Entradas de la etiqueta: #compliance

Foro de Compliance y Buenas Prácticas en la Industria Pharma

Desde ARPA Abogados Consultores, en colaboración con Diario de Navarra y AseBio – Asociación Española de Bioempresas, hemos organizado un encuentro clave para la industria farmacéutica.

20 de febrero
Sede de Diario de Navarra (C/ Zapatería 49, Pamplona)
⏰ 9:30 – 11:30 h

Una oportunidad única para debatir sobre compliance, regulación y resolución de controversias legales con expertos de primer nivel. Tendremos el placer de contar con la presencia de destacados expertos en compliance y regulacion en la industria farmacéutica: 

Moderador: Jorge Arellano – Responsable del Área de Cumplimiento Normativo en ARPA Abogados Consultores.

La jornada será presentada por Belén Galindo Lizaldre y contará también con la intervención de nuestro Responsable de Pharma&Healthcare, Miguel Lecumberri, que abordará el panorama y los grandes retos del sector en España.

El compliance en pharma no es solo una exigencia, es una oportunidad para construir un sector más sólido y transparente. Te esperamos el 20 de febrero en Pamplona.

Inscríbete y sé parte del debate: businessevents@diariodenavarra.es

 

 

 

Sistemas de compliance en materia de libre competencia: la norma UNE 19603 y su certificación

Las sanciones que se están imponiendo por vulnerar las prácticas de libre competencia y la labor de las autoridades de las comunidades autónomas en la materia, están adquiriendo una mayor relevancia en el entorno económico actual.

En este marco, se ha publicado recientemente la norma UNE 19603, con la participación activa de la Autoridad Vasca de la Competencia, cuyo objetivo es proporcionar herramientas a las empresas para implementar programas de cumplimiento normativo en materia de competencia que permitan prevenir procedimientos sancionadores.

La implantación de un programa de cumplimiento en este ámbito resulta clave para proteger a las empresas de posibles daños reputacionales y económicos derivados de verse involucrados en investigaciones y sanciones.

Por todo ello, ADEGI ha organizado una jornada que contará con la intervención de nuestra compañera, María González Navarate (Responsable del Área de Derecho de la Competencia de ARPA Abogados Consultores),  Rafael Iturriaga Nieva, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia) y  Mayrata Conesa Alagarda, Mánager de ESG, Compliance y Buen Gobierno de AENOR. donde darán a conocer los sistemas de compliance competencia, los aspectos clave de la norma UNE 19603:2023 y la experiencia de la empresa certificadora AENOR.

Dicha sesión tendrá lugar el próximo 14 de febrero de 09:30 a 11:15 h en la sede de ADEGI. 

 

Programa:

  • 9:30h: Presentación.

  • 9:40h: Competencia y actividad económica. Relevancia y ventajas de tener de programas de compliance competencia en nuestras empresas.

                       María González, Directora de la oficina de ARPA Abogados Consultores en San Sebastián y, Responsable del Área de Derecho de la Competencia.

  • 10:10h: La norma UNE 19603:2023.

                  Rafael Iturriaga, vocal del Consejo Vasco de la Competencia (Autoridad Vasca de la Competencia.)

  • 10:40h: Los sistemas de gestión de la libre competencia: su certificación.

                  Mayrata Conesa, Mánager de ESG, Compliance y Buen Gobierno. AENOR.

  •  11:00h: Ruegos y preguntas.

  •  11:15h: Cierre jornada.

 

 

Si desea inscribirse, puede hacerlo a través del siguiente enlace.

Estatuto de la Autoridad Independiente de Protección del Informante (AAI)

A través de la presente comunicación le informamos que el pasado 30 de octubre, se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 1101/2024, que aprueba el Estatuto de la Autoridad Independiente de Protección del Informante (AAI). Este nuevo marco legal regula la organización, estructura y funcionamiento de la AAI, así como todos los aspectos que sean necesarios para el cumplimiento de sus funciones.

La Autoridad Independiente de Protección del Informante AAI es un ente de Derecho Público dotado de personalidad jurídica propia, que actúa con plena autonomía e independencia de los poderes públicos. A efectos únicamente organizativos y presupuestarios, está adscrita al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes.

El Estatuto establece que la finalidad de la Autoridad se centra garantizar la protección de la persona informante, actuando como pilar institucional en la prevención y la lucha contra el fraude y la corrupción. Entre sus principales funciones destacan, entre otras, las siguientes:

  • La tramitación de las informaciones y comunicaciones que se reciban a través del canal externo.

  • La asunción de la condición de órgano consultivo y de asesoramiento del Gobierno en materia de protección del informante;

  • El inicio, instrucción y resolución de los procedimientos sancionadores e imposición de sanciones por las infracciones previstas en la Ley 2/2023;

  • La elaboración de circulares y recomendaciones donde se establezcan los criterios y prácticas adecuados para el correcto funcionamiento de la AAI.

La aprobación del Estatuto e inminente creación de la Autoridad con facultades sancionadoras implica o refuerza la necesidad de que las empresas con 50 o más trabajadores[1] y que todavía no se hayan adaptado a la normativa procedan de forma urgente a implementar los denominados como Sistemas internos de información.

Respecto a las entidades que ya dispongan de estos Sistemas, deberá tenerse en consideración que se deberá notificar el registro de los Responsables del Sistema (ya sea individuales o como órganos colegiados) en un plazo de dos meses a partir de la fecha de puesta en funcionamiento de dicha Autoridad.

Desde ARPA Abogados Consultores, quedamos a su disposición para cualquier duda o aclaración que pueda necesitar en esta u otras materias.

 

[1]Así como aquellas otras entidades sujetas al ámbito de aplicación de la Ley 2/2023

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Protección de datos

 

Cumplimiento normativo

 

Normativa al día
 
Charlas, eventos y novedades

El próximo 28 de noviembre, Jorge Arellano, Asociado y Responsable del Área de Cumplimiento Normativo de ARPA Abogados Consultores, dirigirá el taller sobre Gobierno Corporativo Compliance Entendiendo y trabajando el pilar buen gobierno y compliance de la sostenibilidad a través del juego de mesa RSE Gob en el Club de Marketing y con el apoyo del Servicio Navarro de Empleo – Nafar Lansare. 

 

 


 

PROTECCIÓN DE DATOS

 

Verificación de edad en infancia. La AEPD publica una nota técnica. 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica titulada “Internet seguro por defecto para la infancia y el papel de la verificación de edad”, donde se analiza la necesidad de crear un entorno digital más seguro para los niños, niñas y adolescentes. El documento subraya que es posible proteger de manera efectiva a los menores en Internet sin comprometer la privacidad de los usuarios ni exponer a los menores a nuevos riesgos.  

La AEPD propone un cambio de paradigma en la protección de la infancia en Internet, priorizando la protección preventiva. En lugar de estrategias reactivas que actúan sólo después de que los menores ya han sido expuestos a riesgos, se recomienda aplicar los principios de protección de datos por defecto. Esto implica la creación de espacios en Internet que sean seguros para los menores, respetando sus derechos y libertades.  

Uno de los elementos clave para lograr este entorno seguro es la verificación de edad, que debe ser utilizada como una herramienta que permita limitar el acceso de los menores a contenidos o servicios inapropiados. Esta verificación debe cumplir con el Reglamento General de Protección de Datos y otras normativas que refuerzan la protección de la infancia, evitando generar nuevos riesgos o pérdida de derechos. 

En la nota técnica también se analizan cuatro casos de uso y se sugieren buenas prácticas para proteger a los menores de riesgos como el acceso a contenido inapropiado, el contacto con personas peligrosas, la explotación de sus datos personales o la inducción a comportamientos adictivos. 

 

Volver al índice

 

El Comité Europeo de Protección de Datos adopta un dictamen sobre los encargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

 

En su último pleno, el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

En primer lugar, el CEPD emitió la Opinión 22/2024 en respuesta a una solicitud de la Autoridad Danesa de Protección de Datos, proporcionando una guía detallada sobre cómo deben los responsables del tratamiento gestionar y supervisar a los encargados y subencargados para garantizar el cumplimiento del RGPD. 

Entre los puntos principales, la Opinión resalta el deber de los responsables de obtener información sobre los encargados y subencargados involucrados en el tratamiento de datos (nombre, dirección, persona de contacto) y mantenerla actualizada. Además, el CEPD señala que los responsables del tratamiento deben evaluar si los encargados proporcionan garantías suficientes, independientemente del nivel de riesgo de la actividad de procesamiento. 

También se establece que, si bien los encargados pueden proponer subencargados, la decisión final recae sobre el responsable de tratamiento, quien debe verificar que los subencargados cumplan con las mismas obligaciones y garantías. Aunque no es necesario revisar sistemáticamente los contratos realizados entre encargados y subencargados, el responsable debe evaluar, en función del riesgo. si es necesario hacerlo para cumplir con el principio de responsabilidad. 

