Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #cookies

Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Publicado el 22-04-2024

El pasado 17 de abril, el Comité Europeo de Protección de Datos (CEPD) emitió un dictamen analizando si la práctica seguida por las grandes plataformas en línea, consistente en ofrecer a los usuarios la opción entre pagar por el servicio o acceder a él de forma gratuita pero con publicidad comportamental, es conforme al Reglamento General de Protección de Datos, en especial en lo tocante a los requisitos que deben observarse a la hora de recabar el consentimiento de los interesados.

Previamente al análisis de fondo resulta necesario mencionar que el ámbito subjetivo del Dictamen se circunscribe a “grandes plataformas en línea” las cuales se definen en el apartado 2.1.3 del Dictamen. No obstante, la limitación en el alcance del Dictamen, resulta interesante para el resto de agentes que hayan abrazado esta práctica tener presente las conclusiones que se alcanzan porque, al igual que sucediera con dictámenes anteriores con similar alcance subjetivo, pueden resultar finalmente aplicables también a estos últimos, aunque no tengan la condición de “Gran plataforma en línea”, y así lo menciona el propio CEPD en su Dictamen.

Aclarado lo anterior, procede analizar el fondo del asunto que no es otro que establecer las directrices que deben respetarse para adoptar el modelo denominado: “consentimiento o pago” y cuya definición pormenorizada se ofrece en el apartado 2.1.1 del Dictamen, y que en resumen consiste en ofrecer al usuario la opción de pagar una cuantía económica a cambio de ofrecerle el servicio sin cookies de publicidad comportamental (definido en el apartado 2.1.2 del Dictamen) pero pudiendo realizar otro tipo de tratamientos de datos que impliquen el seguimiento de los hábitos de navegación del usuario para finalidad distinta de la de ofrecerle publicidad personalizada.

Así, la cuestión a dilucidar es si las opciones y la información asociada a las mismas que se facilitan al interesado son suficientes para entender que el interesado esta eligiendo libremente entre las opciones y por ende si su consentimiento es conforme al RGPD. A este respecto, el CEPD concluye que en la mayor parte de los casos en los que se está empleando esta modalidad de acceso a grandes plataformas en línea no se estarían cumpliendo los principios del RGPD ni los requisitos específicos relativos al consentimiento. En concreto, en cuanto al consentimiento el CEPD establece que debe analizarse si el consentimiento:

Se otorga de forma libre: Esto implica que:

  • La negativa a otorgar el consentimiento no puede tener consecuencias negativas para el interesado. En el caso de las grandes plataformas en línea esto puede ser difícil de acreditar en la medida en que la negativa a pagar supone en la práctica la imposibilidad de usar un servicio lo que tiene un impacto importante en la vida social y/o profesional del interesado o en su forma de comunicarse.

  • No puede existir desequilibrio entre las Partes: Este elemento suele ser especialmente relevante a la hora de analizar la validez del consentimiento otorgado en el ámbito laboral. En este caso, el CEPD ofrece una serie de elementos a analizar por las grandes plataformas en línea a los efectos de determinar si existe desequilibro, a saber, por ejemplo, la posición de la plataforma en el mercado, el posible bloqueo de acceso a redes sociales o de trabajo…

  • Que se ofrezca una alternativa equivalente: Este punto es especialmente interesante porque si bien el servicio de “pago por datos” y el de “pago económico” son equivalentes en la práctica, el CEPD matiza que ofrecer únicamente una alternativa de pago dificulta el poder acreditar que se ofrece una alternativa real al usuario complicando el considerar que el consentimiento se ha otorgado de forma libre. Así, se recomienda facilitar opciones de acceso gratuitas con tratamientos menos invasivos que la publicidad comportamental y dejar el acceso mediante pago para aquellos accesos libres de tratamientos de datos no necesarios para la prestación del servicio.

  • Coste del acceso: El CEPD señala que el importe establecido puede impedir en la práctica que los interesados sean libres de tomar una decisión por lo que establece la importancia de analizar caso por caso el importe que se establece y recuerda que los datos de carácter personal no son un objeto de comercio y que en ningún caso puede convertirse la privacidad en un derecho únicamente ejercitable por quienes ostentan un poder adquisitivo elevado.

