gestión; reforzar la cultura antisoborno dentro de las organizaciones, enfatizando el liderazgo y el compromiso organizacional; y clarificación de los roles y responsabilidades en la función antisoborno para garantizar una supervisión más efectiva. 

Las organizaciones certificadas bajo la versión 2016 disponen de un período de transición de dos años para adaptarse a los nuevos requisitos de la ISO 37001:2025. 

 

Volver al índice
 

 

CHARLAS, EVENTOS Y NOVEDADES

 

ATANA celebra su Asamblea General Ordinaria 2025 y renueva su Junta Directiva 

Recientemente, ATANA, el clúster de tecnología y consultoría de Navarra, ha celebrado su Asamblea General Ordinaria correspondiente al año 2025. Durante la sesión, se trataron diversos temas entre los que destacamos la renovación de la Junta Directiva. En este contexto, se confirmó la continuidad en la Junta Directiva de Álvaro Abáigar, socio – director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores. 

 

 
Volver al índice
 

 

Publicado en Circulares, Corporate Compliance, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3 – 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Publicado el 25-10-2024
Protección de datos

 

Cumplimiento normativo

 

Normativa al día
 
Charlas, eventos y novedades

El próximo 28 de noviembre, Jorge Arellano, Asociado y Responsable del Área de Cumplimiento Normativo de ARPA Abogados Consultores, dirigirá el taller sobre Gobierno Corporativo Compliance Entendiendo y trabajando el pilar buen gobierno y compliance de la sostenibilidad a través del juego de mesa RSE Gob en el Club de Marketing y con el apoyo del Servicio Navarro de Empleo – Nafar Lansare. 

 

 

 

PROTECCIÓN DE DATOS

 

Verificación de edad en infancia. La AEPD publica una nota técnica. 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica titulada “Internet seguro por defecto para la infancia y el papel de la verificación de edad”, donde se analiza la necesidad de crear un entorno digital más seguro para los niños, niñas y adolescentes. El documento subraya que es posible proteger de manera efectiva a los menores en Internet sin comprometer la privacidad de los usuarios ni exponer a los menores a nuevos riesgos.  

La AEPD propone un cambio de paradigma en la protección de la infancia en Internet, priorizando la protección preventiva. En lugar de estrategias reactivas que actúan sólo después de que los menores ya han sido expuestos a riesgos, se recomienda aplicar los principios de protección de datos por defecto. Esto implica la creación de espacios en Internet que sean seguros para los menores, respetando sus derechos y libertades.  

Uno de los elementos clave para lograr este entorno seguro es la verificación de edad, que debe ser utilizada como una herramienta que permita limitar el acceso de los menores a contenidos o servicios inapropiados. Esta verificación debe cumplir con el Reglamento General de Protección de Datos y otras normativas que refuerzan la protección de la infancia, evitando generar nuevos riesgos o pérdida de derechos. 

En la nota técnica también se analizan cuatro casos de uso y se sugieren buenas prácticas para proteger a los menores de riesgos como el acceso a contenido inapropiado, el contacto con personas peligrosas, la explotación de sus datos personales o la inducción a comportamientos adictivos. 

 

Volver al índice

 

El Comité Europeo de Protección de Datos adopta un dictamen sobre los encargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

 

En su último pleno, el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

En primer lugar, el CEPD emitió la Opinión 22/2024 en respuesta a una solicitud de la Autoridad Danesa de Protección de Datos, proporcionando una guía detallada sobre cómo deben los responsables del tratamiento gestionar y supervisar a los encargados y subencargados para garantizar el cumplimiento del RGPD. 

Entre los puntos principales, la Opinión resalta el deber de los responsables de obtener información sobre los encargados y subencargados involucrados en el tratamiento de datos (nombre, dirección, persona de contacto) y mantenerla actualizada. Además, el CEPD señala que los responsables del tratamiento deben evaluar si los encargados proporcionan garantías suficientes, independientemente del nivel de riesgo de la actividad de procesamiento. 

También se establece que, si bien los encargados pueden proponer subencargados, la decisión final recae sobre el responsable de tratamiento, quien debe verificar que los subencargados cumplan con las mismas obligaciones y garantías. Aunque no es necesario revisar sistemáticamente los contratos realizados entre encargados y subencargados, el responsable debe evaluar, en función del riesgo. si es necesario hacerlo para cumplir con el principio de responsabilidad. 

Por otro lado, el Comité adoptó las Directrices 1/20242 sobre el tratamiento de datos personales basado en el interés legítimo, las cuales se encuentran en consulta pública hasta el 20 de noviembre de 2024. 

Estas directrices analizan los criterios establecidos en el artículo 6.1.f) del RGPD que deben cumplir los responsables del tratamiento para que sea lícito sobre la base de un interés legítimo. En este sentido, deben cumplirse tres condiciones acumulativas:  

    • La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero. 
    • La necesidad de tratar los datos personales para los fines del interés legítimo perseguido. 
    • Los intereses o las libertades y derechos fundamentales de los interesados no prevalecen sobre el interés legítimo del responsable del tratamiento o de un tercero.  

 

La evaluación del interés legítimo y, en particular, la ponderación de intereses y derechos contrapuestos requiere la consideración de una serie de factores como la naturaleza y el origen de los intereses legítimos pertinentes, el impacto del tratamiento en el interesado y sus expectativas razonables sobre el tratamiento y la existencia de salvaguardas adicionales que puedan limitar el impacto en el interesado. 

 

Volver al índice

 

Pixel tracking y otras formas de seguimiento. Nuevas directrices sobre el ámbito de aplicación técnico de la Directiva ePrivacy. 

 

El Comité Europeo de Protección de Datos ha adoptado una nueva guía sobre el Alcance Técnico del artículo 5(3) de la Directiva ePrivacy, que aborda la aplicabilidad de dicho artículo a diversas soluciones técnicas y tecnologías emergentes de seguimiento de datos, como por ejemplo el pixel tracking, sensores IoT o identificadores únicos de dispositivos. 

La aparición de nuevos métodos de rastreo que sustituyen a las herramientas de rastreo existentes y la creación de nuevos modelos de negocio, se ha convertido en una preocupación fundamental en materia de protección de datos. De este modo, aunque el artículo 5(3) de la Directiva ePrivacy se aplica a algunas tecnologías de rastreo como las cookies, es necesario abordar las ambigüedades relacionadas con la aplicación de dicha disposición a las nuevas herramientas de rastreo.  

Las Directrices identifican tres elementos clave para la aplicabilidad del precepto, a saber, “información”, “equipo terminal de un usuario” y “acceso y almacenamiento de información”, proporcionando un análisis detallado de cada elemento. Además, se analizan nuevos casos de uso de tecnologías de seguimiento. 

 

Volver al índice

 

El Consejo de Transparencia y Protección de Datos de Andalucía publica la “Guía sobre Protección de datos personales para centros educativos

 

El Consejo de Transparencia y Protección de Datos de Andalucía ha presentado la “Guía sobre Protección de datos personales para centros educativos”. El documento aborda la importancia de la protección de datos en los centros educativos, especialmente para proteger los derechos de los menores. 

La guía tiene tres objetivos principales: garantizar el cumplimiento de la normativa vigente, en especial el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos; responder a las dudas que puedan surgir en relación con el tratamiento de datos personales; y promover la mejora de protocolos en los centros educativos. 

La Guía se ha desarrollado teniendo muy presente las aportaciones de la comunidad educativa realizadas a través de un cuestionario específico en la materia, y está dividida en dos partes: una descriptiva sobre la normativa y otra práctica, con preguntas y respuestas sobre casos comunes en el ámbito educativo. Además, cubre temas como plataformas digitales, móviles y videovigilancia, y concluye con consejos básicos para garantizar el cumplimiento de la ley. 

 

Volver al índice

 

 

Límites protección programas de ordenador. ¿Es extensible a los datos en memoria? 

 

Después de un largo proceso judicial en el caso de que enfrentaba a Sony contra Datel, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado que la modificación en memoria de variables realizada por un programa de ordenador no constituye una modificación del mismo, y por lo tanto no es contrario a la Directiva del Consejo sobre protección jurídica de programas informáticos. En el caso analizado, DATEL comercializaba un programa que permitía a los usuarios modificar las variables cargadas en memoria por los juegos de Sony en la consola PSP y la cuestión se centraba en ver si el contenido de tales variables está comprendido en el ámbito de aplicación de la protección del derecho de autor o por el contrario era algo ajeno a ella, ya que no se modificaba en ningún momento el código fuente o objeto del videojuego de Sony. Como se ha indicado el Tribunal considera que la protección de la Directiva no alcanza a la protección de los datos variables almacenados por un programa de ordenador protegido en la memoria local utilizados por dicho programa durante su ejecución.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Seguros y Compliance

Como es sabido, los sistemas Corporate Compliance penal se configuran como modelos de organización y gestión diseñados para la creación y fomento de una cultura de cumplimiento normativo en la empresa. 

En cualquier caso, y conviene recordarlo, también resulta recomendable reforzar la protección de los sistemas mediante la formalización de seguros, que puedan cubrir contingencias de tipo civil y penal, tanto de la empresa como de los responsables de la gestión del sistema de Compliance.  

Lógicamente, ningún seguro va a cubrir los delitos dolosos, sin embargo, sí que pueden incluir la protección por responsabilidades civiles derivadas faltas cometidas por imprudencia, incumplimientos de empleados, gastos de defensa (también penal) e incluso la presentación y los gastos de constitución de fianzas. 

Por lo tanto, los Compliance Officers y también los Directivos de la empresa no deberían olvidar la importancia de complementar la protección de los sistemas de Compliance con la cobertura de seguros, tanto en materia civil como penal, como se dice coloquialmente, hombre que no previene accidentes tiene…

 

Volver al índice

 

Condenado un hostelero por las molestias y excesivo ruido de la actividad de su pub 

El Tribunal Superior de Justicia de Castilla y León ha ratifica la sentencia de la Audiencia de Zamora contra un hostelero condenado a tres años de prisión por un delito contra el medio ambiente. 

Desde su apertura como pub, pero sobre todo en los últimos años, han sido constantes las quejas y denuncias sucesivas por las continuas y graves molestias a los vecinos por el nivel de ruido y música más elevado de lo permitido hasta altas horas de la madrugada. Además de incumplimiento de los horarios de recogida de la terraza y cierre del establecimiento. 

Para el tribunal, la sentencia de la Audiencia Provincial realiza un “riguroso análisis del material probatorio existente en las actuaciones”, una prueba “suficientemente clara como para dejar acreditado no solo el insufrible ruido que producía el condenado desde su local, sino del conocimiento que él tenía de las importantes molestias que ocasionaba al vecindario”.  

La Sala concluye que “resulta acreditado el riesgo de afectación grave de la salud de estas personas a un nivel de ruidos más elevado de lo tolerable y la, al menos, posible lesión de los bienes jurídicamente protegidos -derecho a la integridad física y moral y a la intimidad personal o familiar- (…) la contaminación acústica fue muy prolongada en el tiempo y durante periodos nocturnos seguidos lo que imposibilitaba o, al menos, dificultaba el descanso nocturno esencial para el ser humano”. 

 

Volver al índice

 

 

Auto: Consideraciones sobre el “defecto estructural” y la complejidad empresarial 

Destacamos el Auto 343/2024 de la Audiencia provincial de Barcelona en materia de responsabilidad penal de las personas jurídicas, en el mismo (sobre el delito de estafa) se recuerda que el fundamento de imputación de la empresa (es decir el delito corporativo) se basa en la existencia del defecto estructural en los mecanismos de prevención y control de la entidad (fundamento de derecho 2º): 

De entre las consideraciones realizadas hasta el momento, nos quedamos en que, para hablar del fundamento de esa responsabilidad exigible a la persona jurídica por su propio delito, es preciso partir de la constatación de algún defecto estructural en los mecanismos de prevención y control que le fueran exigibles por razón de su organización tendentes a los fines a que se orienta su actividad. 

El Auto también destaca que las medidas de control e incluso la propia imputabilidad de la empresa dependerá de su grado de complejidad, abriendo la posibilidad de liberar de responsabilidad a las entidades sin estructura: 

…la responsabilidad penal de la persona jurídica gira en clave de complejidad organizativa, de manera que cabrá hablar de imputabilidad respecto de aquéllas que presenten un cierto grado de complejidad con la consecuencia de que no todas las personas jurídicas serán imputables, sirviendo de apoyo, de alguna manera, para esto que decimos el distinto tratamiento que en orden a las funciones de supervisión se establecen en el propio art. 31 bis CP para las personas jurídicas de pequeñas dimensiones, en comparación con los mecanismos de compliance propios de las de mayor complejidad. 