Por otro lado, el Comité adoptó las Directrices 1/20242 sobre el tratamiento de datos personales basado en el interés legítimo, las cuales se encuentran en consulta pública hasta el 20 de noviembre de 2024. 

Estas directrices analizan los criterios establecidos en el artículo 6.1.f) del RGPD que deben cumplir los responsables del tratamiento para que sea lícito sobre la base de un interés legítimo. En este sentido, deben cumplirse tres condiciones acumulativas:  

    • La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero. 
    • La necesidad de tratar los datos personales para los fines del interés legítimo perseguido. 
    • Los intereses o las libertades y derechos fundamentales de los interesados no prevalecen sobre el interés legítimo del responsable del tratamiento o de un tercero.  

 

La evaluación del interés legítimo y, en particular, la ponderación de intereses y derechos contrapuestos requiere la consideración de una serie de factores como la naturaleza y el origen de los intereses legítimos pertinentes, el impacto del tratamiento en el interesado y sus expectativas razonables sobre el tratamiento y la existencia de salvaguardas adicionales que puedan limitar el impacto en el interesado. 

 

Volver al índice

 

Pixel tracking y otras formas de seguimiento. Nuevas directrices sobre el ámbito de aplicación técnico de la Directiva ePrivacy. 

 

El Comité Europeo de Protección de Datos ha adoptado una nueva guía sobre el Alcance Técnico del artículo 5(3) de la Directiva ePrivacy, que aborda la aplicabilidad de dicho artículo a diversas soluciones técnicas y tecnologías emergentes de seguimiento de datos, como por ejemplo el pixel tracking, sensores IoT o identificadores únicos de dispositivos. 

La aparición de nuevos métodos de rastreo que sustituyen a las herramientas de rastreo existentes y la creación de nuevos modelos de negocio, se ha convertido en una preocupación fundamental en materia de protección de datos. De este modo, aunque el artículo 5(3) de la Directiva ePrivacy se aplica a algunas tecnologías de rastreo como las cookies, es necesario abordar las ambigüedades relacionadas con la aplicación de dicha disposición a las nuevas herramientas de rastreo.  

Las Directrices identifican tres elementos clave para la aplicabilidad del precepto, a saber, “información”, “equipo terminal de un usuario” y “acceso y almacenamiento de información”, proporcionando un análisis detallado de cada elemento. Además, se analizan nuevos casos de uso de tecnologías de seguimiento. 

 

Volver al índice

 

El Consejo de Transparencia y Protección de Datos de Andalucía publica la “Guía sobre Protección de datos personales para centros educativos

 

El Consejo de Transparencia y Protección de Datos de Andalucía ha presentado la “Guía sobre Protección de datos personales para centros educativos”. El documento aborda la importancia de la protección de datos en los centros educativos, especialmente para proteger los derechos de los menores. 

La guía tiene tres objetivos principales: garantizar el cumplimiento de la normativa vigente, en especial el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos; responder a las dudas que puedan surgir en relación con el tratamiento de datos personales; y promover la mejora de protocolos en los centros educativos. 

La Guía se ha desarrollado teniendo muy presente las aportaciones de la comunidad educativa realizadas a través de un cuestionario específico en la materia, y está dividida en dos partes: una descriptiva sobre la normativa y otra práctica, con preguntas y respuestas sobre casos comunes en el ámbito educativo. Además, cubre temas como plataformas digitales, móviles y videovigilancia, y concluye con consejos básicos para garantizar el cumplimiento de la ley. 

 

Volver al índice

 

 

Límites protección programas de ordenador. ¿Es extensible a los datos en memoria? 

 

Después de un largo proceso judicial en el caso de que enfrentaba a Sony contra Datel, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado que la modificación en memoria de variables realizada por un programa de ordenador no constituye una modificación del mismo, y por lo tanto no es contrario a la Directiva del Consejo sobre protección jurídica de programas informáticos. En el caso analizado, DATEL comercializaba un programa que permitía a los usuarios modificar las variables cargadas en memoria por los juegos de Sony en la consola PSP y la cuestión se centraba en ver si el contenido de tales variables está comprendido en el ámbito de aplicación de la protección del derecho de autor o por el contrario era algo ajeno a ella, ya que no se modificaba en ningún momento el código fuente o objeto del videojuego de Sony. Como se ha indicado el Tribunal considera que la protección de la Directiva no alcanza a la protección de los datos variables almacenados por un programa de ordenador protegido en la memoria local utilizados por dicho programa durante su ejecución.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Seguros y Compliance

Como es sabido, los sistemas Corporate Compliance penal se configuran como modelos de organización y gestión diseñados para la creación y fomento de una cultura de cumplimiento normativo en la empresa. 

En cualquier caso, y conviene recordarlo, también resulta recomendable reforzar la protección de los sistemas mediante la formalización de seguros, que puedan cubrir contingencias de tipo civil y penal, tanto de la empresa como de los responsables de la gestión del sistema de Compliance.  

Lógicamente, ningún seguro va a cubrir los delitos dolosos, sin embargo, sí que pueden incluir la protección por responsabilidades civiles derivadas faltas cometidas por imprudencia, incumplimientos de empleados, gastos de defensa (también penal) e incluso la presentación y los gastos de constitución de fianzas. 

Por lo tanto, los Compliance Officers y también los Directivos de la empresa no deberían olvidar la importancia de complementar la protección de los sistemas de Compliance con la cobertura de seguros, tanto en materia civil como penal, como se dice coloquialmente, hombre que no previene accidentes tiene…

 

Volver al índice

 

Condenado un hostelero por las molestias y excesivo ruido de la actividad de su pub 

El Tribunal Superior de Justicia de Castilla y León ha ratifica la sentencia de la Audiencia de Zamora contra un hostelero condenado a tres años de prisión por un delito contra el medio ambiente. 

Desde su apertura como pub, pero sobre todo en los últimos años, han sido constantes las quejas y denuncias sucesivas por las continuas y graves molestias a los vecinos por el nivel de ruido y música más elevado de lo permitido hasta altas horas de la madrugada. Además de incumplimiento de los horarios de recogida de la terraza y cierre del establecimiento. 

Para el tribunal, la sentencia de la Audiencia Provincial realiza un “riguroso análisis del material probatorio existente en las actuaciones”, una prueba “suficientemente clara como para dejar acreditado no solo el insufrible ruido que producía el condenado desde su local, sino del conocimiento que él tenía de las importantes molestias que ocasionaba al vecindario”.  

La Sala concluye que “resulta acreditado el riesgo de afectación grave de la salud de estas personas a un nivel de ruidos más elevado de lo tolerable y la, al menos, posible lesión de los bienes jurídicamente protegidos -derecho a la integridad física y moral y a la intimidad personal o familiar- (…) la contaminación acústica fue muy prolongada en el tiempo y durante periodos nocturnos seguidos lo que imposibilitaba o, al menos, dificultaba el descanso nocturno esencial para el ser humano”. 

 

Volver al índice

 

 

Auto: Consideraciones sobre el “defecto estructural” y la complejidad empresarial 

Destacamos el Auto 343/2024 de la Audiencia provincial de Barcelona en materia de responsabilidad penal de las personas jurídicas, en el mismo (sobre el delito de estafa) se recuerda que el fundamento de imputación de la empresa (es decir el delito corporativo) se basa en la existencia del defecto estructural en los mecanismos de prevención y control de la entidad (fundamento de derecho 2º): 

De entre las consideraciones realizadas hasta el momento, nos quedamos en que, para hablar del fundamento de esa responsabilidad exigible a la persona jurídica por su propio delito, es preciso partir de la constatación de algún defecto estructural en los mecanismos de prevención y control que le fueran exigibles por razón de su organización tendentes a los fines a que se orienta su actividad. 

El Auto también destaca que las medidas de control e incluso la propia imputabilidad de la empresa dependerá de su grado de complejidad, abriendo la posibilidad de liberar de responsabilidad a las entidades sin estructura: 

…la responsabilidad penal de la persona jurídica gira en clave de complejidad organizativa, de manera que cabrá hablar de imputabilidad respecto de aquéllas que presenten un cierto grado de complejidad con la consecuencia de que no todas las personas jurídicas serán imputables, sirviendo de apoyo, de alguna manera, para esto que decimos el distinto tratamiento que en orden a las funciones de supervisión se establecen en el propio art. 31 bis CP para las personas jurídicas de pequeñas dimensiones, en comparación con los mecanismos de compliance propios de las de mayor complejidad. 

Volver al índice

 

 

NORMATIVA AL DÍA

 

NIS2: ausencia de transposición y primera normativa de ejecución. 