  • Que se otorga de forma informada: El consentimiento para que sea válido debe otorgarse tras haber recibido información suficiente sobre el tratamiento sobre el que se está consintiendo. En este sentido el CEPD señala que se debe hacer un ejercicio didáctico importante a la hora de facilitar la información para garantizar que esta se adapte a la audiencia a la que va dirigida, en especial si son menores.

  • Que es específico: La forma de recabar el consentimiento debe garantizar que el interesado únicamente consiente aquellos tratamientos sobre los que quiere consentir de forma separada, para ello se deben evitar patrones oscuros y se debe ofrecer una granularidad suficiente evitando, por ejemplo, unir el consentimiento a la publicidad comportamental con otros tratamientos de datos.

  • Que resulta fácilmente revocable: Se debe evitar el uso de patrones oscuros encaminados a impedir la retirada del consentimiento una vez otorgado.

Así, si bien el CEPD manifiesta que resulta improbable el cumplimiento de las Grandes Plataformas en Línea con los requisitos recogidos en este Dictamen no concluye ni menciona incumplimiento por ninguna de ellas, limitándose, en el marco de sus funciones, a otorgar directrices claras a las Autoridades de Control para que puedan evaluar el cumplimiento de estos principios por parte de los Responsables, que se encuentren bajo su jurisdicción.

En el caso de la Agencia Española de Protección de Datos, habrá que ver los próximos movimientos en especial en materia de cookies ya que, en la recientemente actualizada Guía de Cookies editada por dicha entidad, se recogía expresamente la posibilidad de ofrecer una alternativa no necesariamente gratuita para el caso de que el usuario no quisiera consentir el uso de cookies.

 

Publicado en Blog, Fiscal, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , Comentarios desactivados en Cookie walls: “Consentir el uso de cookies o pagar por el servicio”

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Publicado el 30-01-2024
Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

Compliance

 

Normativa al día

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Límites al uso de marcas de terceros con motivo de una acción promocional. 

Tras conocerse la opinión del Abogado General de Justicia de la Unión Europea, el Tribunal de Justicia de la Unión Europea ha resuelto la cuestión prejudicial planteada por el Tribunal Supremo en el caso de uso de la marca Zara por Buongiorno Myalert en relación con una acción promocional en la que esta última regalaba tarjetas regalo de Zara. Acto que Inditex entendía, constituía un acto de competencia desleal. 

Tras ser desestimadas las pretensiones de Inditex por parte de un Juzgado de lo Mercantil de Madrid, así como por la Audiencia Nacional, se recurrió ante el Tribunal Supremo, que planteó cuestión prejudicial al TJUE solicitando aclaración sobre si el concepto de “límite referencial” previsto por el artículo 6.1.c) de la Directiva 2008/95 aplicable en el momento de los hechos, es más o menos amplio que el de la Directiva 2015/2436, aplicable en la actualidad. 

En este contexto, el TJUE aclara que el límite solo se refiere al uso en el tráfico económico de la marca, cuando la misma sea requerida para determinar el destino de un producto. Aclarado el alcance, corresponde al Tribunal Supremo determinar si la campaña que lanzó Buongiorno se adecua o no a derecho. 

 

Volver al índice

 

El Tribunal Supremo pone punto final a la guerra entre Kukuxumuxu y sus antiguos dibujantes. 

La Sala de lo Civil del Tribunal Supremo ha desestimado el recurso planteado por la entidad Kukuxumusu Ideas, S.L a la sentencia de segunda instancia.  La sentencia analiza si la cesión de derechos de explotación sobre los dibujos acordada entre la mercantil y los autores de los mismos alcanza cualquier nuevo dibujo en el que puedan aparecer los personajes representados en los dibujos cedidos o si, por el contrario, los personajes pueden ser reproducidos en otras escenas, situaciones o peripecias.  

El Supremo, ha determinado, que los autores podrán realizar nuevos dibujos de los personajes, siempre que sean lo suficientemente distintos para no poder considerarse plagio de los dibujos cedidos a Kukuxumusu Ideas, S.L y siempre que la transformación que se pueda hacer de los mismo esté dentro del marco contractual acordado, en su momento, entre las partes.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva Guía sobre el Uso de cookies para herramientas de medición de audiencia. 