Volver al índice

 

 

NORMATIVA AL DÍA

 

NIS2: ausencia de transposición y primera normativa de ejecución. 

Si a nivel nacional seguimos sin transponer la directiva NIS2 pese a que el pasado 17 de octubre finalizó el plazo máximo para ello, si que desde la comisión se ha dictado un reglamento de ejecución que viene a establecer los requisitos técnicos y metodológicos de las medidas a que se refiere la Directiva NIS2 con respecto a determinados proveedores (ej.  proveedores de servicios de computación en nube, los proveedores de servicios gestionados o los proveedores de servicios de seguridad gestionados). 

Volver al índice

 

Reglamento relativo a la seguridad general de los productos. 

El próximo día 13 de diciembre de 2024 será de aplicación el  Reglamento (UE) 2023/988 relativo a la seguridad general de los productos. A destacar las obligaciones específicas de los prestadores de mercados en línea relacionadas con la información sobre seguridad de los productos que permitan a los comerciantes que ofrezcan el producto proporcionar. A este efecto, por ejemplo, será necesario informar entre otros del nombre, nombre comercial registrado o marca registrada del fabricante, información que permita identificar el producto, (incluidos una imagen del producto, su modelo y cualquier otro identificador del producto) o cualquier advertencia o información relativa a la seguridad que deba colocarse en el producto o su envase. 

 

Volver al índice
Publicado en Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5 – 2024

Publicado el 03-06-2024
Protección de datos – Seguridad de la Información

 

Publicidad

 

Cumplimiento normativo

 

Normativa al día

 

Charlas, eventos y novedades

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Actualizada la guía sobre el uso de las cookies de la AEPD. 

La Agencia Española de Protección de Datos ha actualizado su guía sobre el uso de las cookies incluyendo la Opinión 8/2024 del Comité Europeo de Protección de Datos (CEPD) sobre la modalidad “pay or okay” implementada por grandes plataformas online a la que nos referimos en la anterior newsletter. En este sentido la AEDP señala en la Guía sobre cookies que, si bien la opinión del CEPD se refiere únicamente a grandes plataformas, se espera que en el primer semestre de 2025 se publique una Guía de aplicación general sobre la validez del consentimiento en modelos “pay or okay”.  

 

Volver al índice

 

Publicado Informe del Comité Europeo de Protección de Datos sobre ChatGPT. 

El Comité Europeo de Protección de Datos ha publicado el pasado 27 de mayo un informe sobre las labores de investigación realizadas por el grupo de trabajo de ChatGPT en relación con los tratamientos que realiza OpenAI a través de su solución de IA (Inteligencia Artificial). El informe recoge que aún no han concluido las labores de investigación por lo que se trata de una revisión preliminar en la que se detallan las líneas maestras de dicho análisis a saber: Licitud de dos de los tratamientos realizados, Lealtad del tratamiento, Transparencia y deber de información, Exactitud de los datos y Derechos de los interesados, y otorgan una seria de directrices en relación con dichos elementos.  

 

Volver al índice

 

Opinión del Comité Europeo de Protección de Datos sobre el reconocimiento facial en aeropuertos. 

El pasado 23 de mayo, a petición de la Autoridad de control francesa, el CEPD emitió una opinión relativa al uso de tecnologías reconocimiento facial en los aeropuertos con un alcance muy concreto ya que se analizan momentos (controles de seguridad, entrega de equipajes, embarque y acceso a la sala de pasajeros) y formas de tratamiento concretos en relación con artículos específicos del RGPD (Reglamento General de Protección de Datos) centrados principalmente en la seguridad (artículos 5.1(f) -Integridad y Confidencialidad- 25 – Privacidad desde el diseño y por defecto – y 32 – Seguridad- RGPD), quedando excluido del análisis por no ser objeto de la consulta remitida por la Autoridad francesa, la valoración del consentimiento como base de legitimación para el tratamiento.  

Así, el CEPD analiza las distintas propuestas planteadas y alcanza distintas conclusiones dependiendo de la forma en que se tratan los datos. En este sentido, parece desprenderse del informe que los escenarios descritos que permiten la autenticación de los pasajeros (comparación 1:1) sí que podrían ser eventualmente compatibles con los artículos mencionados, mientras que el CEPD muestra mayor oposición en el caso de los escenarios de identificación de pasajeros (comparación 1:N).  

No obstante, se trata de un análisis específico de determinados artículos correspondiendo a los responsables de tratamiento el tratamiento específico a realizar empleando tecnología biométrica. 

Volver al índice

 

Aprobada la Estrategia Nacional de Inteligencia Artificial. 

El Ministerio para la Transformación Digital y de la Función Pública ha aprobado la Estrategia Nacional de Inteligencia Artificial, con el objetivo de promover una utilización sostenible de la IA. Dicha estrategia ha establecido 6 ejes estratégicos para dar cumplimiento a los objetivos: Impulsar la investigación científica, el desarrollo tecnológico y la innovación en IA;  Promover el desarrollo de capacidades digitales, potenciar el talento nacional y atraer talento global en inteligencia artificial; Desarrollar plataformas de datos e infraestructuras tecnológicas que den soporte a la IA; Integrar la IA en las cadenas de valor para transformar el tejido económico; Potenciar el uso de la IA en la administración pública y en las misiones estratégicas nacionales; y Establecer un marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social. 

 

Volver al índice

 

PUBLICIDAD

 

Publicado el Real Decreto sobre los requisitos para ser “Influencers”.

El pasado 1 de mayo se publicó el Real Decreto 444/2024, que regula las condiciones para ser considerado un usuario de especial relevancia de los servicios de intercambio de vídeos a los efectos de tener que cumplir con las obligaciones previstas en el artículo 94 de la Ley 13/2022, General de Comunicación Audiovisual, debiendo asimismo inscribirse en Registro Estatal previsto en el artículo 39 de la Ley General de Comunicación Audiovisual. 

En este sentido se establece que, para ser usuario de especial relevancia se deberán cumplir los requisitos previstos en el artículo 3 y 4 del Real Decreto 444/2024 que recoge requisitos económicos y de audiencia.  

    • Requisito económico: Deberá tener ingresos derivados exclusivamente de su actividad de “influencer” (pagos realizados por las plataformas, los ingresos publicitarios, los pagos abonados por la audiencia, las aportaciones de entidades públicas y cualquier otro ingreso derivado de su actividad) iguales o superiores a 300.000 euros.   
    • Requisitos de audiencia: Habrá de haber tenido en algún momento del año natural anterior un número de seguidores igual o superior a 1.000.000 en un único servicio de intercambio de vídeos a través de plataforma; o un número de seguidores igual o superior a 2.000.000, de forma agregada.   

Deberá haber publicado al menos 24 vídeos en el último año, independientemente de la duración de los mismos.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Publicado el texto del proyecto del Real Decreto del Estatuto de la Autoridad Independiente de Protección al Informante. 

El pasado 21 de mayo ha finalizado el trámite de consulta pública del Proyecto del Real Decreto del Estatuto de la Autoridad Independiente de Protección al Informante , el proceso de aprobación del texto se gestionará a través de tramitación urgente. 

La Autoridad Independiente de Protección al Informante (AIPI) será un ente con autonomía e independencia funcional vinculada al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, cuyas funciones serán las de actuar como canal externo de comunicaciones, elaborar circulares, así como iniciar, instruir y resolver procedimientos sancionadores por las infracciones previstas en la Ley 2/2023. La AIPI contará con la figura de la Presidencia (a propuesta del ministro de la Presidencia, Justicia y Relaciones con las Cortes), Comisión Consultiva, así como del Departamento de Protección al Informante, Departamento de Seguimiento y Régimen Sancionador y Gerencia.  

 

Volver al índice

 

Nueva Directiva penal medioambiental. 

El Consejo Europeo adoptó el pasado 26 de marzo la Directiva sobre la protección del medio ambiente mediante el derecho penal, que sustituirá a las Directivas 2008/99/CE y 2009/123/CE. La Directiva pretende fomentar en los Estados Miembros el uso del Derecho Penal para disuadir de la comisión de conductas perjudiciales para el medio ambiente. En este sentido se armonizan las definiciones de los delitos, y se amplían las conductas tipificadas como delito.  

 

Volver al índice

 

NORMATIVA AL DÍA

 

Reglamento de Inteligencia Artificial. 

A falta de su publicación en el Diario Oficial de la Unión Europea el texto final del Reglamento en materia de Inteligencia Artificial ha sido aprobado por el Parlamento y el Consejo Europeo poniendo punto y final al proceso legislativo. Así, se espera que en los próximos días se proceda a su publicación.  

 

Volver al índice

 

Creación de la Oficina Europea de IA 

La Comisión Europea comunicó el pasado 29 de mayo la creación de la Oficina de IA de la Unión Europea cuya finalidad será entre otros objetivos, garantizar una aplicación coherente de la Ley de IA.  

 

Volver al índice

 

Guía de Seguridad de las TIC CCN-STIC 892. Anexo I. Categoría del Sistema determinada por la Postura de Seguridad (PCE-NIS2) 

Se publica por el Centro criptológico nacional el Anexo I se la Guía de Seguridad de las TIC de forma que “pase a formar parte del conjunto documental del sistema de información que soporta los servicios prestados por entidades esenciales y entidades importantes, según las define la Directiva NIS2” 

 

Volver al índice

 

CHARLAS, EVENTOS Y NOVEDADES

 

IAbility Day 

El próximo 11 de junio, tendrá lugar una nueva edición del IAbility Day, en la que Álvaro Abáigar socio-director del Dpto. de Nuevas Tecnologías y Cumplimiento Normativo de ARPA Abogados Consultores abordará junto con otros expertos en la materia las problemáticas derivadas del impacto socioeconómico, de la ética y el marco regulatorio de la Inteligencia Artificial. 

 

Volver al índice

 

Publicado en Circulares, Corporate Compliance, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2 – 2024

Publicado el 29-02-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Propiedad Intelectual e Industrial

 

Normativa al día

 

Charlas y eventos

  • El pasado 9 de febrero, el director del departamento Álvaro Abáigar junto a Leire Arbona, directora de Legal y Cumplimiento en Veridas, impartieron una sesión sobre Inteligencia Artificial y su reglamentación europea e internacional en el foro del Club Cámara.  

  • El pasado 19 de febrero, Candela Martínez impartió una sesión formativa sobre protección de activos intangibles en el «Curso sobre emprendimiento en industrias culturales y creativas» organizado por Carlos Mangado.  

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el acceso a centros deportivos. 

La Agencia Española de Protección de Datos publicaba a comienzos del mes de febrero, una resolución firmada en mayo de 2023, en la que se sancionaba a un gimnasio por no disponer de una base legal habilitante para el tratamiento de los datos biométricos de sus socios. Entendía la AEPD que la ejecución del contrato no suponía una base suficiente.  

Así, la AEPD sanciona al centro deportivo por no informar correctamente a los usuarios del tratamiento (infracción del artículo 13 RGPD) y por no disponer de base legal habilitante (artículos 9 – por tratarse de categorías especiales de datos- y 6 RGPD)  

 

Volver al índice

 

¿Cuál es el “establecimiento principal” del responsable de tratamiento? El CEPD lo aclara. 

El concepto de establecimiento principal es uno de los ejes del sistema de ventanilla única de la Unión Europea. Se trata del concepto que determinará cual será la autoridad supervisora en los casos transfronterizos de protección de datos. En este sentido, la Autoridad Francesa de Protección de Datos solicitó la aclaración del concepto, ante lo cual, el CEPD ha aclarado que el establecimiento principal será el “lugar de administración central” del responsable del tratamiento, siempre que tome decisiones sobre los fines y medios del procesamiento de datos personales y tenga el poder de implementar dichas decisiones. 

 

Volver al índice

 

Tan solo unos días de resultar aplicable el Reglamento de Servicios Digitales, comienzan las primeras investigaciones. 

El pasado 17 de febrero resultaba aplicable en parte el Reglamento de Servicios Digitales, que entró en vigor el 16 de noviembre de 2022 y tan solo dos días después se abría por la Comisión Europea el primer procedimiento formal frente a la red social TikTok a los efectos de determinar si TikTok ha infringido el Reglamento, analizando entre otros aspectos si la aplicación tiene un diseño adictivo, o si asegura la privacidad de los menores y la transparencia publicitaria. 