Si a nivel nacional seguimos sin transponer la directiva NIS2 pese a que el pasado 17 de octubre finalizó el plazo máximo para ello, si que desde la comisión se ha dictado un reglamento de ejecución que viene a establecer los requisitos técnicos y metodológicos de las medidas a que se refiere la Directiva NIS2 con respecto a determinados proveedores (ej.  proveedores de servicios de computación en nube, los proveedores de servicios gestionados o los proveedores de servicios de seguridad gestionados). 

Volver al índice

 

Reglamento relativo a la seguridad general de los productos. 

El próximo día 13 de diciembre de 2024 será de aplicación el  Reglamento (UE) 2023/988 relativo a la seguridad general de los productos. A destacar las obligaciones específicas de los prestadores de mercados en línea relacionadas con la información sobre seguridad de los productos que permitan a los comerciantes que ofrezcan el producto proporcionar. A este efecto, por ejemplo, será necesario informar entre otros del nombre, nombre comercial registrado o marca registrada del fabricante, información que permita identificar el producto, (incluidos una imagen del producto, su modelo y cualquier otro identificador del producto) o cualquier advertencia o información relativa a la seguridad que deba colocarse en el producto o su envase. 

 

Volver al índice

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2024

Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Normativa al día

 

Charlas, eventos y novedades

 

 


 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

AEPD: Orientaciones sobre el uso de dispositivos móviles en los centros educativos e informe patrones adictivos en el tratamiento de datos personales.

La Agencia Española de Protección de Datos (AEPD) ha dado a conocer unas orientaciones sobre las obligaciones y responsabilidades por el uso de dispositivos móviles en los centros educativos que abarca la enseñanza infantil, primaria y secundaria. Aborda el análisis de diferentes situaciones, como la prohibición del terminal en el centro o limitación de uso del mismo a requerimiento del centro así como los flujos de comunicación que se puedan dar entre el personal docente y el alumnado mediante este tipo de dispositivos, recordando la necesidad que “los tratamientos de datos personales con fines educativos que se basen en la utilización de dispositivos y medios digitales han de superar positivamente el juicio de idoneidad, necesidad y proporcionalidad” concluyendo que “desaconsejan el uso de teléfonos y demás dispositivos digitales móviles en los centros educativos, cuando se disponga de otros recursos que sean más idóneos para conseguir el fin pedagógico pretendido sin poner en riesgo la privacidad” 

También relevante es el informe que analiza cómo los tratamientos de los datos personales de los usuarios en numerosas plataformas, aplicaciones y servicios incluyen patrones adictivos para aumentar su tiempo de conexión. El Comité Europeo de Protección de Datos (CEPD) ya ha abordado estos temas en sus directrices sobre patrones de diseño engañosos en redes sociales, y la AEPD ha revisado la evidencia científica sobre el uso de estos patrones en diferentes plataformas y servicios. El Reglamento de Servicios Digitales (DSA), en su artículo 25, prohíbe el diseño y gestión de interfaces que engañen o manipulen a los usuarios. 

El informe clasifica los patrones adictivos en tres niveles: alto, medio y bajo. Los patrones de alto nivel son estrategias generales como la acción forzada y la ingeniería social; los de nivel medio explotan vulnerabilidades psicológicas específicas; y los de bajo nivel son ejecuciones específicas contextualizadas. La incorporación de estos patrones plantea importantes desafíos para la protección de datos, incluyendo la responsabilidad proactiva, la transparencia y la minimización de datos. Además, implica riesgos para los derechos y libertades de los usuarios, especialmente para la integridad física y psíquica de menores. En relación con los patrones adictivos, la Comisión Europea tiene abiertos dos procedimientos sancionadores por posible incumplimiento de la citada DSA, contra TikTok y Meta. 

 

Volver al índice

 

 

Acceso al correo electrónico de un trabajador 

El objeto de la resolución de la AEPD se centra en determinar si el acceso de la empresa al correo corporativo del reclamante es una infracción de la normativa de protección de datos personales. 

En el caso objeto de la resolución se analiza si resulta conforme que un superior directo acceda al correo electrónico de un empleado bajo su supervisión, que se encontraba de huelga, teniendo como finalidad dicho acceso el garantizar la continuidad de la actividad comercial. Dicho empleado estaba informado del carácter corporativo del correo electrónico y de la posibilidad de acceso que se reservaba el empresario.  

Atendiendo a las mencionadas circunstancias y sin entrar en la licitud, desde el punto de vista laboral, del mencionado acceso, la AEPD entiende que “la empresa reclamada tenía legitimación suficiente (base de licitud) para acceder a la cuenta corporativa del reclamante, sin que se conste una intromisión en la privacidad del reclamante, toda vez que la remisión de estos 3 correos electrónicos se realizó desde un correo corporativo y no personal del empleado, en ejercicio de un interés legítimo de la empresa para continuar su actividad comercial, sin que fuera posible acudir a otro medio menos intrusivo, en ausencia de los 4 trabajadores que podían remitir dicho correo electrónico; y habiéndose cumplido con las garantías previstas en el artículo 87 de la LOPDGDD, dado que el trabajador había sido informado de la posibilidad de utilización de su cuenta de correo corporativo por otros responsables de la empresa, puesto que tal mención consta en la política de seguridad del personal de la empresa”.

Recuerda, no obstante, la AEPD la importancia realizar previamente al acceso, una adecuada ponderación entre la intimidad del trabajador y la facultad de vigilancia y control del cumplimiento de sus obligaciones laborales por la empresa.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Novedades sobre la Autoridad Independiente de protección al Informante 

El pasado 17 de septiembre el Consejo de Ministros ha anunciado (dentro del Plan de Acción para la Democracia), la creación de la Autoridad Independiente de Protección al Informante (AIPI), entidad con facultades de supervisión y sanción de los incumplimientos de la Ley 2/2023 de 20 de febrero. Tras más de año y medio de la entrada en vigor de la Ley, parece que la creación de la AIPI -previsiblemente a través de Real Decreto- se producirá dentro del último trimestre del año. 

 

Volver al índice

 

¿Quién debe probar la eficacia de los sistemas de compliance? 

La responsabilidad penal de las personas jurídicas ha sido objeto de intenso debate en la última década, centrado principalmente en la atribución de responsabilidad o carga probatoria en la eficacia de los sistemas de compliance. Existen dos modelos en discusión: el de autorresponsabilidad y el de hetero responsabilidad. 

El Tribunal Supremo (sirva de ejemplo STS 668/2017, de 11 de octubre) y diversas Audiencias Provinciales (AP) optaron desde un principio por un sistema de autorresponsabilidad. En base a este modelo, la acusación debe probar la ineficacia de los sistemas de compliance, ya que la falta de implementación de estos sistemas es parte esencial del tipo penal. La carga de probar que un delito se debió a fallos en los mecanismos de prevención recae en la acusación, mientras que la empresa puede demostrar que su sistema cumple con los requisitos del artículo 31 bis del Código Penal. Por tanto, si la defensa no realiza ningún esfuerzo por demostrar la existencia de los sistemas de cumplimiento, habrá que entender que dichos sistemas no existen. 

El Código Penal contempla la posible responsabilidad penal de las empresas y así como la previsión de su protección a través de los sistemas de Compliance Penal. Más aún a la luz de los nuevos pronunciamientos judiciales, parece que no bastará con desplegar dichos sistemas, sino que las defensas acreditarán en el procedimiento penal la existencia de los programas de cumplimiento penal y que estos son eficaces y cuentan con medidas de prevención (aunque puedan fallar) sobre los delitos imputados. 

Así, tanto la AN en su auto de fecha 4 de marzo 2024 (recurso 42/2017) como la sentencia del Tribunal Supremo 298/2024, 8 de abril, coinciden en que no se ha de presumir que todas las personas jurídicas cuentan con un programa de cumplimiento; sino que éstas deben de aportarlo y demostrar su eficacia. De esta manera, se les concede la posibilidad de acreditar que, pese a la comisión del delito, su programa era eficaz y cumplía los estándares exigidos legalmente. 

En conclusión, se destaca una clara tendencia hacia la no aceptación de contar solamente con un Sistema de Compliance sino que las empresas habrán de implementar las medidas necesarias de prevención, así como probar su eficacia ante el juez como haber dado publicidad al sistema, disponer de actas de aprobación e implementación, haber realizado actividades de formación a los trabajadores, etc.  

 

Volver al índice

 

Absolución de la periodista de Huelva condenada por revelación de secretos 

El Tribunal Superior de Justicia de Andalucía (TSJA) absolvió a la periodista del diario Huelva Información, condenada a dos años de prisión por la Audiencia de Huelva por un supuesto delito de revelación de secretos.  