La Agencia Española de Protección de Datos ha publicado la “Guía sobre el uso de cookies para herramientas de medición de audiencia”.  

En dicha guía se establece la posibilidad de usar cookies estadísticas de tráfico o rendimiento sin consentimiento, siempre y cuando se limite únicamente a medir la audiencia, de manera anónima. En este sentido, dichas cookies no deberán permitir el seguimiento agregado a través de diferentes páginas web, y no se deberán compartir con terceros.  

No obstante, se permitirá recoger datos como el tipo de dispositivo, o el navegador mediante el que se accede a la página, siempre que se informe en la política de privacidad, y se limite la duración de las cookies a 13 meses, y la conservación de los datos a 25 meses.  

 

Volver al índice

 

Sanción en Francia en materia de cookies. 

Recientemente se ha conocido una sanción de 10 millones de euros impuesta por parte de la Autoridad de control francesa (CNIL) a la empresa Yahoo por distintos incumplimientos en materia de cookies. En concreto, la sanción impuesta el pasado 29 de diciembre de 2023, se basa en dos infracciones:  

    • La persistencia en la instalación de cookies publicitarias una vez el usuario desactivaba las mismas en el panel de configuración.   
    • Las consecuencias derivadas de la retirada del consentimiento a la instalación de cookies: se detecta que al retirarse el consentimiento dado en el panel de configuración de la página “Yahoo! Mail”, se informaba al interesado de que ya no podría acceder a los servicios ofrecidos por la empresa, y que se le negaría el acceso a mensajería, lo cual se opone al derecho de libertad de retirada del consentimiento.  

 

Volver al índice

 

El coche como dato identificativo 

Nos hacemos eco de una resolución de la Agencia Española de Protección de datos (AEPD), en la que se ha apercibido a la Policía Foral de Navarra por publicar en RRSS una imagen de un coche en un control rutinario de drogas, en agosto de 2023.  En la imagen aparecía: el coche de la infractora, el rostro de la infractora reflejado en el retrovisor derecho y a su perro asomado por la ventanilla, todo ello junto a las drogas y armas blancas incautadas en el control. La imagen se hizo viral e implicó que la dueña del coche perdiera su puesto de trabajo.  

La AEPD señala que la Policía Foral de Navarra no utilizó los medios corporativos, ni los mecanismos suficientes para no hacer identificable a la persona de la fotografía publicada por lo que apercibe a dicha institución.  

 

Volver al índice

 

La autoridad de protección de datos de Reino Unido analiza la legalidad de las pruebas de IA generativa. 

Ante una serie de consultas, la ICO -homólogo a la Agencia Española de Protección de Datos en Reino Unido- se ha pronunciado a cerca de las bases legales para realizar el web scraping con la finalidad de entrenar modelos de IA generativa. La consulta se centra en la base legal para extraer o procesar datos de la web para este propósito, y ha entendido que, para cumplir con el principio de licitud de protección de los datos, los desarrolladores deberán asegurarse que los tratamientos no infringen ninguna ley y que disponen de interés legítimo para realizar el tratamiento. De cara a poder concluir que efectivamente se dispone de interés legítimo recuerda la ICO la necesidad de realizar el análisis de la existencia del mismo.  

 

Volver al índice

 

La Comisión Europea permite el flujo de datos con once terceros países. 

La Comisión Europea concluyó el pasado 15 de enero de 2024, que la transferencia de datos personales desde la Unión Europea a once terceros países, sigue siendo adecuada. En concreto, dichos países son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos podrán continuar fluyendo libremente a dichos terceros países, por cuanto han fortalecido la protección de datos en sus jurisdicciones, convergiendo dentro del marco de la Unión Europea.  

 

Volver al índice

 

COMPLIANCE

Nuevo Registro de Responsables del Sistema Interno de Información Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA). 

El pasado 2 de diciembre de 2023 entró en vigor la Resolución por la que se creó el Registro de Responsables del Sistema Interno de Información, de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA).  