 

Volver al índice

 

Representantes de los trabajadores y políticas de uso de dispositivos digitales. 

La reciente Sentencia del Tribunal Supremo número 566/2024, de 6 de febrero, ha analizado un caso en el que se impugnaba la actualización de una política de empresa sobre uso de correo electrónico, internet, almacenamiento de información en discos duros, y sobre conexión de ordenadores para el teletrabajo. En la elaboración de dicha política no había participado la Representación de los Trabajadores, de acuerdo con el artículo 87.3 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, lo que motivó su impugnación. 

En este sentido, el Supremo recalca que, aunque el mandato incluido en el artículo 87.3 LOPDGDD no tiene efectos retroactivos, cualquier modificación de los criterios previamente establecidos a la entrada en vigor de la LOPD, o cualquier especificación de los mismos, ampliación o restricción debe seguir las normas establecidas en la ley por lo que debe permitirse la participación de la Representación de los Trabajadores.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Tratamiento de datos personales incluidos en los sistemas Internos de Información. 

La Agencia Española de Protección de Datos ha emitido un informe en el que analiza la base legal aplicable al tratamiento de datos personales obtenidos mediante el Sistema Interno de Información de la empresa, para fines no recogidos en el ámbito de aplicación de la Ley 2/2023 de protección al informante. En ese caso, al tratarse de datos que exceden el alcance de dicha ley, indica la AEPD que no podría basarse dicho tratamiento en el cumplimiento de una obligación legal ni en el interés legítimo del responsable.  

Así las cosas, debe extremarse la precaución en cuanto al tratamiento de datos personales a través del sistema interno de información para garantizar en cumplimiento de las exigencias en materia de protección de datos. Se recomienda en este sentido analizar en detalle el tratamiento para garantizar que está alineado con la normativa de protección de datos especialmente si el mismo se ha venido empleando como canal de entrada de informaciones que se encuentren fuera del alcance de la Ley 2/2023.  

 

Volver al índice

 

Nueva norma sobre gestión de Compliance en materia de libre competencia. 

El pasado mes de noviembre, se publicó la norma UNE 19603:2023, sobre Sistemas de Gestión de Compliance en materia de Libre Competencia. Dicha norma permitirá a las empresas, certificar sus sistemas de Compliance en relación con la competencia, y sirve de complemento a la Guía de la Comisión Nacional de los Mercados y de la Competencia sobre programas de cumplimiento en relación con las normas de defensa de la competencia. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Los escritos procesales como obras de propiedad intelectual.  

El pasado 9 de enero de 2024, la Audiencia Provincial de Valencia estimó la demanda de una abogada que se dirigía contra un compañero de profesión por copiar casi íntegramente un escrito suyo de contestación a la demanda. La autora del escrito, considerando que el escrito procesal tenía el carácter de obra original, y estaba, por tanto, comprendido dentro del artículo 10.1 a) de la Ley de Propiedad Intelectual inició acciones contra el compañero que había empleado el mismo como propio. La demanda interpuesta por la abogada se estimó al considerarse que el escrito procesal tenía la consideración de obra de propiedad intelectual.   

 

Volver al índice

 

Los fabricantes de automóviles pueden prohibir vender piezas de recambio con sus logos. 

El pasado 25 de enero, se publicó una Sentencia del Tribunal de Justicia de la Unión Europea que conoce un caso en que el demandado vendía rejillas de radiadores diseñadas para modelos antiguos de la marca Audi en las que se incluía un espacio moldeado con la forma del logotipo de la marca, lo que a juicio de Audi infringía sus derechos marcarios.  

En relación con ese asunto se plantea una cuestión prejudicial al TJUE quien determina que en cuanto al uso de la marca de un tercero en piezas de recambio pueden darse dos situaciones: una en la que la “empresa no vinculada económicamente al titular de la marca coloca un signo idéntico o similar a esa marca en las piezas de recambio que comercializa y que están destinadas a ser incorporadas a los productos de dicho titular”  y otra en la que la “empresa, sin colocar un signo idéntico o similar a la marca sobre esas piezas de recambio, hace uso de esa marca para indicar que tales piezas de recambio están destinadas a incorporarse a los productos del titular de dicha marca”. Así, determina el TJUE que la segunda de estas situaciones se ajusta a la normativa mientras que la primera excede el uso en concepto de referencia al que alude el artículo 14, apartado 1, letra c), del Reglamento 2017/1001 y, por tanto, no está comprendido en ninguno de los supuestos contemplados por esta disposición. 

De este modo, aunque el troquelado de la marca se incluyera con la finalidad de incorporar de manera sencilla el logo de la marca una vez instalada la rejilla, dicho uso se entendió que menoscababa las funciones de la marca, en concreto, garantizar la calidad o la procedencia de un determinado producto.

 

Volver al índice

 

NORMATIVA AL DÍA

 

La Comisión Europea avanza en la creación de la Oficina Europea de Inteligencia Artificial. 

El pasado 21 de febrero entró en vigor la decisión por la que se crea la Oficina Europea de Inteligencia Artificial, que formará parte de la Dirección General de Redes de Comunicación, Contenido y Tecnologías. El objetivo del organismo será asegurar la correcta aplicación y ejecución del futuro Reglamento IA, así como el fomento del uso y de la comprensión de las herramientas de Inteligencia Artificial. Para asegurar sus objetivos, se prevé que trabaje en colaboración con los estados miembro, así como con expertos de la comunidad científica y desarrolladoras de IA.  

 

Volver al índice

 

Publicado en Circulares, Corporate Compliance, Nuevas Tecnologías, Propiedad Intelectual e Industrial | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2 – 2024

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 10 – 2023

Publicado el 13-12-2023
Protección de datos – Seguridad de la Información

 

Compliance

 

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Se acaba el plazo para adaptarse a las nuevas directrices sobre cookies  

Tal y como comunicamos en anteriores newsletters, el pasado julio, la Agencia Española de Protección de Datos actualizaba su guía de cookies incorporando las Directrices 03/2022 del Comité Europeo de Protección de Datos de febrero de 2023 sobre patrones engañosos en redes sociales.  

Pues bien, el plazo para implementar los cambios introducidos por la mencionada actualización finaliza el próximo 11 de enero por lo que se recomienda revisar la utilización de cookies para garantizar el cumplimiento de las directrices emitidas por la Agencia Española de Protección de datos.  

 

Volver al índice

 

 

Cambio de criterio de la AEPD en el uso de biometría para control de jornada y accesos. 

La Agencia Española de Protección de datos ha publicado una nueva Guía Tratamientos de control de presencia mediante sistemas biométricos en la que reevalúa la posibilidad de emplear soluciones que emplean datos biométricos, entre otros ámbitos, en el entorno laboral. La nueva guía supone un cambio muy relevante de criterio de la Agencia Española de Protección de datos sobre el tema por lo que recomendamos revisar este tipo de tratamientos.  Entre las principales novedades podemos destacar las siguientes:  

    • Categoría especial de datos: en línea con las Directrices 05/2022 del Comité Europeo de Protección de Datos, concluye que el dato biométrico en este contexto es de categoría especial, por lo que a parte de una base legal que permite el tratamiento será imprescindible que concurra una excepción a la prohibición general de los tratamientos de datos de categoría especial recogida en el artículo 9 del RGPD.   
    • Imposibilidad de usar el consentimiento como excepción:  en cuanto a la apreciación de existencia de excepciones del artículo 9 RGPD, determina la Agencia que el consentimiento del trabajador no bastará para levantar la prohibición del tratamiento de datos biométricos como actualmente venía indicando. Tampoco considera que Estatuto de los Trabajadores en su redacción actual pueda servir para este fin, si bien si plantea, como adelantaba la Agencia Catalana de Protección de Datos entre otras, valorar si el convenio colectivo de aplicación habilita de forma expresa el tratamiento.  
    • Evaluación de Impacto:  recuerda la Agencia la importancia de que en relación con el tratamiento se realice y supere una Evaluación de impacto para demostrar la idoneidad, necesidad y proporcionalidad del tratamiento y gestionar desde el diseño los riesgos específicos del tratamiento, de forma que se garantice un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento. A la luz de la nueva Guía resulta recomendable actualizar las Evaluaciones de impacto que se hubieran realizado con motivo de la implantación de este tipo de soluciones, de forma que se analice de nuevo el tratamiento.  

 

Volver al índice

 

 

Meta y el Comité Europeo de privacidad 

El Comité Europeo de Privacidad ha publicado la Decisión vinculante 1/2023 emitida en octubre de este año a solicitud de la Autoridad de control noruega, en la que instaba a la Autoridad de control irlandesa a tomar medidas frente a los incumplimientos en materia de protección de datos perpetuados por Meta. Tras la emisión de dicha Decisión, la Autoridad de control irlandesa emitió en noviembre resolución en la que prohibía a Meta el tratamiento de datos en relación con la publicidad comportamental sobre la base de la ejecución del contrato o el interés legítimo.  

Ahora queda por ver si el nuevo planteamiento de Meta de enfocar la red social como un servicio de suscripción conjuntamente con el modelo tradicional es conforme a derecho o no. 

 

Volver al índice

 

 

Sanción a empresa energética por brecha de seguridad 

La Agencia Española de Protección de datos ha sancionado a Endesa por diversas conductas relacionadas con la falta de seguridad y confidencialidad de los datos de los que era responsable. En la resolución, en respuesta a las alegaciones de la empresa, la Agencia concluye que las medidas de seguridad implementadas no eran suficientes y que la empresa no actúo con la celeridad suficiente cuando descubrió la brecha.  

Asimismo, resulta recomendable mencionar que además de por la falta de implementación de medidas se sanciona a la empresa por una incorrecta comunicación de la brecha tanto a la propia Agencia como a los afectados, lo que pone de manifiesto la importancia de evaluar correctamente las brechas de seguridad de cara a evitar sanciones adicionales.  

 

Volver al índice

 

 

COMPLIANCE

Terminado el plazo para la implantación de canales de denuncia (Sistema Interno de Información) 

Como hemos venido informando a través de la presente newsletter con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deben contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima. Dicha Ley, basándose entre otros aspectos el número de trabajadores existentes en el sujeto obligado, establecía dos momentos temporales para la implantación de este tipo de sistemas. Pues bien, el pasado 1 de diciembre de 2023 finalizó el último plazo, por lo que todas las organizaciones que tengan más de cincuenta trabajadores deberán contar ya con este sistema interno de información o canal de denuncia. 

 

Volver al índice

 

 

 NORMATIVA AL DÍA  

 

Normativa europea en materia de Inteligencia Artificial. 

A falta de los últimos trámites el Parlamento y la Comisión europea han comunicado que se ha alcanzado un acuerdo en relación con la regulación en materia de Inteligencia Artificial.  

 

Volver al índice

 

 

Publicado en Circulares, Corporate Compliance, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 10 – 2023

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023

Publicado el 04-09-2023
Protección de datos – Seguridad de la Información

 

Propiedad Intelectual e Industrial

 

Compliance
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

________________________________________________________________________________________________________________

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el control de jornada de trabajadores.Nuevos pronunciamientos de diferentes autoridades de protección de datos.

Nos hacemos eco de nuevos pronunciamientos de autoridades de protección de datos sobre uso de soluciones de biometría para el control de jornada, en este caso, de los dictámenes del Consejo de Transparencia y Protección de Datos de Andalucía, y de la Autoridad Catalana de Protección de Datos, ambos del 28 de julio de 2023. A destacar de ambos pronunciamientos la gran seguridad jurídica que otorgan en cuanto que se establecen claramente los requisitos que hay que cumplir en estas situaciones. 

Consideran los dictámenes que, dado que se tratan datos biométricos para la identificación, será necesario en primera instancia acudir a los convenios colectivos (en caso de personal laboral) o a los acuerdos con el personal funcionario, en el marco de la negociación colectiva, para analizar si es posible llevar a cabo este tratamiento. En defecto de convenio o pacto, se podrán emplear estos sistemas cuando concurra el consentimiento explícito del interesado. En tal caso, deberá disponerse de una alternativa de libre elección para cumplir el control del horario. También deberá cumplirse con el resto de principios y obligaciones, destacando el principio de minimización del art. 5.1.c) del RGPD.  