La condena se basaba en la publicación de informaciones recopiladas del sumario del caso del brutal asesinato de Laura Luelmo en El Campillo. La Audiencia sostuvo que la periodista, dada su profesión, debía conocer que los datos sumariales son de naturaleza reservada, salvo para las partes intervinientes, por lo que necesariamente tuvo que ser consciente de su procedencia ilegítima.  

Sin embargo, la Sala del TSJA argumentó que una cosa es que la periodista conociera la naturaleza reservada de los datos y otra muy diferente es que supiera de la ilicitud en su obtención. Esta distinción no se logró demostrar de manera concluyente en el caso: no se indica la procedencia u origen de la información publicada, tampoco se expresa que la acusada fuera consciente del posible origen ilícito y no se declara que la persona que se apoderó de la información reservada hubiese actuado en perjuicio del titular de los datos o de un tercero. 

 

Volver al índice

 

NORMATIVA AL DÍA

 

NIS2 

El próximo día 17 de octubre finaliza el plazo de transposición de la Directiva NIS2 (DIRECTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión). Al efecto indicar que, de un lado, el INCIBE ha elaborado varios materiales de consulta sobre la materia mientras que el Centro Criptológico Nacional ha habilitado un servicio para ayudar a las entidades a cumplir con las medidas técnicas, operativas y de organización de la NIS2. 

 

Volver al índice

 

Entrada en vigor de la Ley de IA de la UE 

A partir del 1 de agosto entró en vigor en la Unión Europea la Ley de Inteligencia Artificial (IA), la primera del mundo para regular sistemas que permiten actuar de manera más precisa y eficiente a los humanos en muchos ámbitos e impulsar la innovación, planteando a la vez importantes riesgos que el nuevo marco común trata de evitar. Dicha Ley se resume en los siguientes puntos fundamentales: clasificación de la IA en función de su riesgo (llegando a prohibir los llamados riesgos inaceptables); obligaciones de los proveedores (y algunos usuarios o implantadores) de sistemas de IA de alto riesgo; y los modelos y sistemas de IA de propósito general (GPAI).  

Será plenamente aplicable 24 meses después de su entrada en vigor, siguiendo la siguiente cronología de plazos de aplicación: (i) 6 meses (febrero 2025) para los sistemas de IA prohibidos; (ii) 12 meses (agosto 2025) para GPAI; (iii) 24 meses (agosto 2026) aplicación del resto de la Ley con excepción del artículo 6(1) y obligaciones correspondientes (una de las categorías de IA de alto riesgo); y (iv) 36 meses (agosto 2027) aplicación del artículo 6(1) y obligaciones correspondientes. 

 

 

Volver al índice

 

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

Compliance

 

Normativa al día

 


 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Límites al uso de marcas de terceros con motivo de una acción promocional. 

Tras conocerse la opinión del Abogado General de Justicia de la Unión Europea, el Tribunal de Justicia de la Unión Europea ha resuelto la cuestión prejudicial planteada por el Tribunal Supremo en el caso de uso de la marca Zara por Buongiorno Myalert en relación con una acción promocional en la que esta última regalaba tarjetas regalo de Zara. Acto que Inditex entendía, constituía un acto de competencia desleal. 

Tras ser desestimadas las pretensiones de Inditex por parte de un Juzgado de lo Mercantil de Madrid, así como por la Audiencia Nacional, se recurrió ante el Tribunal Supremo, que planteó cuestión prejudicial al TJUE solicitando aclaración sobre si el concepto de “límite referencial” previsto por el artículo 6.1.c) de la Directiva 2008/95 aplicable en el momento de los hechos, es más o menos amplio que el de la Directiva 2015/2436, aplicable en la actualidad. 

En este contexto, el TJUE aclara que el límite solo se refiere al uso en el tráfico económico de la marca, cuando la misma sea requerida para determinar el destino de un producto. Aclarado el alcance, corresponde al Tribunal Supremo determinar si la campaña que lanzó Buongiorno se adecua o no a derecho. 

 

Volver al índice

 

El Tribunal Supremo pone punto final a la guerra entre Kukuxumuxu y sus antiguos dibujantes. 

La Sala de lo Civil del Tribunal Supremo ha desestimado el recurso planteado por la entidad Kukuxumusu Ideas, S.L a la sentencia de segunda instancia.  La sentencia analiza si la cesión de derechos de explotación sobre los dibujos acordada entre la mercantil y los autores de los mismos alcanza cualquier nuevo dibujo en el que puedan aparecer los personajes representados en los dibujos cedidos o si, por el contrario, los personajes pueden ser reproducidos en otras escenas, situaciones o peripecias.  

El Supremo, ha determinado, que los autores podrán realizar nuevos dibujos de los personajes, siempre que sean lo suficientemente distintos para no poder considerarse plagio de los dibujos cedidos a Kukuxumusu Ideas, S.L y siempre que la transformación que se pueda hacer de los mismo esté dentro del marco contractual acordado, en su momento, entre las partes.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva Guía sobre el Uso de cookies para herramientas de medición de audiencia. 

La Agencia Española de Protección de Datos ha publicado la “Guía sobre el uso de cookies para herramientas de medición de audiencia”.  

En dicha guía se establece la posibilidad de usar cookies estadísticas de tráfico o rendimiento sin consentimiento, siempre y cuando se limite únicamente a medir la audiencia, de manera anónima. En este sentido, dichas cookies no deberán permitir el seguimiento agregado a través de diferentes páginas web, y no se deberán compartir con terceros.  

No obstante, se permitirá recoger datos como el tipo de dispositivo, o el navegador mediante el que se accede a la página, siempre que se informe en la política de privacidad, y se limite la duración de las cookies a 13 meses, y la conservación de los datos a 25 meses.  

 

Volver al índice

 

Sanción en Francia en materia de cookies. 

Recientemente se ha conocido una sanción de 10 millones de euros impuesta por parte de la Autoridad de control francesa (CNIL) a la empresa Yahoo por distintos incumplimientos en materia de cookies. En concreto, la sanción impuesta el pasado 29 de diciembre de 2023, se basa en dos infracciones:  

    • La persistencia en la instalación de cookies publicitarias una vez el usuario desactivaba las mismas en el panel de configuración.   
    • Las consecuencias derivadas de la retirada del consentimiento a la instalación de cookies: se detecta que al retirarse el consentimiento dado en el panel de configuración de la página “Yahoo! Mail”, se informaba al interesado de que ya no podría acceder a los servicios ofrecidos por la empresa, y que se le negaría el acceso a mensajería, lo cual se opone al derecho de libertad de retirada del consentimiento.  

 

Volver al índice

 

El coche como dato identificativo 

Nos hacemos eco de una resolución de la Agencia Española de Protección de datos (AEPD), en la que se ha apercibido a la Policía Foral de Navarra por publicar en RRSS una imagen de un coche en un control rutinario de drogas, en agosto de 2023.  En la imagen aparecía: el coche de la infractora, el rostro de la infractora reflejado en el retrovisor derecho y a su perro asomado por la ventanilla, todo ello junto a las drogas y armas blancas incautadas en el control. La imagen se hizo viral e implicó que la dueña del coche perdiera su puesto de trabajo.  

La AEPD señala que la Policía Foral de Navarra no utilizó los medios corporativos, ni los mecanismos suficientes para no hacer identificable a la persona de la fotografía publicada por lo que apercibe a dicha institución.  

 

Volver al índice

 

La autoridad de protección de datos de Reino Unido analiza la legalidad de las pruebas de IA generativa. 

Ante una serie de consultas, la ICO -homólogo a la Agencia Española de Protección de Datos en Reino Unido- se ha pronunciado a cerca de las bases legales para realizar el web scraping con la finalidad de entrenar modelos de IA generativa. La consulta se centra en la base legal para extraer o procesar datos de la web para este propósito, y ha entendido que, para cumplir con el principio de licitud de protección de los datos, los desarrolladores deberán asegurarse que los tratamientos no infringen ninguna ley y que disponen de interés legítimo para realizar el tratamiento. De cara a poder concluir que efectivamente se dispone de interés legítimo recuerda la ICO la necesidad de realizar el análisis de la existencia del mismo.  

 

Volver al índice

 

La Comisión Europea permite el flujo de datos con once terceros países. 

La Comisión Europea concluyó el pasado 15 de enero de 2024, que la transferencia de datos personales desde la Unión Europea a once terceros países, sigue siendo adecuada. En concreto, dichos países son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos podrán continuar fluyendo libremente a dichos terceros países, por cuanto han fortalecido la protección de datos en sus jurisdicciones, convergiendo dentro del marco de la Unión Europea.  

 

Volver al índice

 

COMPLIANCE

Nuevo Registro de Responsables del Sistema Interno de Información Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA). 

El pasado 2 de diciembre de 2023 entró en vigor la Resolución por la que se creó el Registro de Responsables del Sistema Interno de Información, de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA).  