De acuerdo con dicha resolución, se deberán inscribir en el Registro tanto los nombramientos, como los ceses de los Responsables de los Sistemas de Información de las entidades que se encuentren comprendidas dentro del ámbito de actuación de la OANA, tales como Empresas públicas, Fundaciones, o partidos políticos, entre otros. Si bien en principio las Sociedades privadas no tienen la obligación de registrar a sus responsables, se ha tenido conocimiento de sociedades que lo han hecho. 

 

Volver al índice

 

 NORMATIVA AL DÍA  

 

Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos  

El pasado día 4 de enero de 2024, entró en vigor la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, que reemplaza el régimen contenido en la normativa anterior, de 2004. Dicha Ley supone el cambio de la institución vasca de Agencia a Autoridad, y tiene por objeto actualizar la normativa autonómica.  

 

Volver al índice

 

Nuevo sistema de verificación de edad propuesto por la AEPD.  

El pasado 14 de diciembre de 2023 la Agencia Española de Protección de Datos presentó una propuesta de sistema de verificación de edad en internet, ante el acceso de menores de edad a contenidos para adultos.   

Dicha propuesta se compone de un Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, todo ello complementado por un gráfico que recoge los riesgos de los sistemas utilizados en la actualidad. Con ello, todas las páginas que se encuentren obligadas o voluntariamente verifiquen la edad de sus usuarios deberán cumplir con las condiciones mínimas establecidas en el sistema, protegiendo el interés superior del menor y los derechos fundamentales de todos los ciudadanos. 

 

Volver al índice

 

Nuevo informe de Comité Europeo de Protección de Datos sobre los Delegados de Protección de Datos. 

El Comité Europeo de Protección de Datos ha emitido un informe sobre la designación y cargo de los delegados de protección de datos. Dicho informe, publicado el pasado 17 de enero de 2024, supone la conclusión de una acción coordinada de refuerzo con las autoridades nacionales, que ha analizado en profundidad los desafíos a los que se enfrentan los delegados de protección de datos y las organizaciones. En concreto, se ha evaluado si los DPD tienen, en sus organizaciones, el cargo requerido en los artículos 37 a 39 del RGPD, y los recursos para llevar a cabo sus tareas.  

Del informe se obtiene que, si bien los DPD desempeñan papeles importantes a la hora de proteger los datos de los interesados, existen riesgos relativos a la falta de recursos asignados a esta figura, a conocimientos insuficientes en la materia y a riesgos de conflictos de interés. Del mismo modo, el informe describe el trabajo realizado por las autoridades supervisoras a efectos de abordar los incumplimientos normativos. 

 

Volver al índice

 

El procedimiento de nulidad y caducidad de signos distintivos cumple un año en la vía administrativa. 

Hasta el pasado 14 de enero de 2023, los procedimientos de nulidad y caducidad de signos distintivos españoles se realizaban en la vía judicial. No obstante, tal día entró en vigor la última modificación de la Ley de Marcas, que derivó dichos procedimientos a la vía administrativa. Desde entonces, la Oficina Española de Patentes y Marcas es el órgano encargado de declarar la nulidad y caducidad de los signos distintivos españoles, cumpliéndose el pasado 14 de enero, un año desde el inicio de dicho procedimiento. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 09 – 2023

Publicado el 15-11-2023
Compliance

 

Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

COMPLIANCE

Los avances de la ley de protección al informante

El pasado marzo entró en vigor la nueva Ley 2/2023, de 20 de febrero, reguladora de la protección de denunciantes e informadores sobre infracciones normativas y de lucha contra la corrupción. Esta ley preveía dos plazos clave:  por un lado, el 13 de junio de 2023, fecha en la que las organizaciones de mayor tamaño (más de 250 trabajadores), deberían tener implantado un Sistema interno de información, mientras que, para las organizaciones de menor tamaño (más de 50 trabajadores) disponían de plazo hasta el próximo 1 de diciembre de 2023. Como consecuencia, muchas organizaciones ya se han adaptado, o se encuentra en proceso de adaptarse a las exigencias de la norma. Como es sabido, esta ley no sólo obligaba a las entidades (ya sea del sector público o privado) a contar con sistemas internos de información, si no que, además, se introducían dos (tres) novedades muy importantes: la habilitación de canales externos de información y la creación de la Autoridad Independiente de Protección al Informante, A.A.I.[1]  