En todo caso, es importante recordar la necesidad de realizar una evaluación de impacto previo al tratamiento de los datos que analice y documente todas estas cuestiones, en cuanto que de lo contrario, la organización se expone a una sanción y a la paralización del tratamiento hasta cumplir con las obligaciones (sin ir más lejos, este ha sido el caso de la Diputación de Cuenca, ya que  la Agencia Española de Protección de Datos, en una resolución la ha sancionado a por utilizar lectores de huellas para controlar los horarios sin otorgar información a los trabajadores sobre el tratamiento de sus datos, y sin realizar la Evaluación de Impacto correspondiente). 

 

Volver al índice

 

La AEPD prohíbe a la Mancomunidad de la Comarca de Pamplona recopilar datos de apertura de contenedores vinculados a domicilios. 

La AEPD ha publicado una resolución, en agosto de 2023, mediante la cual ha establecido que la Mancomunidad de la Comarca de Pamplona carece de legitimación para recoger el número de veces que un domicilio abre la tapa de los contenedores orgánicos o de resto, mediante el sistema de tarjeta de apertura vinculada a los domicilios.  

Dichos contenedores seguirán abriéndose mediante el sistema de tarjetas, pero la información que se obtenga será encriptada para no poder utilizarse, tal y como ha señalado el presidente de la MCP en una rueda de prensa. 

 

Volver al índice

 

Sanciones a dos importantes organizaciones por incumplimientos en materia de Cookies. 

 La AEPD ha emitido dos resoluciones este mes de agosto contra dos empresas de ámbito nacional. En la primera resolución, la sanción se ha fundamentado en que, en el panel de control sobre cookies, si se seleccionaba el botón de “rechazar todas”, la web seguía utilizando cookies de terceros de Google, sin consentimiento del usuario. En el caso de la segunda resolución, la sanción viene fundada en la falta de inclusión en el banner, de un acceso al panel de control que permitiera revocar el consentimiento, o rechazar las cookies aceptadas previamente.  

 R. 23 de agosto: https://www.aepd.es/es/documento/ps-00132-2023.pdf

R. 25 de agosto: https://www.aepd.es/es/documento/ps-00051-2023.pdf

 

Volver al índice

 

Conservación de documentación de identidad tras verificación de identidad. La Comisión de Protección de Datos de Irlanda sanciona a AirBNB 

El pasado 21 de junio de 2023, la Comisión de Protección de Datos de Irlanda emitió una resolución mediante la cual se estableció que la retención por parte de una empresa de una copia del documento de identidad de un usuario, tras la finalización del proceso de verificación de identidad, infringía los principios de minimización de datos y de limitación del plazo de conservación del Reglamento General de Protección de Datos. Por ello, se ha amonestado a la compañía, ordenándole tomar medidas para remediar las infracciones producidas, así como para prevenir infracciones futuras, incluyendo, entre estas medidas, la revisión de políticas internas relacionadas con la verificación del usuario. 

 

Volver al índice

 

“Fraude del CEO”: ¿Es el trabajador responsable de las cantidades defraudadas? Tribunal de Cuentas exige 4 millones de euros en el caso de la estafa a la EMT de Valencia.      

La sección de Enjuiciamiento del Tribunal de Cuentas ha rechazado el recurso de apelación presentado por una extrabajadora de la Empresa Municipal de Transportes de Valencia, condenándola como responsable de un fraude ocurrido en septiembre de 2019. El modus operandi de los estafadores consistió en suplantar la identidad de un abogado de un reconocido despacho, así como del presidente de la EMT, solicitando a la empleada una serie de pagos, habiéndole hecho firmar previamente una supuesta carta de confidencialidad.  

El Tribunal de Cuentas afirma en la resolución que la empleada actuó de manera gravemente negligente y que «asumió funciones que correspondían a otros cargos directivos de la sociedad sin tener atribuidas las competencias«, causando un grave perjuicio a la entidad. No obstante, los responsables de la estafa no han sido encontrados, y el procedimiento penal se mantiene detenido. 

A resaltar la existencia de un voto particular que solicita la absolución de la trabajadora, lo que ha servido para recurrir ante el Tribunal Supremo. Estando actualmente el caso en manos del Supremo, la defensa ha argumentado que la empleada fue engañada, que no actuó de forma dolosa, y que los responsables del fraude serían únicamente los estafadores, y la entidad financiera que permitió los pagos. 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Quién puede comercializar la icónica botella verde de sidra de Asturias?

El pasado 19 de julio de 2023, el Tribunal Supremo emitió una sentencia por la que se declaró la validez del registro de una marca tridimensional, constituida por la popular forma de la botella de sidra, conocida como botella “molde de hierro. La sentencia, que da la razón a la Asociación de Sidra Asturiana, afirma que la botella posee un conjunto de características que no son atribuibles a la búsqueda de un resultado técnico en la botella, sino que otorgan una apariencia particular, y que permiten que el comprador la asocie a la “Sidra Natural Asturiana, lo que implica que solo podrá utilizarse para envasar sidra natural elaborada en Asturias. 

 

Volver al índice

 

Nueva sentencia en EE.UU. sobre los derechos de autor de las obras generadas por IA. 

La Jueza Beryl Howell del Tribunal Federal de Washington ha confirmado la postura mantenida por la Oficina de Derechos de Autor de EE.UU., de que las obras generadas por IA no pueden estar protegidas por los derechos de autor. Lo novedoso de la sentencia es que pone de relieve la importancia de la autoría humana en una obra, afirmando que se trata de un “Requisito fundamental” para poder obtener la protección que le otorgan los derechos de Propiedad Intelectual, inclusive cuando el solicitante sea el titular de la solución de IA utilizada para la generación del activo que se quiere registrar como obra. 

 

Volver al índice

 

COMPLIANCE

El Tribunal Supremo desestima el recurso de la Agencia Valenciana Antifraude contra la anulación de un estatuto de denunciante protegido.

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha desestimado el recurso interpuesto por la Agencia Valenciana Antifraude, frente a una sentencia del Tribunal Superior de Justicia de Valencia. Dicha sentencia anulaba el estatuto de denunciante protegido al jefe de urbanismo del Ayuntamiento de Los Montesinos, protección que había sido otorgada por la Agencia en base a una denuncia interpuesta ante un Juzgado de Torrevieja, donde revelaba determinados hechos presuntamente delictivos, en materia urbanística.  

La sentencia establecía que Agencia Anticorrupción solo podía conceder dicho estatuto cuando la denuncia se realizaba frente a la propia agencia, en aplicación de la Ley 11/2016 de la Comunidad Valenciana, de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción. Por su parte, el Tribunal Supremo señala que no puede revisar en casación la interpretación de normativa autonómica realizada por un Tribunal Superior de Justicia, salvo que se trate de una infracción de normativa Estatal o europea. Si bien existe al respecto la Directiva de la UE 2019/1937, de 23 de octubre “Whistleblowing, dicha Directiva no era directamente aplicable debido a que, en el momento de los hechos, no había sido traspuesta todavía al derecho nacional.    

 

Volver al índice

 

 

Responsabilidad penal de la empresa: criterio sobre el beneficio y el debido control. 

Debido a su relevancia en la aplicación de sistemas de Corporate Compliance, destacamos a continuación extracto de la Sentencia 10/2023 de la Audiencia Nacional de 29 de mayo de este año 2023, por la que se analiza el criterio de la audiencia del debido control y el beneficio de la persona jurídica. 

Como es sabido, para que pueda apreciarse la responsabilidad penal de la empresa se deben cumplir los siguientes requisitos:  la comisión de un delito en el seno la persona jurídica por su personal, que el delito se haya producido en beneficio (directo o indirecto) de la empresa y la falta de medidas de control.  A este respecto, la sentencia establece que las personas jurídicas no deben establecer controles sobre todos y cada uno de sus procesos, sino sobre aquellos de los que pueda obtener un beneficio o ventaja por la falta de aplicación de medidas de supervisión. Así, el pronunciamiento judicial dicta lo siguiente: “la organización no puede controlar cualquier acontecimiento que tenga lugar en el desarrollo de su actividad, entendiéndose como un razonable límite exigir únicamente que lo haga con respecto a las conductas que le son estructuralmente beneficiosas quedando excluidas las que ningún beneficio podrían reportarle. Desde otras perspectivas, se ha venido entendiendo que la empresa tenderá a relajar sus controles con relación, precisamente, a aquellos comportamientos que pudieran reportarle beneficios, siendo precisamente ahí donde dichas prevenciones resultarán más necesarias”. Por otro lado, el pronunciamiento no precisa que la persona jurídica obtenga finalmente un beneficio, sino que será suficiente que la corporación rebaje sus controles ante la expectativa de una ventaja o beneficio con independencia de que este llegue a producirse.

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

Aprobado el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial, que se adscribirá al Ministerio de Asuntos Económicos y Transformación Digital, convirtiendo a España en el primer país europeo en tener un órgano de estas características.  

 

Volver al índice

 

Aprobada la norma ISO/TS 37008:2023 para las investigaciones internas de las organizaciones. 

El pasado 28 de julio, se aprobó la ISO/TS 37008:2023, que ofrece orientación sobre las investigaciones internas dentro de las organizaciones, y que será aplicable a todas las entidades, independientemente de su tipo, tamaño, ubicación, estructura o propósito.

 

Volver al índice

 

Publicado en Circulares, Corporate Compliance, Empresas TIC, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 05 – 2023

Publicado el 30-05-2023
 
Propiedad Intelectual e Industrial
 
Protección de datos
 
Compliance

 

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

EVENTOS Y CHARLAS

 

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Katy Perry vs Katie Perry y la importancia de una buena estrategia marcaria ante la internacionalización.

Ya hay resolución judicial en el proceso que ha enfrentado la marca de ropa Katie Perry y la conocida artista. Los tribunales australianos han determinado que la cantante Katy Perry infringió la marca de ropa australiana al vender bajo el nombre “Katy Perry” ropa a través tanto de minoristas como de sitios web durante su gira por el territorio australiano.  

La similitud entre las marcas y la identidad en los productos hicieron que el tribunal australiano entendiera que existía infracción quedando pendiente de fijar la indemnización que deberá abonarse a la titular de la marca de ropa Katie Perry.  

Este tipo de reveses a nivel marcario resultan habituales cuando las marcas no son elementos de fantasía sino denominaciones más o menos comunes. Es por ello que resulta esencial plantear una estrategia marcaria clara que pueda adelantarse a posibles conflictos en nuevos territorios donde se busque emplear la marca.  

 

Volver al índice

 

PROTECCIÓN DE DATOS

 

1.200 millones de sanción a Meta: las transferencias de datos a EE.UU. en tela de juicio

El pasado 22 de mayo, la Autoridad de Control irlandesa impuso a Meta Platforms Ireland Limited (Meta IE) la mayor sanción en materia de protección de datos hasta la fecha, por una infracción de la normativa en relación con las transferencias internacionales de datos entre Europa y Estados Unidos. 

Las transferencias de datos, aunque se basaban en las Cláusulas contractuales tipo (SCC) desde julio de 2020, no se entendió que cumplían con las exigencias de la normativa y es por ello que se solicita a Meta que ajuste dicho tratamiento al RGPD.  

La respuesta de Meta no se hizo esperar y el mismo día 22 de mayo indicaba que recurriría la sanción por entender que las transferencias internacionales que venía realizando eran compatibles con las exigencias del reglamento toda vez que se basaban en mecanismos válidos, como son las SCC, a los que recurren gran parte de las empresas ubicadas en territorio estadounidense. 

La sanción a Meta llega en un momento en el que el problema de las transferencias internacionales de datos a Estados Unidos parece no tener una solución a corto plazo ya que, las últimas noticias apuntan a que el intento de acuerdo para sustituir el “Privacy Seal” está recibiendo reparos por parte de algunas instituciones de la Unión Europea que, aunque no sean vinculantes, establecen un punto de inseguridad sobre la vida del posible nuevo instrumento.  

Resulta recomendable ante esta situación, revisar correctamente las transferencias internacionales de datos que se producen en el seno de las organizaciones para asegurar la corrección de las mismas con las exigencias normativas.  

 

Volver al índice

 

¿Puede un log “técnico” generado por un dispositivo tener la consideración de dato personal?

La Agencia Española de Protección de Datos (AEPD) en su procedimiento PS281/2022 entiende que en el supuesto de hecho objeto de análisis no cabe afirmar que los logs generados por el sistema de alarma instalado en el domicilio personal del reclamante no son datos personales.  