De acuerdo con dicha resolución, se deberán inscribir en el Registro tanto los nombramientos, como los ceses de los Responsables de los Sistemas de Información de las entidades que se encuentren comprendidas dentro del ámbito de actuación de la OANA, tales como Empresas públicas, Fundaciones, o partidos políticos, entre otros. Si bien en principio las Sociedades privadas no tienen la obligación de registrar a sus responsables, se ha tenido conocimiento de sociedades que lo han hecho. 

 

Volver al índice

 

 NORMATIVA AL DÍA  

 

Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos  

El pasado día 4 de enero de 2024, entró en vigor la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, que reemplaza el régimen contenido en la normativa anterior, de 2004. Dicha Ley supone el cambio de la institución vasca de Agencia a Autoridad, y tiene por objeto actualizar la normativa autonómica.  

 

Volver al índice

 

Nuevo sistema de verificación de edad propuesto por la AEPD.  

El pasado 14 de diciembre de 2023 la Agencia Española de Protección de Datos presentó una propuesta de sistema de verificación de edad en internet, ante el acceso de menores de edad a contenidos para adultos.   

Dicha propuesta se compone de un Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, todo ello complementado por un gráfico que recoge los riesgos de los sistemas utilizados en la actualidad. Con ello, todas las páginas que se encuentren obligadas o voluntariamente verifiquen la edad de sus usuarios deberán cumplir con las condiciones mínimas establecidas en el sistema, protegiendo el interés superior del menor y los derechos fundamentales de todos los ciudadanos. 

 

Volver al índice

 

Nuevo informe de Comité Europeo de Protección de Datos sobre los Delegados de Protección de Datos. 

El Comité Europeo de Protección de Datos ha emitido un informe sobre la designación y cargo de los delegados de protección de datos. Dicho informe, publicado el pasado 17 de enero de 2024, supone la conclusión de una acción coordinada de refuerzo con las autoridades nacionales, que ha analizado en profundidad los desafíos a los que se enfrentan los delegados de protección de datos y las organizaciones. En concreto, se ha evaluado si los DPD tienen, en sus organizaciones, el cargo requerido en los artículos 37 a 39 del RGPD, y los recursos para llevar a cabo sus tareas.  

Del informe se obtiene que, si bien los DPD desempeñan papeles importantes a la hora de proteger los datos de los interesados, existen riesgos relativos a la falta de recursos asignados a esta figura, a conocimientos insuficientes en la materia y a riesgos de conflictos de interés. Del mismo modo, el informe describe el trabajo realizado por las autoridades supervisoras a efectos de abordar los incumplimientos normativos. 

 

Volver al índice

 

El procedimiento de nulidad y caducidad de signos distintivos cumple un año en la vía administrativa. 

Hasta el pasado 14 de enero de 2023, los procedimientos de nulidad y caducidad de signos distintivos españoles se realizaban en la vía judicial. No obstante, tal día entró en vigor la última modificación de la Ley de Marcas, que derivó dichos procedimientos a la vía administrativa. Desde entonces, la Oficina Española de Patentes y Marcas es el órgano encargado de declarar la nulidad y caducidad de los signos distintivos españoles, cumpliéndose el pasado 14 de enero, un año desde el inicio de dicho procedimiento. 

 

Volver al índice

 

Canal de Denuncias: Adaptación a la Ley 2/2023 de 20 de febrero

Con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deberán contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima antes del próximo 1 de diciembre.

Con esta nueva obligación, se deberán establecer canales internos de comunicación seguros, documentar procedimientos adecuados y nombrar responsables del sistema. De no hacerlo de forma adecuada, las entidades obligadas y sus órganos de gobierno se exponen a posibles sanciones de hasta 1.000.000 de euros.

Con la finalidad de ofrecer información útil sobre cómo adaptarse a este nuevo marco normativo, ARPA Abogados Consultores impartirá el próximo 3 de octubre a las 10:00 h, de la mano de Whistleblower Software, un webinar sobre aspectos clave y principales cuestiones técnicas y prácticas a tomar en consideración en la adecuación a la Ley 2/2023.

  • Características de los Sistemas Internos de Información.

  • Contenido de las políticas y procedimientos asociados al Sistema.

  • Nombramiento y funciones del Responsable del Sistema Interno de Información.

  • Sanciones por incumplimiento.

  • Características y garantías de los canales internos de información.

  • Ejemplo práctico con la plataforma Whistleblower Software.

Ponentes confirmados:

 

Si quieres apuntarte, debes cumplimentar el siguiente formulario.

 

 

ARPA incorpora a Miguel Lecumberri para impulsar el área de Pharma & Healthcare

La nueva incorporación cuenta con amplia experiencia corporativa, comercial y transaccional en el sector Farmacéutico y de Atención Sanitaria, así como en operaciones de comercio internacional y Compliance.

ARPA Abogados Consultores da un impulso importante a su plan de crecimiento y especialización sectorial, y lo hace reforzando su equipo de Pharma & Healthcare con la incorporación de Miguel Lecumberri Blanco.

Miguel Lecumberri, que cuenta con una amplia experiencia corporativa, comercial y transaccional en el sector Farmacéutico y de Atención Sanitaria, así como en operaciones de comercio internacional y Compliance, tiene formación de abogado y desarrollador de negocios internacionales en diversas universidades, tanto en Europa como en EE.UU. y México.

Cuenta con más de 15 años de experiencia prestando servicios de asesoría jurídica y de estructuración negocios internacionales para grandes empresas farmacéuticas tales como Astellas, Astra-Zeneca y Novartis, a través de importantes firmas internacionales como las estadounidenses Foley (anteriormente Gardere) o ArentFox, o la mexicana Olivares.

Del mismo modo, ha prestado servicios a empresas e iniciativas en etapas de desarrollo e investigación en los sectores de Biotech y Medtech, asesorándoles en las mejores estrategias, tanto corporativas como transaccionales, para conducir ensayos clínicos y hasta obtener la autorización de comercialización de sus productos.

Desde su práctica legal, se ha dedicado a diseñar operaciones de financiamiento de empresas en sus fases de I+D a través de diversos fondos de capital privado, y a estructurar esquemas de licenciamiento de PI, tanto para empresas farmacéuticas como para fabricantes de dispositivos médicos.

En la etapa más reciente de su carrera profesional, Miguel Lecumberri ejerció como responsable legal y de cumplimiento para Pila Pharma AB, un grupo de empresas biotech de Dinamarca y Suecia dedicadas a la investigación y desarrollo de medicamentos para tratar diabetes tipo 2, entre otras indicaciones terapéuticas.

Su incorporación a ARPA se enmarca en la apuesta del despacho por prestar servicios legales de alto nivel y calidad al sector pharma y healthcare.

ARPA Abogados Consultores es un despacho con más de 30 años de trayectoria y con sedes en Pamplona, Madrid, San Sebastián y Valladolid. Asimismo, forma parte de las redes Latiam y Eurojuris International que permiten ofrecer cobertura jurídica en más de 60 países. En la actualidad, el Despacho navarro cuenta con una plantilla de más de 80 profesionales para acompañar a las empresas en sus proyectos, ofreciendo un asesoramiento integral, jurídico, económico y fiscal, aportando valor, confianza, compromiso y seguridad a sus clientes.

 

Asimismo, le dejamos el enlace en los distintos medios de comunicación:

 

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023

Protección de datos – Seguridad de la Información

 

Propiedad Intelectual e Industrial

 

Compliance
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

________________________________________________________________________________________________________________

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el control de jornada de trabajadores.Nuevos pronunciamientos de diferentes autoridades de protección de datos.

Nos hacemos eco de nuevos pronunciamientos de autoridades de protección de datos sobre uso de soluciones de biometría para el control de jornada, en este caso, de los dictámenes del Consejo de Transparencia y Protección de Datos de Andalucía, y de la Autoridad Catalana de Protección de Datos, ambos del 28 de julio de 2023. A destacar de ambos pronunciamientos la gran seguridad jurídica que otorgan en cuanto que se establecen claramente los requisitos que hay que cumplir en estas situaciones. 

Consideran los dictámenes que, dado que se tratan datos biométricos para la identificación, será necesario en primera instancia acudir a los convenios colectivos (en caso de personal laboral) o a los acuerdos con el personal funcionario, en el marco de la negociación colectiva, para analizar si es posible llevar a cabo este tratamiento. En defecto de convenio o pacto, se podrán emplear estos sistemas cuando concurra el consentimiento explícito del interesado. En tal caso, deberá disponerse de una alternativa de libre elección para cumplir el control del horario. También deberá cumplirse con el resto de principios y obligaciones, destacando el principio de minimización del art. 5.1.c) del RGPD.  