 Han transcurrido unos meses desde la entrada en vigor de la Ley, y vemos como, de forma paulatina, las autoridades competentes en sus respectivos ámbitos van creando ya canales externos de información, sirva de ejemplo el canal de la Agencia Española de Protección de Datos, la Agencia Tributaria, o el canal habilitado por la Oficina de Buenas Prácticas y Anticorrupción de Navarra. Por su parte, aun no disponemos de información sobre la creación de la Autoridad Independiente de Protección al Informante, A.A.I., la cual será una autoridad administrativa con atribuciones en materias tanto consultivas como sancionadora de la ley. Sin perjuicio de lo anterior, sí que vamos teniendo noticias de varias comunidades autónomas, que, en virtud de lo dispuesto por el artículo X de la Ley han procedido ya ha crear sus propias Autoridades independientes de protección al informante, como son el caso de las Oficina Catalana, Andaluza, Balear y Valenciana de Lucha Contra el Fraude.   

Por tanto, y sin perjuicio de que aún no contemos con una Autoridad Independiente de Protección al Informante, y que todavía quede camino por andar, podemos apreciar cómo, de forma continuada se van dando más pasos en la aplicación práctica de la Ley 2/2023 de Protección al Informante, por lo que es mejor estar preparados. 
 

[1] La tercera novedad sería la posibilidad de realizar revelaciones públicas 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Los falsificadores indemnizarán a las marcas originales, incluso antes de vender los productos falsificados. 

El pasado 13 de julio, la Sala Penal del Tribunal Supremo emitió una sentencia mediante la cual estableció que la exhibición de productos falsificados, para la venta, supone un daño reputacional para la marca original, y, por tanto, un perjuicio moral que debe ser indemnizado. Con esta sentencia se da un giro a la doctrina que venían manteniendo las Audiencias Provinciales, que exigía la comercialización de los productos falsificados como requisito para conceder una indemnización a las marcas originales. 

 

Volver al índice

 

 

Condena por venta de camisetas conmemorativas de la final de la Copa del Rey entre Osasuna y Real Madrid. 

 El Juzgado de lo Penal nº3 de Pamplona condenó el pasado 23 de octubre a un hombre como autor de un delito leve contra la propiedad industrial, imponiéndole una multa de 300 euros. La condena se basa en la venta de 38 camisetas conmemorativas de la final de la Copa del Rey entre Osasuna y Real Madrid, sin la autorización correspondiente para utilizar el logo de Osasuna, publicitando las mismas en Redes Sociales. 

 

Volver al índice

 

 

El uso de un diseño por parte de un tercero puede ser considerado “divulgación previa”. 

 Nos hacemos eco de la Sentencia del Tribunal General de la Unión Europea de 26 de abril de 2023, la cual aborda la cuestión de si el uso público de un diseño por parte de un tercero puede constituir una divulgación previa, que afecte a la protección del diseño registrado. El Tribunal afirma en esta sentencia que, en ciertas circunstancias, el uso público de un diseño por un tercero puede considerarse una divulgación previa, siempre y cuando se cumplan ciertos criterios, como la accesibilidad general del diseño al público interesado. 

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Lo que viene después de las cookies. 

Las principales empresas de telecomunicaciones han implementado el sistema Utiq, que sirve para perfilar la actividad de sus clientes con fines publicitarios. Utiq permite a las redes de publicidad recopilar información sobre la actividad de los usuarios, así como su IP, y ya está activo en las webs de alguno de los periódicos de mayor tirada a nivel nacional. No obstante, existe un portal oficial donde se puede desactivar esta tecnología de seguimiento. 

Por su parte, Google está creando su propia alternativa denominada Privacy Sandbox, en la que destaca una función que proteja la IP de los usuarios, en un proyecto que busca eliminar progresivamente las cookies de terceros. Esto permitirá que se pueda acceder a las páginas que tengan la cookie Utiq, sin que las compañías tengan acceso a la IP original del usuario. No obstante, esta alternativa no se convertirá en la opción predeterminada para los usuarios de Google Chrome antes de 2024, afirma la compañía. 