La empresa reclamada en su respuesta al ejercicio de derecho de acceso efectuado por el reclamante le facilitaba cierta información sobre el registro del logs y argumentaba que no podía facilitar más datos, por entender que los mismos no tenían la consideración de datos personales al ser datos técnicos referidos a protocolos internos de comunicación-verificación, registro de señales o de procedimientos internos y que por su naturaleza, incluso eran susceptibles de ser considerados secreto empresarial.  

La AEPD, sin embargo, lejos de acoger la teoría del reclamado manifiesta que en la medida en que el interesado se encuentra ligado al equipo instalado en su domicilio de forma única y permanente, todos los logs generados por el mismo documentan y contienen información vinculada directa o indirectamente con el interesado, en concreto en relación con la seguridad de su vivienda y de la seguridad en su propia vivienda. Es por ello, que la AEPD en este caso, atendiendo al contexto, establece que no cable distinción alguna entre logs “técnicos” y datos personales ya que toda la información permite la identificación del reclamante y le afecta de un modo u otro.  

La presente resolución resulta especialmente relevante para los dispositivos de IoT ubicados en domicilios particulares o destinados a ser empleados por consumidores, resultando recomendable realizar un análisis detallado de los datos e informaciones que efectivamente se recaban a través de los mismos y de la posible vinculación con los usuarios de los mismos para garantizar la conformidad con la normativa.  

 

Volver al índice

 

 

¿Qué tiene que tener una Evaluación de Impacto para ser considerada correcta por la Agencia Española de Protección de Datos? 

Si bien son varias las resoluciones de la Agencia Española de Protección en donde se sanciona a una organización por no realizar una evaluación de impacto no abundan resoluciones de la AEPD en las que efectivamente se entra en el detalle de analizar si la evaluación de impacto realizada es correcta. Por ese motivo, esta resolución sancionadora de la AEPD tiene su interés ya que realiza un análisis crítico del proceso realizado que pone sobre la mesa los puntos importantes que viene considerando al respecto. Concretamente, la AEPD manifiesta la importancia de recoger adecuadamente la evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad, no bastando indicar que las operaciones son necesarias. Asimismo, se muestra crítica en la resolución con la ausencia de controles señalando que el informe tampoco recogía “las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas”. 

La falta de análisis de dichos elementos supone, a juicio de la AEPD, una falta de diligencia en la elaboración de la evaluación de impacto lo que implica la imposición de sanciones. Resulta por tanto importante recordar no solo la necesidad de realizar una evaluación de impacto sino también la necesidad de asegurar que la misma cumple con los requisitos establecidos en el artículo 35 RGPD.  

 

Volver al índice

 

Buzones de correo y salida de trabajadores y Videovigilancia y control laboral. Resoluciones de interés.

Las resoluciones de la AEPD en el ámbito de las relaciones laborales son siempre de gran interés por las repercusiones que conllevan. Sirva esta entrada de recopilación de dos recientes especialmente relevantes en la materia: 

Buzones de correo y salida de trabajadores: la AEPD recuerda en el expediente EXP202200993 la necesidad de tener bien controlados los accesos a los buzones de correos ante la salida de los trabajadores de la organización ya que en caso contrario no resulta posible garantiza la confidencialidad, integridad ni seguridad de los datos. Estos elementos deben ser garantizados en todo momento por los responsables del tratamiento quienes deben evaluar adecuadamente el nivel de seguridad de los datos a fin de evitar que el tratamiento infrinja el RGPD.  Así, no solo debe tenerse presente el respeto a la privacidad de la persona trabajadora saliente sino la responsabilidad de la organización en relación con los datos que se conservan en el buzón.  

Videovigilancia y control laboral: importancia de justificar la proporcionalidad: Uno de los puntos relevantes de este tipo de tratamiento de datos es la evaluación de la proporcionalidad de la medida en relación con el artículo 89.3. de la LOPDGG. Al respecto destacar esta reciente resolución de la AEPD en la que se examina la proporcionalidad de un sistema que además de imagen registraba sonido.  Al respecto la AEPD recuerda que “según doctrina del Tribunal Constitucional, la grabación de conversaciones entre trabajadores o entre éstos y clientes no se justifica por la verificación del cumplimiento por el trabajador de sus obligaciones o deberes”. Por tanto, será del todo imprescindible realizar el preceptivo examen de proporcionalidad y generar el registro oportuno del mismo. 

 

Volver al índice

 

COMPLIANCE

 

13 de junio: fin del plazo para implementar “canales de denuncia” para las empresas de más de 249 trabajadores y entidades públicas.

El próximo día 13 de junio finalizará el plazo para implementar los Sistemas internos de información y los canales «de denuncias” asociados, al que vienen obligadas las entidades del sector público y del sector privado con más de 249 trabajadores Por su parte, los municipios de menos de 10.000 habitantes y las entidades del sector privado de menos de 249 trabajadores tienen de plazo hasta el 1 de diciembre de 2023. 

 

Volver al índice

 

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

Reforma de la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD).

La Ley 11/2023, que ha transpuesto varias Directivas europeas, ha introducido una serie de modificaciones en la LOPDGDD, debido a la corrección de una serie de errores del RGPD publicado por el Diario Oficial de la UE. 

Entre las principales novedades introducidas por la Disposición final novena de la Ley 11/2023 la AEPD destaca: 

    • La creación de un nuevo procedimiento específico de apercibimiento, destacado por su flexibilidad y rapidez, y “con una duración máxima de seis meses”, con el que se busca “agilizar la respuesta a las reclamaciones de los ciudadanos” 

    • La posibilidad de efectuar las actuaciones investigadoras por parte de la AEPD de forma remota a través de sistemas digitales;  

    • El establecimiento de “modelos de presentación de reclamaciones ante la AEPD”, a los efectos de simplificar la presentación de reclamaciones, y que se publicarán en el BOE y la Sede Electrónica de la Agencia, siendo obligatorio su uso al mes de su publicación. 

 

Volver al índice

 

Nuevas Guías y Circulares AEPD.

La AEPD ha publicado las siguientes guías y circulares que entendemos pueden ser de su interés: 

La Guía de Aproximación a los espacios de datos desde la perspectiva del RGPD, con el objetivo de facilitar el cumplimiento en los espacios de datos (infraestructuras que facilitan el acceso a los datos para su explotación en modelos de negocio). 

La Guía de Orientaciones para la validación de sistemas criptográficos en la protección de datados, para configurar un nivel de seguridad apropiado al riesgo en el tratamiento de datos. 

Un Proyecto de Circular sobre el derecho a no recibir llamadas no deseadas, en el marco de la Ley General de Telecomunicaciones, que se encuentra en trámite de audiencia. 

 

Volver al índice

 

Aprobadas versiones en castellano (UNE) de la ISO 27001 e ISO 27002.

El pasado 17 de mayo, la Asociación Española de Normalización (UNE) publicó las versiones en castellano de las normas ISO/IEC 27001:2023 y 27002:2023 para el impulso de la ciberseguridad y digitalización. 

 

Volver al índice

 

EVENTOS Y CHARLAS

 

Jornada sobre las implicaciones de la Ley 2/2023 de protección al informante.

El pasado 18 de mayo, nuestro compañero Jorge Arellano impartió una jornada formativa sobre los Aspectos clave de la Ley 2/2023 de Protección al informante en la sede de la Fundación Industrial Navarra, desgranando las obligaciones que dicha normativa impone al sector público y las entidades del sector privado de más de 50 trabajadores.  

 

Volver al índice

 

Publicado en Blog, Corporate Compliance, Empresas TIC, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 05 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 02 – 2023

Publicado el 01-03-2023

Protección de datos y seguridad de la información

 

Propiedad Intelectual e Industrial

 

Compliance

 

Etiquetado y publicidad

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

EVENTOS Y CHARLAS

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

WhatsApp corporativos y móviles personales de trabajadores. Aclaración de la AEPD. 

En nuestra última newsletter nos hacíamos eco de una resolución de la Agencia Española de Protección de Datos (AEPD) en la que parecía advertirse un cambio de criterio en relación con la inclusión de los números de teléfono personales de los trabajadores en grupos de WhatsApp sin el consentimiento de estos. Pues bien, hace unos días se ha conocido la respuesta de la AEPD a una petición de aclaración sobre su postura sobre el tema, que vuelve a la postura inicial por todos conocida Lo más destacable de la respuesta a la consulta es el que, la AEPD considera relevante distinguir entre si el dispositivo es personal del trabajador o facilitado por la organización, ya que esta circunstancia va a condicionar de una manera importante la base legal del tratamiento, siendo en principio necesario el consentimiento del trabajador si estamos ante un número personal (en todo caso recuerda la necesidad de evaluar caso por caso la base jurídica que pueda ser de aplicación). Finalmente recuerda las cuestiones aplicables a la “desconexión digital” que deberán ser tenidas en cuenta al emplear este tipo de medios para abordar a los trabajadores.

 

Datos localización

La Audiencia Nacional ha fallado a favor del Centro Europeo de Derechos Digitales (NOYB) en relación a un recurso de apelación presentado contra una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se daba la razón a una compañía que había rechazado el derecho de acceso solicitado por un usuario a sus datos de ubicación argumentando que únicamente podían comunicarse este tipo de datos a las autoridades en el contexto de una investigación penal, pero no puede haber ningún otro acceso.  

En esta nueva sentencia, la Audiencia señala que, si bien deben almacenarse los datos de ubicación y contar con todas las salvaguardas y cuidados para evitar accesos no deseados a esa información, los datos de ubicación son datos de carácter personal y, como tal, deben tratarse, incluyendo el efectivo ejercicio y contestación de derechos de los interesados como es el caso del derecho de acceso.  

Debe señalarse que, en este caso, no es únicamente la Audiencia Nacional quien ha dado la razón a NOYB y establece la obligatoriedad del Responsable de responder y hacerlo con todas las garantías al derecho de acceso, sino que, la propia AEPD, reevaluó su posición, dando la razón a NOYB.  

En este contexto, toca esperar a que la AEPD vuelva a emitir una resolución sobre el caso (recordemos que en el recurso de Apelación se anula la resolución inicial de la AEPD, que deberá emitir una nueva). 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

Nuevo procedimiento de Nulidad y Caducidad de Marcas 

El día 14 de enero entró en vigor el nuevo procedimiento de Nulidad y Caducidad de signos distintivos. Se trata de una reforma de la Ley 17/2001, de 7 de diciembre, de Marcas, llevada a cabo por el Real Decreto-Ley 23/2018, de 21 de diciembre, de transposición de directivas en materia de marcas, transporte ferroviario y viajes combinados y servicios de viaje vinculados (RDL 23/2018) y el Real Decreto 306/2019, de 26 de abril, por el que se modifica el Reglamento para la ejecución de la Ley 17/2001, de 7 de diciembre, de Marcas, aprobado por Real Decreto 687/2002, de 12 de julio (RD 306/2019).  

Con esta modificación se establece que será la Oficina Española de Patentes y Marcas (OEPM en adelante) quien tendrá la competencia para solucionar los conflictos que surjan en torno a solicitudes de nulidad y caducidad de signos distintivos nacionales, es decir, si antes de esta modificación, estas decisiones recaían sobre órganos jurisdiccionales, ahora, no serán éstos quienes tengan la competencia y será la propia OEPM quién deberá decidir el futuro de los mismos. Damos así pasos a nivel nacional para armonizar nuestro procedimiento al que se aplica a nivel europeo por parte de la Oficina Europea de Propiedad Intelectual e Industrial (EUIPO). En definitiva, será el mismo órgano que concedió la marca, quién declare posteriormente si esa marca es o no objeto de nulidad o caducidad.  

Los objetivos principales que persigue esta modificación son, por un lado, agilizar la tramitación de este tipo de solicitudes en comparación con la vía judicial, así como, una unificación de los criterios judiciales a nivel nacional evitando así una disparidad de resoluciones en este ámbito entre los tribunales civiles y el contencioso administrativo.  

Todo ello, sin perjuicio de que, cuando la presentación de este tipo de solicitudes se realice una demanda reconvencional, será la jurisdicción mercantil quien seguirá conservando la competencia para la resolución del conflicto.   