En todo caso, es importante recordar la necesidad de realizar una evaluación de impacto previo al tratamiento de los datos que analice y documente todas estas cuestiones, en cuanto que de lo contrario, la organización se expone a una sanción y a la paralización del tratamiento hasta cumplir con las obligaciones (sin ir más lejos, este ha sido el caso de la Diputación de Cuenca, ya que  la Agencia Española de Protección de Datos, en una resolución la ha sancionado a por utilizar lectores de huellas para controlar los horarios sin otorgar información a los trabajadores sobre el tratamiento de sus datos, y sin realizar la Evaluación de Impacto correspondiente). 

 

Volver al índice

 

La AEPD prohíbe a la Mancomunidad de la Comarca de Pamplona recopilar datos de apertura de contenedores vinculados a domicilios. 

La AEPD ha publicado una resolución, en agosto de 2023, mediante la cual ha establecido que la Mancomunidad de la Comarca de Pamplona carece de legitimación para recoger el número de veces que un domicilio abre la tapa de los contenedores orgánicos o de resto, mediante el sistema de tarjeta de apertura vinculada a los domicilios.  

Dichos contenedores seguirán abriéndose mediante el sistema de tarjetas, pero la información que se obtenga será encriptada para no poder utilizarse, tal y como ha señalado el presidente de la MCP en una rueda de prensa. 

 

Volver al índice

 

Sanciones a dos importantes organizaciones por incumplimientos en materia de Cookies. 

 La AEPD ha emitido dos resoluciones este mes de agosto contra dos empresas de ámbito nacional. En la primera resolución, la sanción se ha fundamentado en que, en el panel de control sobre cookies, si se seleccionaba el botón de “rechazar todas”, la web seguía utilizando cookies de terceros de Google, sin consentimiento del usuario. En el caso de la segunda resolución, la sanción viene fundada en la falta de inclusión en el banner, de un acceso al panel de control que permitiera revocar el consentimiento, o rechazar las cookies aceptadas previamente.  

 R. 23 de agosto: https://www.aepd.es/es/documento/ps-00132-2023.pdf

R. 25 de agosto: https://www.aepd.es/es/documento/ps-00051-2023.pdf

 

Volver al índice

 

Conservación de documentación de identidad tras verificación de identidad. La Comisión de Protección de Datos de Irlanda sanciona a AirBNB 

El pasado 21 de junio de 2023, la Comisión de Protección de Datos de Irlanda emitió una resolución mediante la cual se estableció que la retención por parte de una empresa de una copia del documento de identidad de un usuario, tras la finalización del proceso de verificación de identidad, infringía los principios de minimización de datos y de limitación del plazo de conservación del Reglamento General de Protección de Datos. Por ello, se ha amonestado a la compañía, ordenándole tomar medidas para remediar las infracciones producidas, así como para prevenir infracciones futuras, incluyendo, entre estas medidas, la revisión de políticas internas relacionadas con la verificación del usuario. 

 

Volver al índice

 

“Fraude del CEO”: ¿Es el trabajador responsable de las cantidades defraudadas? Tribunal de Cuentas exige 4 millones de euros en el caso de la estafa a la EMT de Valencia.      

La sección de Enjuiciamiento del Tribunal de Cuentas ha rechazado el recurso de apelación presentado por una extrabajadora de la Empresa Municipal de Transportes de Valencia, condenándola como responsable de un fraude ocurrido en septiembre de 2019. El modus operandi de los estafadores consistió en suplantar la identidad de un abogado de un reconocido despacho, así como del presidente de la EMT, solicitando a la empleada una serie de pagos, habiéndole hecho firmar previamente una supuesta carta de confidencialidad.  

El Tribunal de Cuentas afirma en la resolución que la empleada actuó de manera gravemente negligente y que «asumió funciones que correspondían a otros cargos directivos de la sociedad sin tener atribuidas las competencias«, causando un grave perjuicio a la entidad. No obstante, los responsables de la estafa no han sido encontrados, y el procedimiento penal se mantiene detenido. 

A resaltar la existencia de un voto particular que solicita la absolución de la trabajadora, lo que ha servido para recurrir ante el Tribunal Supremo. Estando actualmente el caso en manos del Supremo, la defensa ha argumentado que la empleada fue engañada, que no actuó de forma dolosa, y que los responsables del fraude serían únicamente los estafadores, y la entidad financiera que permitió los pagos. 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Quién puede comercializar la icónica botella verde de sidra de Asturias?

El pasado 19 de julio de 2023, el Tribunal Supremo emitió una sentencia por la que se declaró la validez del registro de una marca tridimensional, constituida por la popular forma de la botella de sidra, conocida como botella “molde de hierro. La sentencia, que da la razón a la Asociación de Sidra Asturiana, afirma que la botella posee un conjunto de características que no son atribuibles a la búsqueda de un resultado técnico en la botella, sino que otorgan una apariencia particular, y que permiten que el comprador la asocie a la “Sidra Natural Asturiana, lo que implica que solo podrá utilizarse para envasar sidra natural elaborada en Asturias. 

 

Volver al índice

 

Nueva sentencia en EE.UU. sobre los derechos de autor de las obras generadas por IA. 

La Jueza Beryl Howell del Tribunal Federal de Washington ha confirmado la postura mantenida por la Oficina de Derechos de Autor de EE.UU., de que las obras generadas por IA no pueden estar protegidas por los derechos de autor. Lo novedoso de la sentencia es que pone de relieve la importancia de la autoría humana en una obra, afirmando que se trata de un “Requisito fundamental” para poder obtener la protección que le otorgan los derechos de Propiedad Intelectual, inclusive cuando el solicitante sea el titular de la solución de IA utilizada para la generación del activo que se quiere registrar como obra. 

 

Volver al índice

 

COMPLIANCE

El Tribunal Supremo desestima el recurso de la Agencia Valenciana Antifraude contra la anulación de un estatuto de denunciante protegido.

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha desestimado el recurso interpuesto por la Agencia Valenciana Antifraude, frente a una sentencia del Tribunal Superior de Justicia de Valencia. Dicha sentencia anulaba el estatuto de denunciante protegido al jefe de urbanismo del Ayuntamiento de Los Montesinos, protección que había sido otorgada por la Agencia en base a una denuncia interpuesta ante un Juzgado de Torrevieja, donde revelaba determinados hechos presuntamente delictivos, en materia urbanística.  

La sentencia establecía que Agencia Anticorrupción solo podía conceder dicho estatuto cuando la denuncia se realizaba frente a la propia agencia, en aplicación de la Ley 11/2016 de la Comunidad Valenciana, de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción. Por su parte, el Tribunal Supremo señala que no puede revisar en casación la interpretación de normativa autonómica realizada por un Tribunal Superior de Justicia, salvo que se trate de una infracción de normativa Estatal o europea. Si bien existe al respecto la Directiva de la UE 2019/1937, de 23 de octubre “Whistleblowing, dicha Directiva no era directamente aplicable debido a que, en el momento de los hechos, no había sido traspuesta todavía al derecho nacional.    

 

Volver al índice

 

 

Responsabilidad penal de la empresa: criterio sobre el beneficio y el debido control. 

Debido a su relevancia en la aplicación de sistemas de Corporate Compliance, destacamos a continuación extracto de la Sentencia 10/2023 de la Audiencia Nacional de 29 de mayo de este año 2023, por la que se analiza el criterio de la audiencia del debido control y el beneficio de la persona jurídica. 

Como es sabido, para que pueda apreciarse la responsabilidad penal de la empresa se deben cumplir los siguientes requisitos:  la comisión de un delito en el seno la persona jurídica por su personal, que el delito se haya producido en beneficio (directo o indirecto) de la empresa y la falta de medidas de control.  A este respecto, la sentencia establece que las personas jurídicas no deben establecer controles sobre todos y cada uno de sus procesos, sino sobre aquellos de los que pueda obtener un beneficio o ventaja por la falta de aplicación de medidas de supervisión. Así, el pronunciamiento judicial dicta lo siguiente: “la organización no puede controlar cualquier acontecimiento que tenga lugar en el desarrollo de su actividad, entendiéndose como un razonable límite exigir únicamente que lo haga con respecto a las conductas que le son estructuralmente beneficiosas quedando excluidas las que ningún beneficio podrían reportarle. Desde otras perspectivas, se ha venido entendiendo que la empresa tenderá a relajar sus controles con relación, precisamente, a aquellos comportamientos que pudieran reportarle beneficios, siendo precisamente ahí donde dichas prevenciones resultarán más necesarias”. Por otro lado, el pronunciamiento no precisa que la persona jurídica obtenga finalmente un beneficio, sino que será suficiente que la corporación rebaje sus controles ante la expectativa de una ventaja o beneficio con independencia de que este llegue a producirse.

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

Aprobado el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial, que se adscribirá al Ministerio de Asuntos Económicos y Transformación Digital, convirtiendo a España en el primer país europeo en tener un órgano de estas características.  