 

Volver al índice

 

 

¿Qué criterios deben tener en cuenta los centros educativos para el tratamiento de datos personales?  

La Agencia Española de Protección de datos ha publicado un recurso con un resumen de los principales criterios para el tratamiento de datos personales en centros educativos. Destacan pautas como la obligación de designación de un Delegado de Protección de Datos (DPD) en todos los centros cuyo contacto sea fácilmente accesible, o la obligación de informar con claridad de las finalidades para la utilización de sus datos personales cuando sea preciso obtener su consentimiento. Del mismo modo se desaconseja el uso de aplicaciones de mensajería instantánea entre el profesorado y los alumnos o sus progenitores, entre otros criterios.  

 

Volver al índice

 

 

META ya ofrece una versión de pago de sus aplicaciones, para usarlas sin anuncios. 

Facebook e Instagram han puesto en marcha, en noviembre de 2023, la opción de pago de las aplicaciones, que permite utilizarlas sin publicidad. Los precios son de 9,99 euros al mes por las versiones web, y de 12,99 euros al mes por las aplicaciones telefónicas, y que se aplicará en la Unión Europea, Suiza y el Espacio Económico Europeo. Se trata de una medida en respuesta al cerco que se está poniendo por parte de la Unión Europea al rastreo no consentido de la actividad de los usuarios para proporcionarles publicidad personalizada, tras una solicitud emitida por la Autoridad Noruega de Protección de Datos, que prohibió la recopilación de datos por parte de Meta el pasado verano, al CEPD. De este modo, Meta obtiene el consentimiento para utilizar los datos personales de los usuarios, permitiendo la denegación del consentimiento, siempre que se pague dicha suscripción.  

 

Volver al índice

 

 

Obligatorio colocar el cartel de zona videovigilada incluso si las cámaras no funcionan. 

El pasado 13 de octubre, la AEPD sancionó al Ayuntamiento de Camargo, Cantabria, por instalar cámaras de videovigilancia en el interior de una ludoteca, sin colocar el correspondiente cartel de zona videovigilada. Si bien el Consistorio afirmó que dichas cámaras no funcionaban, la AEPD ha resuelto que, si dichas cámaras son reales, es necesario colocar el dispositivo informativo correspondiente, imponiéndole una sanción de apercibimiento. 

 

Volver al índice

 

 

La AEPD modifica el Código de conducta de AUTOCONTROL “Tratamiento de datos en la actividad publicitaria”. 

 La Agencia Española de Protección de Datos aprobó el pasado 20 de octubre la modificación del Código de conducta “Tratamiento de datos en la actividad publicitaria”, promovido por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL). Con ello tratan de adaptar su contenido a la Circular 1/2023 sobre la aplicación del artículo 66.1.b) de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones. 

 Este código de conducta será aplicable al tratamiento de datos con fines publicitarios que sea llevado a cabo por entidades adheridas. Esto incluye actividades como el envío de comunicaciones comerciales, incluso cuando la persona está en una lista de exclusión publicitaria, la realización de promociones para recopilar datos personales con fines publicitarios, el uso de cookies y tecnologías similares para publicidad basada en comportamiento, y la creación de perfiles con fines publicitarios, entre otros. 

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

El Reglamento eIDAS 2, cada vez más cerca. 

El pasado 9 de noviembre, la presidencia del Consejo y los representantes del Parlamento Europeo, alcanzaron un acuerdo provisional sobre la propuesta de un nuevo marco para la identidad digital europea, que se conocerá como eIDAs 2. 

 

Volver al índice

 

 

Aprobado el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial. 

 

 

Volver al índice

 

 

Publicado en Blog, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 09 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº4

Publicado el 21-02-2022

Desde el Departamento de Nuevas Tecnologías y Propiedad Intelectual e Industrial, ponemos a su disposición un nuevo boletín de actualidad por si pudiera ser de su interés.

 

Protección de datos

La Agencia Española de Protección de Datos ha sancionado a Amazon (Amazon Road Transport Spain, S.L) por solicitar un certificado negativo de antecedentes penales a los transportistas autónomos que querían trabajar con la entidad.