En cuanto a las resoluciones dictadas por la OEPM en relación a la nulidad y caducidad de signos distintivos, el recurso contra éstas, la competencia recaerá sobre el orden civil (no el contencioso-administrativo) cuyas salas especializadas serán quienes reciban este tipo de conflictos, es decir, recaerá en las Audiencias Provinciales. Ahora conocemos que Madrid ha sido la primera en dar un paso al frente y designar la Sección 32 de la Audiencia Provincial de Madrid (de reciente creación), como la Sección especializada la conocer los recursos contra las resoluciones de la OEPM que agoten la vía administrativa. Poco a poco, el resto de Audiencias Provinciales con competencia en este sentido, también deberán designar la correspondiente Sección especializada. 

 

Volver al índice

 

La Mano de Irulegi y su explotación comercial

Tras el hallazgo de una pequeña pieza de bronce en el yacimiento de la Edad de Hierro del siglo I en Irulegi, muchas personas han visto en este hallazgo una auténtica revolución comercial. Camisetas, joyas, agendas, etc., se han podido comprar y regalar estas pasadas navidades y, viendo el potencial comercial, varias personas han realizado en los últimos 2 meses diferentes solicitudes de marca ante la Oficina Española de Patentes y Marcas (OEPM) con el fin de conseguir una exclusividad en la comercialización (bajo diversos nombres relacionados con este hallazgo) de artículos de vestir, joyas, diferentes bebidas o productos de papelería.  

El propio Gobierno de Navarra presentó su propia solicitud (para temas formativos). Hace unos días, tras un tiempo de preguntas e incógnitas, sobre la posición que iba a tomar el Gobierno en relación a este hallazgo, hemos conocido un informe en el que se ha analizado este descubrimiento desde el punto de vista de Propiedad Intelectual e Industrial y, para alegría de la población Navarra (muy implicada y orgullosa de este hallazgo y lo que representa para la Comunidad Foral y para su cultura) desde Gobierno de Navarra se presentarán las oposiciones oportunas a las diferentes solicitudes de marca relacionadas con La Mano de Irulegi, defendiendo así el libre uso de la representación y denominación del hallazgo arqueológico, frente a la privatización de su uso. 

Nuestra compañera Andrea Zabalza Martín experta en derecho marcario fue consultada y ahonda en el tema en prensa y televisión. 

 

Inteligencia Artificial: algunas cuestiones legales de interés para este año  

Este comienzo de año está siendo especialmente interesante en lo que respecta a inteligencia artificial. A parte de llenar portadas de medios por las infinitas posibilidades, también resulta muy interesante a nivel legal. Por ejemplo, tenemos ya varias reclamaciones en los juzgados por infracciones en el entrenamiento de estos sistemas (Getty Images Vs Stable Diffusion, esta que aglutina a varios artistas contra Midjourney y Stability AI  y esta que afecta a GitHub’s Copilot en el ámbito del open source/software libre). También hay un frente abierto con los intentos de reconocer los resultados de estos sistemas como obras de carácter intelectual: de momento las oficinas de propiedad intelectual se muestran firmes en la decisión de entender que no hay originalidad pese alguna falsa alarma”.  Más allá del registro también hay diferentes opiniones sobre cómo y quién deben utilizar estos sistemas (por ejemplo, con las polémicas generadas por el juez de Colombia que empleó ChatGpt en una resolución o la llegada a Amazon Kindle de libros en los que ChatGPT es la “autora o coautora”). Y finalmente tampoco nos podemos olvidar de que en el horizonte tenemos una propuesta pionera de la UE sobre inteligencia artificial. Como decíamos al comienzo de esta entrada, un año apasionante en materia de IA, también a nivel legal. 

 

Volver al índice

 

COMPLIANCE

Canal de denuncia

Con motivo de la aprobación de la normativa sobre canales de denuncia y protección del denunciante (Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción), nuestros compañeros del área de compliance han elaborado una infografía con las principales obligaciones de la norma. 

 

Volver al índice

 

ETIQUETADO Y PUBLICIDAD

Denominaciones de fantasía y denominaciones de producto

El TJUE resuelve una cuestión prejudicial planteada por los tribunales alemanes en relación con el punto 4, parte A, anexo VI, del Reglamento 1169/2011 “En el caso de alimentos en los que un componente o ingrediente que los consumidores esperan que haya sido habitualmente utilizado, se ha sustituido por otro componente o ingrediente, el etiquetado deberá contener —junto con la lista de ingredientes— una indicación clara del componente o ingrediente que ha sido utilizado en esa sustitución parcial o total: a) muy cerca de la denominación del producto 

Así la duda que se planteaba era si el concepto “denominación del producto” indicado en el mencionado Anexo VI, podría entenderse que englobaba las denominaciones de fantasía o solo a la “denominación del alimento”. De englobar a las denominaciones de fantasía podría suponer que se exija facilitar la información del anexo VI junto a la denominación de fantasía, elemento que generalmente se sitúa en una posición predominante del etiquetado, como sucedía en el caso de autos.  

En este sentido el TJUE, entiende que no puede entenderse que el concepto “denominación del producto” tenga un alcance mayor que el concepto “denominación del alimento” por lo que no se entiende que englobe a las marcas o a las denominaciones de fantasía por lo que entiende suficiente que la información que exige el punto 4 de la Parte A del Anexo VI, se incluya solo junto a la denominación del alimento.  

 

Volver al índice

 

Publicidad engañosa en tiendas online 

Para poder determinar que existe publicidad engañosa debe analizarse la concurrencia de ambos elementos del tipo, a saber, en primer lugar, que la información suministrada sea apta para inducir a error a sus destinatarios; y, en segundo lugar, que sea idónea para incidir en su comportamiento económico.  

En el caso objeto de análisis por la Sentencia de la Audiencia Provincial de Bilbao ya había sido probado que los mensajes incluidos por Eroski en su tienda online eran aptos para inducir a error sobre el origen de dichos productos, en la medida en que daban a entender que todos los tomates, lechugas, pimientos y guindillas de la marca “Eroski Natur” tenían origen en País Vasco, cuando no era cierto, de forma que la sentencia se centra en dilucidar si concurre también el segundo elemento. 

Así, determina en primer lugar que el origen o procedencia de un producto afecta y condiciona la selección de un producto y además resalta que, el medio empleado para realizar la comunicación publicitaria, la tienda online, impide al consumidor verificar el verdadero origen del producto en tanto que no tiene otras fuentes de información distintas de la propia información que se facilita en el sitio web, la cual ha quedado acreditada que era falsa. De este modo, se entiende que se le priva al consumidor de información necesaria para tomar una decisión sobre un aspecto decisivo con pleno conocimiento, concluyendo que se trata de un supuesto de publicidad engañosa. 

 

Volver al índice

 

Nueva batalla entre Mr Wonderful y Ale-hop 

La Audiencia Provincial de Valencia ha resuelto en favor de Ale-hop el recurso de alzada interpuesto por Mr Wonderful en materia de competencia desleal por entender que, si bien los diseños de Mr Wonderful revisten una singularidad propia, la forma en la que se presentan por Ale-hop no permite generar confusión en el consumidor quien es conocedor en todo momento del distinto origen empresarial de ambos productos debido al contexto y la diferente forma de presentación de los productos.  

En la resolución del presente asunto se ha tenido especialmente en cuenta la sentencia del Tribunal Supremo, entre Happy Pills y Molagominola (Fresh & Good) que fue objeto de análisis en la segunda entrega nuestra newsletter. En dicho caso, igual que en el analizado por la Audiencia Provincial en el presente asunto, se otorga un gran valor al contexto y la presentación de los productos y el entorno del punto de venta. 

 

Volver al índice

 

EVENTOS Y CHARLAS

Jornada sobre Novedades normativas en materia de envases y residuos de envases

Candela Martínez, participará el próximo 14 de marzo en el Club de Marketing de Navarra, junto con Pelayo Piedra del departamento de derecho administrativo y Diego Ortigosa del departamento fiscal, en una jornada en la que se abordarán además de las principales obligaciones que ha introducido la normativa en materia de envases y residuos de envases, aquellas limitaciones que impone la normativa en materia de comunicación de alegaciones ambientales. La jornada podrá seguirse tanto en formato presencial como online previa inscripción.

 

Volver al índice

 

Experto Universitario en Derecho Digital

Álvaro Abáigar y Jorge Arellano participan en el “Experto Universitario en Derecho Digital” que se imparte en la Universidad Pública de Navarra durante los meses de octubre a junio. Ya se ha impartido por nuestros compañeros los módulos de análisis de riesgos y evaluación de impacto, así como los correspondientes a propiedad intelectual con especial foco en la protección del software, patentes tecnológicas y la transferencia de tecnología. Quedando pendientes los módulos específicos de compliance, a impartir por Jorge Arellano los días 10 y 17 de marzo, en los que se abordarán cuestiones sobre la ISO37301 entre otras.    

 

Volver al índice

 

Emprender en industrias creativas, culturales y audiovisuales  

Candela Martínez, abogada del área departamento de propiedad intelectual y derecho del entretenimiento, ha intervenido, junto a Fernando Armendáriz (Socio de ARPA y director del área de Start-ups y Emprendimiento) y David Asín (Asociado de ARPA y director del departamento fiscal) y a otros profesionales del sector, en el curso “Emprender en industrias creativas, culturales y audiovisuales” organizado por el Servicio Navarro de Empleo de Gobierno de Navarra. 

 

Volver al índice

Ntic en los medios

Andrea Zabalza, como profesional experta en derecho marcario, ha sido invitada a participar en diversos medios de comunicación en los que ha sido consultada sobre las implicaciones de las diversas solicitudes de registro marcario iniciadas por operadores privados en relación con la Mano de Irulegui así como sobre las declaraciones emitidas por parte de Gobierno de Navarra relativas a su voluntad de oponerse a dichos registros. Puede consultar el contenido completo de su intervención en prensa a través del siguiente enlace y de su intervención en televisión en el siguiente enlace.

 

 

 

Publicado en Circulares, Derecho del Entretenimiento, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 02 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº 8

Publicado el 05-10-2022

Propiedad intelectual

 

Protección de datos

 

Marcas

NORMATIVA AL DÍA: Normas, guías y códigos  

 

_____________________________________________________________

Propiedad intelectual

  • Los problemas de la serie de Amazon “El señor de los anillos: los anillos de poder” con los derechos de autor.

A la hora de realizar una obra derivada resulta esencial conocer los derechos de los que se dispone, más aún cuando la misma tiene origen en un ecosistema complejo de obras y personajes. Así, tal y como sucediera en el caso de “Enola Holmes” comentado en una newsletter anterior, el desarrollo por Amazon de la serie ambientada en el “imaginario mitológico” de J.R.R. Tolkien, se enfrenta a la difícil tarea de no abordar tramas o personajes protegidas por derechos de autor sobre los que no dispone de licencia, evitando al mismo tiempo contradecir la narrativa.

J.R.R. Tolkien transfirió en 1969 por 10.000 libras a United Artists los derechos de autor de gran parte de su obra (en especial sus obras más famosas, “El Hobbit” y “El Señor de los Anillos”). Tras su muerte en 1973, su hijo Christopher Tolkien reordenó el archivo de su padre, y publicó una serie de obras (“El Silmarillion”, “Cuentos inconclusos de Númenor y la Tierra Media” o “La historia de la Tierra Media”) gestionados por The Tolkien Estate.

Los derechos de United Artists que habilitan la creación y explotación como videojuegos, series y películas, fueron adquiridos por New Line [Warner Bros] para la trilogía de Peter Jackson.

Los derechos obtenidos por Amazon en 2017 por su parte le habilitan a ambientar su serie en “La Segunda Edad de la Tierra Media”, etapa anterior a la “Edad Tercera”, que es donde transcurren los libros (“El Hobbit” y “El Señor de los Anillos”) pero no le habilitan a adaptar estas dos últimas obras (propiedad de Warner), ni las obras propiedad de Tolkien Estate. 