 

Volver al índice

 

Aprobada la norma ISO/TS 37008:2023 para las investigaciones internas de las organizaciones. 

El pasado 28 de julio, se aprobó la ISO/TS 37008:2023, que ofrece orientación sobre las investigaciones internas dentro de las organizaciones, y que será aplicable a todas las entidades, independientemente de su tipo, tamaño, ubicación, estructura o propósito.

 

Volver al índice

 

Canal denuncias: Aspectos clave de la Ley 2/2023 de Protección al Informante

El pasado 13 de marzo entró en vigor la Ley 2/2023 de 20 de febrero de protección al informante, esta norma obligará a las empresas de más de 50 trabajadores y entidades del sector público a contar con sistemas de información en un plazo muy reducido de tiempo.

Por ello, el Colegio de Ingenieros Industriales de Navarra ha organizado el próximo 18 de mayo una sesión informativa que impartirá nuestro compañero Jorge Arellano (Responsable del Área de Compliance de ARPA Abogados Consultores) y donde abordará las principales obligaciones de la ley desde un enfoque práctico para facilitar la adaptación de las empresas al nuevo marco normativo.

La jornada tendrá lugar en la sede de la Fundación Industrial Navarra  de 9:30 -11:00 h y es totalmente gratuita.

Programa:

  • Principales aspectos de la Ley 2/2023 de 20 de febrero.
  • Elementos del sistema y canal interno de información.
  • Nombramiento del Responsable del sistema.
  • Implantación del canal: Medidas técnicas y responsabilidades
  • Garantías y protección a los informantes.
  • Régimen sancionador.

 

Si deseas inscribirte, puedes hacerlo a través del siguiente enlace.

 

 

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 02 – 2023

Protección de datos y seguridad de la información

 

Propiedad Intelectual e Industrial

 

Compliance

 

Etiquetado y publicidad

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

EVENTOS Y CHARLAS

 


 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

WhatsApp corporativos y móviles personales de trabajadores. Aclaración de la AEPD. 

En nuestra última newsletter nos hacíamos eco de una resolución de la Agencia Española de Protección de Datos (AEPD) en la que parecía advertirse un cambio de criterio en relación con la inclusión de los números de teléfono personales de los trabajadores en grupos de WhatsApp sin el consentimiento de estos. Pues bien, hace unos días se ha conocido la respuesta de la AEPD a una petición de aclaración sobre su postura sobre el tema, que vuelve a la postura inicial por todos conocida Lo más destacable de la respuesta a la consulta es el que, la AEPD considera relevante distinguir entre si el dispositivo es personal del trabajador o facilitado por la organización, ya que esta circunstancia va a condicionar de una manera importante la base legal del tratamiento, siendo en principio necesario el consentimiento del trabajador si estamos ante un número personal (en todo caso recuerda la necesidad de evaluar caso por caso la base jurídica que pueda ser de aplicación). Finalmente recuerda las cuestiones aplicables a la “desconexión digital” que deberán ser tenidas en cuenta al emplear este tipo de medios para abordar a los trabajadores.

 

Datos localización

La Audiencia Nacional ha fallado a favor del Centro Europeo de Derechos Digitales (NOYB) en relación a un recurso de apelación presentado contra una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se daba la razón a una compañía que había rechazado el derecho de acceso solicitado por un usuario a sus datos de ubicación argumentando que únicamente podían comunicarse este tipo de datos a las autoridades en el contexto de una investigación penal, pero no puede haber ningún otro acceso.  

En esta nueva sentencia, la Audiencia señala que, si bien deben almacenarse los datos de ubicación y contar con todas las salvaguardas y cuidados para evitar accesos no deseados a esa información, los datos de ubicación son datos de carácter personal y, como tal, deben tratarse, incluyendo el efectivo ejercicio y contestación de derechos de los interesados como es el caso del derecho de acceso.  

Debe señalarse que, en este caso, no es únicamente la Audiencia Nacional quien ha dado la razón a NOYB y establece la obligatoriedad del Responsable de responder y hacerlo con todas las garantías al derecho de acceso, sino que, la propia AEPD, reevaluó su posición, dando la razón a NOYB.  

En este contexto, toca esperar a que la AEPD vuelva a emitir una resolución sobre el caso (recordemos que en el recurso de Apelación se anula la resolución inicial de la AEPD, que deberá emitir una nueva). 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

Nuevo procedimiento de Nulidad y Caducidad de Marcas 

El día 14 de enero entró en vigor el nuevo procedimiento de Nulidad y Caducidad de signos distintivos. Se trata de una reforma de la Ley 17/2001, de 7 de diciembre, de Marcas, llevada a cabo por el Real Decreto-Ley 23/2018, de 21 de diciembre, de transposición de directivas en materia de marcas, transporte ferroviario y viajes combinados y servicios de viaje vinculados (RDL 23/2018) y el Real Decreto 306/2019, de 26 de abril, por el que se modifica el Reglamento para la ejecución de la Ley 17/2001, de 7 de diciembre, de Marcas, aprobado por Real Decreto 687/2002, de 12 de julio (RD 306/2019).  

Con esta modificación se establece que será la Oficina Española de Patentes y Marcas (OEPM en adelante) quien tendrá la competencia para solucionar los conflictos que surjan en torno a solicitudes de nulidad y caducidad de signos distintivos nacionales, es decir, si antes de esta modificación, estas decisiones recaían sobre órganos jurisdiccionales, ahora, no serán éstos quienes tengan la competencia y será la propia OEPM quién deberá decidir el futuro de los mismos. Damos así pasos a nivel nacional para armonizar nuestro procedimiento al que se aplica a nivel europeo por parte de la Oficina Europea de Propiedad Intelectual e Industrial (EUIPO). En definitiva, será el mismo órgano que concedió la marca, quién declare posteriormente si esa marca es o no objeto de nulidad o caducidad.  

Los objetivos principales que persigue esta modificación son, por un lado, agilizar la tramitación de este tipo de solicitudes en comparación con la vía judicial, así como, una unificación de los criterios judiciales a nivel nacional evitando así una disparidad de resoluciones en este ámbito entre los tribunales civiles y el contencioso administrativo.  

Todo ello, sin perjuicio de que, cuando la presentación de este tipo de solicitudes se realice una demanda reconvencional, será la jurisdicción mercantil quien seguirá conservando la competencia para la resolución del conflicto.   

En cuanto a las resoluciones dictadas por la OEPM en relación a la nulidad y caducidad de signos distintivos, el recurso contra éstas, la competencia recaerá sobre el orden civil (no el contencioso-administrativo) cuyas salas especializadas serán quienes reciban este tipo de conflictos, es decir, recaerá en las Audiencias Provinciales. Ahora conocemos que Madrid ha sido la primera en dar un paso al frente y designar la Sección 32 de la Audiencia Provincial de Madrid (de reciente creación), como la Sección especializada la conocer los recursos contra las resoluciones de la OEPM que agoten la vía administrativa. Poco a poco, el resto de Audiencias Provinciales con competencia en este sentido, también deberán designar la correspondiente Sección especializada. 

 

Volver al índice

 

La Mano de Irulegi y su explotación comercial

Tras el hallazgo de una pequeña pieza de bronce en el yacimiento de la Edad de Hierro del siglo I en Irulegi, muchas personas han visto en este hallazgo una auténtica revolución comercial. Camisetas, joyas, agendas, etc., se han podido comprar y regalar estas pasadas navidades y, viendo el potencial comercial, varias personas han realizado en los últimos 2 meses diferentes solicitudes de marca ante la Oficina Española de Patentes y Marcas (OEPM) con el fin de conseguir una exclusividad en la comercialización (bajo diversos nombres relacionados con este hallazgo) de artículos de vestir, joyas, diferentes bebidas o productos de papelería.  

El propio Gobierno de Navarra presentó su propia solicitud (para temas formativos). Hace unos días, tras un tiempo de preguntas e incógnitas, sobre la posición que iba a tomar el Gobierno en relación a este hallazgo, hemos conocido un informe en el que se ha analizado este descubrimiento desde el punto de vista de Propiedad Intelectual e Industrial y, para alegría de la población Navarra (muy implicada y orgullosa de este hallazgo y lo que representa para la Comunidad Foral y para su cultura) desde Gobierno de Navarra se presentarán las oposiciones oportunas a las diferentes solicitudes de marca relacionadas con La Mano de Irulegi, defendiendo así el libre uso de la representación y denominación del hallazgo arqueológico, frente a la privatización de su uso. 

Nuestra compañera Andrea Zabalza Martín experta en derecho marcario fue consultada y ahonda en el tema en prensa y televisión. 