La resolución señala la imposibilidad de Amazon de crear registros de personas sin antecedentes al ser una materia reservada a las autoridades públicas. La solicitud de Amazon a los transportistas no puede basarse en un supuesto interés legítimo de la entidad o en el consentimiento solicitado a los transportistas.

Más información

 

Cookies

Adelantábamos en la newsletter anterior, que se habían iniciado procedimientos administrativos ante distintas autoridades de control de diferentes países, cuestionando la legalidad de la transferencia internacional de datos que se produce con el empleo de “Google Analytics”.   Hace pocos días, ha sido el turno de la Autoridad de Protección de Datos de Francia (CNIL), quien ha concluido que la transferencia es ilegal y debe cesarse en el uso de dicho servicio en los términos en los que viene produciéndose (indicar que por el momento si bien no se conoce ninguna resolución de la Agencia Española de Protección de Datos al respecto el propio Comité Europeo de Protección de Datos ha fijado en su agenda de la reunión del próximo día 22 de febrero abordar la cuestión).          
 
En el fondo de la cuestión está el fallido marco de transferencias internacionales de datos con USA, a raíz de la sentencia del Tribunal de Justicia de la Unión Europea en el caso Schrems II, por lo que es posible que otros servicios que impliquen transferencias internacionales de datos a este territorio puedan verse afectados por nuevas resoluciones.
 
Más información:

En el curso de un procedimiento sancionador, la Agencia Española de Protección de Datos comprobó que al entrar en el sitio web de la reclamada, las cookies se cargaban antes de que el visitante hubiera consentido su instalación. Adicionalmente, constató que el banner informativo no facilitaba información clara y completa sobre las cookies y en particular, sobre los fines del tratamiento de los datos, suponiendo esta falta de información asimismo una infracción.

La conducta descrita, supone una infracción del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, la cual, atendiendo a las circunstancias del caso, ha sido sancionada con una multa de 20.000€.

Más información: resolución completa de la Agencia Española de Protección de Datos

 

Secretos empresariales y seguridad de la información

Recientemente ha sido aprobada la nueva norma ISO 27002. En esta norma se recogen los controles en materia de seguridad de la información que sirven como referencia a la norma ISO 27001 (norma referente para cualquier organización en materia de gestión de seguridad de la información) y que se incluyen como Anexo A de la misma.
A día de hoy, y en vistas de los grandes avances tecnológicos que se han producido en los últimos años, ha sido necesario realizar un ajuste a esos controles (cuya última actualización se produjo en 2013), adaptándolos a las necesidades y riesgos actuales, mucho más centrados en el ámbito de la ciberseguridad.

¿Qué cambios importantes se han incluido?
Especialmente importante es cambio en la propia estructura de los dominios en 4 grandes temas: (i) Controles Organizativos (37), (ii) De personas (8), físicos (14) y tecnológicos (34). Se trata de una clasificación sencilla y que orienta en cuanto al contexto en el que se aplica el control.
Además, se otorga a cada control un total de cinco (5) atributos para poder caracterizar el control, estos atributos son: (i) Tipo de Control, (ii) Propiedades de Seguridad de la Información, (iii) Conceptos de Ciberseguridad, (iv) Capacidades operacionales y (v) Dominios de Seguridad.

Otros cambios: Adicionalmente, se ha procedido a cambiar el nombre de la propia norma (ahora su nombre es: ISO/IEC DIS 27002 Information security, Cybersecurity and privacy protection – Information security controls), se han incorporado algunos términos y definiciones (como: endpoint; información sensitiva o punto objetivo de recuperación) y se han restructurado los controles lo que ha supuesto una reducción en su número (pasan de 114 a 93), a pesar de la adición 11 nuevos controles. Así se han fusionado varios controles y se ha eliminado el control 11.2.5. Retirada de materiales propiedad de la empresa.