Resaltar la necesidad de realizar una buena gestión de los derechos de autor (tanto de una obra en concreto como su conjunto) a efectos de evitar que los diferentes derechos de explotación se vean limitados por su reparto entre diferentes propietarios y los vetos y prohibiciones entrecruzadas.

https://www.xataka.com/cine-y-tv/derechos-senor-anillos-laberinto-afecta-a-que-anillos-poder-puede-contar-no

https://www.latercera.com/mouse/la-serie-de-los-anillos-del-poder-no-puede-hacer-uso-de-las-historias-de-el-silmarillion/

https://www.espinof.com/series-de-ficcion/senor-anillos-anillos-poder-amazon-desvela-que-libros-tolkien-tiene-derechos-como-van-a-llenar-vacios-historia

 

 Ir al índice

 

Protección de datos

  • Finalización del período para la adaptación de los contratos que utilicen las garantías de las cláusulas contractuales tipo de la Comisión Europea para la transferencia internacional de datos

El 27 de diciembre de 2022 finalizará el plazo de 15 meses de validez transitoria otorgado por la Decisión 2021/914 de la Comisión Europea. Dicha Decisión implanta un nuevo conjunto de cláusulas contractuales tipo para la transferencia de datos personales a terceros países. derogando las cláusulas de las Decisiones previas a partir del 27 de septiembre de 2021. Daba un plazo transitorio de validez para los contratos suscritos antes de dicha fecha con las cláusulas derogadas, bajo la premisa de que las operaciones de tratamiento no fuesen modificadas y las cláusulas ofreciesen garantías adecuadas a la transferencia. Pero desde el 27 de diciembre de 2022 no gozarán de validez los contratos que contengan las cláusulas derogadas, debiendo adaptarse a las nuevas.

 

 Ir al índice

 

  • Biometría facial y control de jornada

En los últimos meses hemos podido revisar varias resoluciones emitidas por la Agencia Española de Protección de datos (AEPD) relativas al uso de sistemas biométricos en entornos laborales. La novedad de esta resolución  es la finalidad del tratamiento, que no es el habitual control de acceso sino el registro de jornada laboral.

Así la AEPD aclara en primer lugar que los datos biométricos que se tratan son datos sensibles por lo que se requiere en primer lugar levantar la prohibición de tratamiento (artículo 9.2 RGPD) y posteriormente una base legal legitimadora del mismo (artículo 6 RGPD).  En cuanto a la base legal, el reclamado basaba el tratamiento en varias de las previstas en el artículo 6 a lo que la AEPD aclara que de las alegadas por el reclamado la única correcta, en el caso analizado, es el cumplimiento de la obligación legal del responsable, prevista en el artículo 34.9 del Estatuto de los Trabajadores.

Cumplido el requisito de disponer de base legal se analiza la base alegada para levantar la prohibición, siendo aquí donde el empleador falla ya que no resulta posible juicio de la AEPD alegar “razones de un interés público esencial” (9.2 g), que el “tratamiento es necesario para fines de medicina preventiva o laboral” o que el tratamiento resulta necesario para cumplir  con el artículo 34.9 del Estatuto de los Trabajadores. La imposibilidad de alegar esta última base radica en que la norma invocada no recoge la forma en que debe realizarse el tratamiento, solo la necesidad de realizarlo.  

No obstante, la propia AEPD recoge que aplicando el 9.2b) podría levantarse la prohibición cuando: “el tratamiento sea necesario para dicho cumplimiento, en la medida en que así lo autoricen los Estados Miembros, o un Convenio Colectivo también con arreglo al derecho de los Estados miembros, que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”. Se recomienda por tanto evaluar si en el Convenio Colectivo se regula la posibilidad de implantar este tipo de soluciones biométricas para la llevanza del registro horario o en caso contrario evaluar otras alternativas como las que la Agencia Catalana recoge en una respuesta a una consulta.

Adicionalmente, recuerda asimismo la AEPD la necesidad de realizar una evaluación de impacto del tratamiento previo a su inicio, algo que la reclamada no había hecho.

 

 Ir al índice

 

  • ¿Está el DPO blindado frente a despidos?

El artículo 38.3 del RGPD establece que el delegado de protección de datos “No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones” lo que a juicio del TJUE “ampara al delegado de protección de datos contra cualquier decisión que ponga fin a sus funciones, le sea desfavorable o constituya una sanción, cuando tal decisión esté relacionada con el desempeño de sus funciones, debe considerarse dirigido esencialmente a preservar la independencia funcional del delegado de protección de datos (…)”. 

Visto el objetivo de dicho precepto, lo que plantea la cuestión prejudicial del Asunto C534/20 es si dicho régimen puede verse reforzado por un Estado miembro, como sucede en el caso alemán o si por el contrario una previsión nacional a ese respecto sería contraria al RGPD.  

En este sentido, el TJUE señala que cada Estado miembro tiene libertad, para establecer disposiciones específicas más protectoras en materia de despido del delegado de protección de datos. Así, si bien se aclara que el artículo 38.3 RGPD no otorga una protección laboral general sí que deja la puerta abierta a que el estatus del DPO se pueda reforzar a nivel nacional.  

Señalar en este sentido que, en España, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales no establece un régimen de protección al DPO mayor al previsto en el citado artículo del RGPD.  

 

 Ir al índice

 

  • ¿Es la cara el único dato que permite reconocer a una persona?

Resulta evidente afirmar que la imagen de una persona es un dato personal, pero lo que no resulta tan incontrovertido es si para la consideración de la imagen como dato personal se exige que la fotografía muestre determinados elementos identificativos (rostro/ signos especiales o singulares…).  

En el caso resuelto por la AEPD la imagen objeto de controversia se encontraba en el sitio web de la reclamada, para ilustrar el trabajo que realizaban. La imagen no permitía ver por completo a la persona, por lo que la empresa consideró que, al vérsele solo en parte, no resultaba posible su identificación, estaba “anonimizada”. 

La AEPD difiere y basa la resolución en la Sentencia del Tribunal Supremo, Sala de lo Civil, de fecha 12 de julio de 2004, número de recurso 1702/200, al indicar que la imagen junto con el contexto de la imagen (referencia a la empresa) era suficiente para identificar a la persona física.  Además, con la cita a la mencionada STS recuerda que no es necesario que el dato sea identificable para la generalidad del público, siendo suficiente con que lo sea, como indica el TS, para quien conocen a la persona.  

 

 Ir al índice

 

  • Uso de imágenes accesibles en internet  

El TS analiza el conflicto que se produce entre el derecho a la propia imagen (art 18.1 CE) y el derecho a la libertad de información (art 20.1) cuando un medio de comunicación difunde imágenes obtenidas de internet para ilustrar una noticia.  

Así recuerda que ninguno de los derechos es absoluto y la prevalencia de uso sobre otro debe analizarse caso por caso, siendo relevante para que prevalezca la libertad de información el análisis de tres pautas “A) que la información comunicada venga referida a un asunto de interés general o relevancia pública, sea por la materia, por razón de las personas o por las dos cosas; B) proporcionalidad; es decir, que no se usen expresiones inequívocamente injuriosas o vejatorias; y C), por último, aunque no por ello menos importante, el de la veracidad«. 

Aplicando dichas reglas al objeto de la controversia, el uso por parte de una cadena de televisión de unas imágenes obtenidas del canal de Youtube del hijo del reclamante para ilustrar el nivel de vida del reclamante quien supuestamente pertenecía a una red de narcotráfico, aprecia el TS que prevalece el derecho a la libertad de información. Basa dicha decisión en el contexto del reportaje en el que se difunden las imágenes que entiende es respetuoso con la persona y no tiene como objetivo satisfacer la curiosidad ajena sino ilustrar aspectos vinculados al caso sobre el que se está informando como puede ser el elevado nivel de vida del retratado siendo el uso de las imágenes coherente con el objetivo y contenido del reportaje.   

 

 Ir al índice

 

Marcas

  • Logotipos que impiden la venta

Según hemos podido conocer a través de diversas noticias, Citroën inició un procedimiento judicial en 2017 contra la sueca Polestar (filial de Volvo) por su comercialización en Francia bajo un logo con “parecidos razonables” al de Citroën. Un tribunal francés paralizó la venta de los coches eléctricos de Polestar en Francia (además de imponer una multa de 150.000€ por daños y perjuicios). 

La similitud de logotipos se basaba en la presencia en el logo de Polestar de dos “chevrones”, emblema de Citroën desde principios del 1919, aunque tanto por formato como disposición fuesen diferentes y diferenciables. La similitud también se planteaba respecto al logo de DS, submarca inicial de Citroën (aunque ya independiente). El juzgado francés estimó riesgo de confusión para los usuarios por el nuevo logo adoptado por Polestar en 2017, llegando a restringir el acceso a la web de Polestar desde territorio francés por el uso marcas registradas francesas. La sentencia, evacuada en julio de 2020, extendía la prohibición durante seis meses, hasta enero de 2021. Citroën parece haber acudido al tribunal europeo a efectos de extender la prohibición a todo el territorio de la UE, en paralelo a negociaciones con Polestar, que prepara su vuelta al mercado francés una vez levantada la prohibición. 

Más información:  

https://www.elconfidencial.com/motor/industria/2022-09-05/polestar-citroen-ds-logotipo-escudo-justicia-ue-francia_3485290/ 

https://www.actualidadmotor.com/polestar-y-citroen-solucionan-el-problema-de-los-logos-copiados/ 

https://www.actualidadmotor.com/logo-polestar-prohibido-francia-similitud-citroen-ds/ 

https://www.hibridosyelectricos.com/articulo/actualidad/polestar-citroen-cierran-acuerdo-secreto-logo-chevrones/20220905182651062086.html 

 

 Ir al índice

 

  • El “Príncipe del vino” contra el “Príncipe de Viana”: inscripción de marcas similares. 

Reza el artículo 7.1.b) de la Ley de Marcas que no podrán registrarse como marcas los signo “que por ser idénticos o semejantes a un nombre comercial anterior y por ser idénticas o similares las actividades que designa a los productos o servicios para los que se solicita la marca, exista un riesgo de confusión en el público; el riesgo de confusión incluye el riesgo de asociación con el nombre comercial anterior” 

El TSJ de Madrid no aprecia riesgo de confusión entre las denominaciones “Princeps Vinum” y “Príncipe de Viana” y fallar a favor de la inscripción de la marca “Princeps Vinum”, pese a dedicarse ambas al sector vitivinícola. El TSJM estimaba que, pese la similitud denominativa y gráfica (ambos signos incluían una corona de tres puntas), la visión de conjunto de las marcas, junto con los factores complementarios (de significado semántico-conceptual de los componentes de la marca), permitían afirmar que no se producía confusión en el público por lo que ambos signos distintivos podían convivir. Por lo que ordenaba la inscripción de la marca. 

 

 Ir al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

  • Modificación normativa de Prevención del blanqueo de capitales

A través de la Disposición final segunda de la Ley 18/2022, de creación y crecimiento de empresas se modifica la Ley 10/2010 de prevención del blanqueo de capitales y de la financiación del terrorismo, siendo especialmente relevante desde el punto de vista de protección de datos la modificación del artículo 32 a través de la cual se aclaran, determinados aspectos sobre los tratamientos de datos que se deben realizar al cumplir con la citada norma de prevención del blanqueo: i) base legal habilitante; ii) obligaciones de información; iii) relación con los órganos centralizados de prevención o la iv) obligación de realizar una evaluación de impacto de los tratamientos. 

 

 Ir al índice

 

  • Reforma de la Ley de la Ciencia, la Tecnología y la Innovación. 

Ha entrado en vigor la reforma de la Ley 14/2011, que contempla varias medidas destinadas a mejorar las garantías y derechos de la comunidad científica y el I+D+I. Entre las medidas de carácter más laboral se abordan cuestiones encaminadas a fomentar la transferencia del conocimiento entre el sector público y las empresas y la sociedad, en particular habilitando a las AAPP a invertir en las sociedades mercantiles.  

En el ámbito de la protección de datos, la reforma busca asimismo reforzar la seguridad en el tratamiento y sus procesos (generación, almacenamiento, gestión, análisis y transferencia) exigiendo al Sistema de Información de Ciencia, Tecnología e Innovación implementar los criterios del Esquema Nacional de Seguridad y de Interoperabilidad y las directrices de la Oficina del Dato. Extendiéndose las obligaciones a los agentes del Sistema Español de Ciencia, Tecnología e Innovación en el marco de sus actuaciones en materia de investigación tanto pública como en el sector privado. 

A ello se añade la promoción de la desagregación por sexo en la recogida, tratamiento y difusión de los datos a los efectos de elaborar los informes de impacto de género en el marco de la Estrategia Española de Ciencia, Tecnología e Información. 

https://www.ciencia.gob.es/Noticias/2022/Agosto/El-Congreso-aprueba-definitivamente-la-reforma-de-la-Ley-de-la-Ciencia–la-Tecnologia-y-la-Innovacion.html 

https://www.boe.es/buscar/act.php?id=BOE-A-2011-9617&b=17&tn=1&p=20220906#a11 

 

 Ir al índice

 

 

  • Herramienta sobre la valoración del nivel de riesgo en el tratamiento de datos. 