 

Inteligencia Artificial: algunas cuestiones legales de interés para este año  

Este comienzo de año está siendo especialmente interesante en lo que respecta a inteligencia artificial. A parte de llenar portadas de medios por las infinitas posibilidades, también resulta muy interesante a nivel legal. Por ejemplo, tenemos ya varias reclamaciones en los juzgados por infracciones en el entrenamiento de estos sistemas (Getty Images Vs Stable Diffusion, esta que aglutina a varios artistas contra Midjourney y Stability AI  y esta que afecta a GitHub’s Copilot en el ámbito del open source/software libre). También hay un frente abierto con los intentos de reconocer los resultados de estos sistemas como obras de carácter intelectual: de momento las oficinas de propiedad intelectual se muestran firmes en la decisión de entender que no hay originalidad pese alguna falsa alarma”.  Más allá del registro también hay diferentes opiniones sobre cómo y quién deben utilizar estos sistemas (por ejemplo, con las polémicas generadas por el juez de Colombia que empleó ChatGpt en una resolución o la llegada a Amazon Kindle de libros en los que ChatGPT es la “autora o coautora”). Y finalmente tampoco nos podemos olvidar de que en el horizonte tenemos una propuesta pionera de la UE sobre inteligencia artificial. Como decíamos al comienzo de esta entrada, un año apasionante en materia de IA, también a nivel legal. 

 

Volver al índice

 

COMPLIANCE

Canal de denuncia

Con motivo de la aprobación de la normativa sobre canales de denuncia y protección del denunciante (Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción), nuestros compañeros del área de compliance han elaborado una infografía con las principales obligaciones de la norma. 

 

Volver al índice

 

ETIQUETADO Y PUBLICIDAD

Denominaciones de fantasía y denominaciones de producto

El TJUE resuelve una cuestión prejudicial planteada por los tribunales alemanes en relación con el punto 4, parte A, anexo VI, del Reglamento 1169/2011 “En el caso de alimentos en los que un componente o ingrediente que los consumidores esperan que haya sido habitualmente utilizado, se ha sustituido por otro componente o ingrediente, el etiquetado deberá contener —junto con la lista de ingredientes— una indicación clara del componente o ingrediente que ha sido utilizado en esa sustitución parcial o total: a) muy cerca de la denominación del producto 

Así la duda que se planteaba era si el concepto “denominación del producto” indicado en el mencionado Anexo VI, podría entenderse que englobaba las denominaciones de fantasía o solo a la “denominación del alimento”. De englobar a las denominaciones de fantasía podría suponer que se exija facilitar la información del anexo VI junto a la denominación de fantasía, elemento que generalmente se sitúa en una posición predominante del etiquetado, como sucedía en el caso de autos.  

En este sentido el TJUE, entiende que no puede entenderse que el concepto “denominación del producto” tenga un alcance mayor que el concepto “denominación del alimento” por lo que no se entiende que englobe a las marcas o a las denominaciones de fantasía por lo que entiende suficiente que la información que exige el punto 4 de la Parte A del Anexo VI, se incluya solo junto a la denominación del alimento.  

 

Volver al índice

 

Publicidad engañosa en tiendas online 

Para poder determinar que existe publicidad engañosa debe analizarse la concurrencia de ambos elementos del tipo, a saber, en primer lugar, que la información suministrada sea apta para inducir a error a sus destinatarios; y, en segundo lugar, que sea idónea para incidir en su comportamiento económico.  

En el caso objeto de análisis por la Sentencia de la Audiencia Provincial de Bilbao ya había sido probado que los mensajes incluidos por Eroski en su tienda online eran aptos para inducir a error sobre el origen de dichos productos, en la medida en que daban a entender que todos los tomates, lechugas, pimientos y guindillas de la marca “Eroski Natur” tenían origen en País Vasco, cuando no era cierto, de forma que la sentencia se centra en dilucidar si concurre también el segundo elemento. 

Así, determina en primer lugar que el origen o procedencia de un producto afecta y condiciona la selección de un producto y además resalta que, el medio empleado para realizar la comunicación publicitaria, la tienda online, impide al consumidor verificar el verdadero origen del producto en tanto que no tiene otras fuentes de información distintas de la propia información que se facilita en el sitio web, la cual ha quedado acreditada que era falsa. De este modo, se entiende que se le priva al consumidor de información necesaria para tomar una decisión sobre un aspecto decisivo con pleno conocimiento, concluyendo que se trata de un supuesto de publicidad engañosa. 

 

Volver al índice

 

Nueva batalla entre Mr Wonderful y Ale-hop 

La Audiencia Provincial de Valencia ha resuelto en favor de Ale-hop el recurso de alzada interpuesto por Mr Wonderful en materia de competencia desleal por entender que, si bien los diseños de Mr Wonderful revisten una singularidad propia, la forma en la que se presentan por Ale-hop no permite generar confusión en el consumidor quien es conocedor en todo momento del distinto origen empresarial de ambos productos debido al contexto y la diferente forma de presentación de los productos.  

En la resolución del presente asunto se ha tenido especialmente en cuenta la sentencia del Tribunal Supremo, entre Happy Pills y Molagominola (Fresh & Good) que fue objeto de análisis en la segunda entrega nuestra newsletter. En dicho caso, igual que en el analizado por la Audiencia Provincial en el presente asunto, se otorga un gran valor al contexto y la presentación de los productos y el entorno del punto de venta. 

 

Volver al índice

 

EVENTOS Y CHARLAS

Jornada sobre Novedades normativas en materia de envases y residuos de envases

Candela Martínez, participará el próximo 14 de marzo en el Club de Marketing de Navarra, junto con Pelayo Piedra del departamento de derecho administrativo y Diego Ortigosa del departamento fiscal, en una jornada en la que se abordarán además de las principales obligaciones que ha introducido la normativa en materia de envases y residuos de envases, aquellas limitaciones que impone la normativa en materia de comunicación de alegaciones ambientales. La jornada podrá seguirse tanto en formato presencial como online previa inscripción.

 

Volver al índice

 

Experto Universitario en Derecho Digital

Álvaro Abáigar y Jorge Arellano participan en el “Experto Universitario en Derecho Digital” que se imparte en la Universidad Pública de Navarra durante los meses de octubre a junio. Ya se ha impartido por nuestros compañeros los módulos de análisis de riesgos y evaluación de impacto, así como los correspondientes a propiedad intelectual con especial foco en la protección del software, patentes tecnológicas y la transferencia de tecnología. Quedando pendientes los módulos específicos de compliance, a impartir por Jorge Arellano los días 10 y 17 de marzo, en los que se abordarán cuestiones sobre la ISO37301 entre otras.    

 

Volver al índice

 

Emprender en industrias creativas, culturales y audiovisuales  

Candela Martínez, abogada del área departamento de propiedad intelectual y derecho del entretenimiento, ha intervenido, junto a Fernando Armendáriz (Socio de ARPA y director del área de Start-ups y Emprendimiento) y David Asín (Asociado de ARPA y director del departamento fiscal) y a otros profesionales del sector, en el curso “Emprender en industrias creativas, culturales y audiovisuales” organizado por el Servicio Navarro de Empleo de Gobierno de Navarra. 

 

Volver al índice

Ntic en los medios

Andrea Zabalza, como profesional experta en derecho marcario, ha sido invitada a participar en diversos medios de comunicación en los que ha sido consultada sobre las implicaciones de las diversas solicitudes de registro marcario iniciadas por operadores privados en relación con la Mano de Irulegui así como sobre las declaraciones emitidas por parte de Gobierno de Navarra relativas a su voluntad de oponerse a dichos registros. Puede consultar el contenido completo de su intervención en prensa a través del siguiente enlace y de su intervención en televisión en el siguiente enlace.

 

 

 

Ley de protección al denunciante y canales de denuncia

Le informamos que el Congreso de los Diputados ha aprobado finalmente la Ley de Protección al Denunciante por la que se transpone a nuestro ordenamiento la Directiva (UE) 2019/1937 de Whistleblowing de la Unión Europea; con la aprobación de la ley, las organizaciones del sector privado con 50 o más trabajadores y entidades del sector público deberán contar con canales de denuncia y sistemas de información que establezcan mecanismos para la protección de personas que informen sobre infracciones y corrupción.

La ley prevé sanciones de hasta 1.000.000 de euros  en caso de incumplimiento y ha establecido un plazo reducido para su adaptación.  Las organizaciones de más de 249 trabajadores dispondrán 3 meses como máximo para cumplir con los requisitos de la ley, para entidades de menor tamaño, el plazo se extiende al próximo 1 de diciembre de 2023.

Hemos elaborado una Guía Rápida con la finalidad de informar a las entidades del sector público y privado sobre las principales claves y cuestiones a tomar en consideración respecto a la nueva ley.

Quedamos a su disposición para el caso de que necesite ampliar cualquier información sobre el contenido de la Ley.

 

 

Suscríbete a nuestra newsletter

He leído y acepto la Política de Privacidad
X