Para facilitar la identificación del nivel de riesgo en el tratamiento de datos personales, la AEPD ha publicado la versión web de su herramienta Evalúa Riesgo RGPD, permitiendo a responsables y encargados realizar una primera evaluación inicial, de carácter no exhaustiva del riesgo intrínseco, detectando la obligación de efectuar una EIPD. 

La AEPD ha dotado a la herramienta de una gran usabilidad, desde la compatibilidad con los navegadores, hasta la emisión de un informe final con los factores de riesgo fundados en el RGPD, LOPGDD, las directrices del Comité Europeo y las guías editadas por la agencia. Matiza que la herramienta tiene carácter general, requiriendo que en los supuestos concretos los responsables que la usen deben realizar ajustes de precisión en función del contexto y fines específicos.  

En este sentido, cabe mencionar la reciente resolución de la AEPD (EXP202200399) en la que recuerda que estas guías son básicas y con su mero uso no se acredita el cumplimiento de las obligaciones legales exigibles al responsable. Concretamente, la AEPD señala en relación con la herramienta GESTIONA EIDP “sirve, únicamente, de guía para establecer los elementos básicos que deben ser tenidos en cuenta en los análisis de riesgos de los tratamientos y evaluaciones de impacto, sin embargo, no es válida para identificar de forma exhaustiva los posibles factores de riesgo que deben ser evaluados para proteger los derechos y libertades de los interesados presentes en el tratamiento de datos”. 

Se pone por tanto en valor la importancia de contar con un asesoramiento ajustado a las características concretas de cada responsable. 

 

 Ir al índice

 

  • Actualidad sobre las transferencias internacionales de datos entre la UE y EEUU. 

Tras el comunicado conjunto emitido por la Comisión Europea y Estados Unidos el pasado 25 de marzo de 2022, parece que se está avanzando en alcanzar un acuerdo respecto al nuevo “Marco Transatlántico de Protección de Datos”, tras la invalidación en verano de 2020 por el TJUE del Privacy Shield por su falta de garantías respecto a la privacidad de los ciudadanos comunitarios, derivando en que autoridades de control en materia de protección de datos como la Autoridad austriaca o la francesa prohibiesen el empleo de Google Analytics. Se espera que la orden ejecutiva de EEUU se publique el próximo 3 de octubre siguiéndose posteriormente los cauces que correspondan. 

https://www.thedrum.com/news/2022/09/29/biden-s-executive-order-data-transfers-offer-temporary-relief-advertisers  

 

 Ir al índice

 

Últimos boletines de Nuevas Tecnologías

Puedes consultar nuestras últimas newsletters a través de los siguientes enlaces:

 

 Ir al índice

 

Publicado en Blog, Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº 8

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº2

Publicado el 17-12-2021

PROTECCIÓN DE DATOS

1/ Grabación de llamadas como prueba del despido de trabajadores

En esta sentencia, el Tribunal Constitucional analiza si el incumplimiento por responsable de su compromiso de no emplear las grabaciones de las llamadas de su personal de call center, de las que el empleado era conocedor, con fines sancionadores supone una vulneración del artículo 18.4 de la Constitución. El Tribunal Constitucional señala que de los hechos probados se concluye que inicialmente el responsable empleó las grabaciones con la finalidad de calidad informada y solo ante la negativa del trabajador a corregir su conducta empleó las mismas con fines sancionadores, algo que a juicio del Tribunal Constitucional no supone una vulneración del artículo 18.4 de la Constitución.

¿Por qué es importante? Debe tenerse en cuenta que esta sentencia no analiza la constitucionalidad o no de la medida de control consistente en la grabación de las llamadas limitándose a valorar la compatibilidad del compromiso adquirido por el responsable en cuanto a la finalidad del tratamiento y el uso posterior con fines sancionadores.  

 Más información: La Sentencia completa en el siguiente enlace.

 

2/ Biometría en el entorno laboral

En la resolución 10/2021 la Agencia Española de Protección de datos (AEPD) concluye que, atendiendo a la información aportada por la empresa, la finalidad de seguridad alegada por ésta no justifica la implementación de un sistema de toma de huellas en los accesos a los vestuarios/aseos. Entiende la AEPD que “Se acredita la inidoneidad y desproporcionalidad y no pertinencia ni adecuación del sistema de toma de huellas para acceder a vestuarios/aseos con la finalidad implantada de seguridad de acceso de personas a dichos espacios, por su insuficiente motivación, y generalidad, existiendo sin lugar a dudas métodos para que terceros ajenos a la empresa no accedan a esos espacios menos intrusivos que la toma de la huella en todas y cada ocasión que el empleado o empleada acuda por necesidades a dichos espacios

¿Por qué es importante? A través de esta y otras resoluciones, la AEPD viene aportando claridad al uso de los dispositivos de toma de huella en los entornos laborales permitiendo una mayor seguridad jurídica en relación con los análisis de la proporcionalidad, idoneidad y pertinencia del tratamiento que debe realizarse con motivo de las evaluaciones de impacto previas al inicio de estos tratamientos.

 Más información: Puede consultarse la Resolución completa en el siguiente enlace.

 

3/ Transferencias internacionales de datos

Este año está siendo especialmente intenso en lo que respecta a las transferencias internacionales de datos. Al margen de los problemas prácticos que está teniendo la aplicación de la conocida sentencia del caso Schrems, el Brexit y otras decisiones de adecuación, el Comité Europeo de Protección de Datos saca a consulta unas guidelines sobre cuándo debe entenderse que existe una transferencia internacional de datos

Aspectos prácticos: se clarifican varios supuestos que pueden generar dudas como, por ejemplo, las transferencias de datos que se dan entre los grupos de empresas con organizaciones ubicadas fuera del Espacio Económico Europeo o los trabajadores en movilidad en el extranjero o expatriados.

Más información: Puede consultar las Guidelines en el siguiente enlace.
 

 

PUBLICIDAD

1/ Cuándo se puede imitar un producto de la competencia

El Tribunal Supremo determina que las diferencias que rodean la comercialización y la estética alejada del entorno farmacéutico de Molagominola impiden que la imitación por ésta de los botes y el estilo de las etiquetas de Happy Pills sean idóneas para generar asociación en el consumidor sobre el origen empresarial. Así las cosas, confirma las resoluciones de la Audiencia Provincial y el Juzgado de lo Mercantil de Barcelona al determinar que la conducta no constituye un acto de competencia desleal

¿Por qué es importante? Lo relevante de esta sentencia, como apunta el propio Tribunal Supremo, es que el asunto planteado estaba en la frontera entre los actos de imitación idóneos para generar asociación en el consumidor (art. 11 LCD) y los actos que generan riesgo de confusión (art. 6 LCD) pudiendo alcanzarse conclusiones distintas con la aplicación de un precepto u otro. Así en el primer caso, se analiza si la venta de golosinas en botes similares a los de Happy Pills supone una imitación idónea para generar asociación en el consumidor y en el segundo supuesto se analiza si la forma empleada por Molagominola en la presentación de los botes (signos distintivos, ambientación, envoltorios) es susceptible de generar confusión en el consumidor.

El Tribunal Supremo finalmente opta por realizar el análisis desde la perspectiva del artículo 11 LCD concluyendo que, aunque los botes y el estilo de los mensajes pudieran constituir una singularidad competitiva no hay riesgo de asociación debido a las diferencias en la presentación de los productos.  

Más información: La Sentencia completa en el siguiente enlace.

 
Publicado en Blog, Circulares, Empresas TIC, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº2

Una multa histórica y la importancia de tener una actitud proactiva

Publicado el 26-03-2021

Hace unos días la Agencia Española de Protección de Datos (AEPD), imponía la sanción más alta a una Organización desde la entrada en vigor del Reglamento 2016/679 Europeo de Protección de Datos de Carácter Personal (RGPD), un total de 8.150.000€ por el incumplimiento por parte de Vodafone España, S.A.U. de hasta 3 normas distintas relacionadas con la protección de los datos de carácter personal. Una sentencia de 97 páginas que recoge las siguientes multas:

  • 4 millones de euros. Infracción del artículo 28 del RGPD en relación con el artículo 24, que regulan las obligaciones como Responsable del Tratamiento de los datos.
  • 2 millones de euros. Infracción del artículo 44 del RGPD, que regula las transferencias internacionales de datos de carácter personal.
  • 2 millones de euros. Infracción del artículo 48.1.b) de la Ley General Tributaria (LGT) en relación al artículo 21 del RGPD y al artículo 23 de la LOPDGDD, que regula el derecho de oposición de los particulares a que sus datos sean tratados.
  • 150.000 euros. Infracción del artículo 21 de la Ley de Servicios de la Sociedad de la Información (LSSI) y de comercio electrónico, que regula la prohibición de realizar comunicaciones comerciales a través de correo electrónico o medios electrónicos equivalentes.

Destaca entre estas multas tan elevadas la imposición de una multa de 4 millones de euros, no porque Vodafone no contara con protocolos, políticas o procedimientos para cumplir con las obligaciones establecidas en el RGPD, la AEPD no pone en duda su existencia, sino por la falta de controles por parte de Vodafone para que las medidas adoptadas sean realmente efectivas, es decir, que exista un efectivo cumplimiento de las distintas normativas.

Esta es una cuestión que hasta ahora parecía una cuestión secundaría para las empresas, el mantenimiento de una actitud proactiva del Responsable en relación al cumplimiento normativo.

Esta sentencia, aunque sea posteriormente recurrida, debe marcar un cambio en la forma de pensar y actuar de las empresas, desde la más pequeña a la más grande, que deben demostrar esa capacidad de cumplir y hacer cumplir la normativa. La actividad desarrollada por el proveedor se entenderá como una extensión de la actividad del Responsable y, como tal, éste tendrá la obligación de supervisar el tratamiento y actuar cuando sea necesario.

Lo que refleja esta sentencia es que la firma del contrato es insuficiente para la AEPD a la hora de demostrar un efectivo cumplimiento de nuestras obligaciones como Responsables del tratamiento, siendo necesario mantener esa actitud proactiva desde la correcta selección del proveedor, hasta la continua supervisión y control de la actividad. 

Esta sentencia, además, plantea una doble sanción, a las ya mencionadas multas, se suma la obligación de acreditar ante la AEPD en un plazo de 6 meses que la Organización ha ajustado sus acciones y actuaciones a la normativa de protección de datos.

Publicado en Circulares, Opinión, Prensa, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Una multa histórica y la importancia de tener una actitud proactiva

Principales novedades de la nueva Guía de Cookies

Publicado el 30-10-2020

El próximo 31 de octubre finaliza el plazo de tres meses establecido por la nueva Guía sobre el uso de las Cookies aprobada por la Agencia Española de Protección de Datos (AEPD) para la adaptación de nuestra página web.

Esta adaptación surge de la necesidad de cumplir con las Directrices 05/2020 sobre consentimiento del Comité Europeo de Protección de Datos (CEPD) que modificaban algunos puntos clave de la Guía de Cookies publicada por la AEPD en noviembre de 2019.

¿Cuáles son las principales modificaciones establecidas por la nueva Guía?

  1. Consentimiento expreso: esta nueva Guía establece que el consentimiento del usuario debe ser expreso e inequívoco. O lo que es lo mismo, se prohíbe la formula “seguir navegando” en cualquier de sus formas.

 

  1. Prohibición de los llamados “muros de Cookies”: Este punto está directamente relacionado con el consentimiento del usuario, se establece que, por el hecho de no haber aceptado las Cookies, no puede impedirse el acceso a los servicios o funcionalidades de la página web.

Es decir, el contenido de la página no puede estar supeditado a la aceptación de las Cookies, salvo, y así lo permite la Guía, que pueda ofrecerse una alternativa válida al usuario.

  1. Transparencia: ya lo recogía la anterior Guía de Cookies, pero el cumplimiento del deber de información al usuario será una cuestión fundamental a la hora de cumplir con la normativa. La información se podrá dar en dos capas que deberán contener el detalle entre otras cuestiones de qué tipos de cookies se utilizan, finalidad, quién las sirve, etc., de forma y manera que los visitantes del sitio pueden otorgar su aceptación de manera informada.

 

Publicado en Circulares, Empresas TIC, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , Comentarios desactivados en Principales novedades de la nueva Guía de Cookies
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X