Un empleado de Mcdonalds se ha hecho viral en la aplicación TikTok mostrando al mundo cuál es el proceso de preparación de la hamburguesa más famosa de la cadena de comida rápida, el Big Mac. En el vídeo, de apenas un minuto de duración, se desglosa de forma detallada el proceso completo de preparación del Big Mac.
Dice la Ley de Secretos Empresariales (LSE) que un secreto empresarial permite proteger “cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero”, siempre que ésta sea: (i) secreta, (ii) tenga valor empresarial (real o potencial) por ser secreta, y (iii) se hayan tomado medidas razonables por su titular para conservarla como secreta.
Teniendo esta definición presente, un proceso de producción como el del Big Mac puede ser uno de los secretos mejor guardados para una cadena de comida rápida como Mcdonalds, al igual que lo puede ser una fórmula para un laboratorio químico o una lista de clientes para un bufete de abogados.
Toda esta información, procesos o fórmulas son secretos empresariales que aportan valor a la empresa, les brindan una ventaja competitiva frente a sus competidores y por ello, será esencial su protección, evitando así que sean desvelados.
Para garantizar la protección de la información sensible como secreto empresarial resulta necesario que la empresa disponga de un sistema de clasificación, identificación y gestión de secretos empresariales maduro. Le indicamos en este sentido que nuestros profesionales del departamento de Nuevas Tecnologías podrán asesorarle tanto en el desarrollo como en el mantenimiento de este tipo de sistemas.

Más información: enlace a la noticia.

 

Propiedad intelectual

Un grupo descentralizado de fans ha adquirido una de las copias originales del libro “Dune” de Jodorowsky por 2,66 millones de euros, con la intención de liberar los derechos sobre la obra y producir una serie animada. Sin embargo, sus aspiraciones se vieron truncadas cuando descubrieron que ser dueños de un ejemplar de la obra (aunque sea la original) no supone que ostenten los derechos de propiedad intelectual sobre la misma.
La normativa de propiedad intelectual otorga al autor de la obra una serie de derechos sobre su creación. Estos derechos pueden agruparse en dos categorías, los derechos morales (intransferibles) y los de explotación (transferibles). Los derechos de explotación son, en esencia, los derechos que permiten, por ejemplo, autorizar que un libro se convierta en una película.
Los derechos de explotación, no se transfieren con la compra de un ejemplar físico, el hecho de comprar un libro no nos autoriza a hacer una película sobre el mismo ni a vender copias del mismo. A pesar de la enajenación del ejemplar físico, los derechos no se transfieren con el mismo, algo que debe tenerse especialmente en cuenta si se adquieren obras de terceros con la intención de darles una finalidad comercial o vincularlas a nuestra actividad empresarial o campaña de comunicación.

Más información: enlace a la noticia.

Si eres seguidor del sector del videojuego y en particular de la franquicia HALO, probablemente hayas escuchado o leído sobre una vieja disputa sobre los derechos de autor relacionados con la música del juego. Parece que finalmente van a ser los tribunales los que decidan sobre la cuestión y se pronuncien sobre quien es el titular de los derechos sobre la música.  En concreto, los compositores originales Marty O’Donnell y Mike Salvatori, reclaman entre otras cuestiones royalties por espacio de 20 años al entender que son los titulares de las obras y lo que ha mediado es un acuerdo de licencia y no una transmisión de derechos bajo la figura “work for hire”.
 
Más información: enlace a la noticia

 

Marcas

Laboratorios ERN registró en 2017 la marca “Apiretal” ante Oficina de Propiedad Intelectual de la Unión Europea en relación con distintos productos, entre los que se encontraban además de los “productos farmacéuticos” otros productos como, por ejemplo, productos veterinarios o productos para la destrucción de animales dañinos como fungicidas o herbicidas. Productos para los que la compañía no tenía autorización de comercialización.
En este contexto, otro laboratorio inició contra la marca Apiretal una acción de caducidad por falta de uso encaminada a romper el monopolio del uso de la denominación “Apiretal” en relación con productos distintos de los farmacéuticos. Dicha acción prosperó en el seno de la mencionada Oficina de Propiedad Intelectual y recientemente ha sido confirmada por el Tribunal General de la Unión Europea reduciéndose el registro marcario “Apiretal” únicamente a productos farmacéuticos.
Esta resolución sirve como recordatorio de la importancia de no sobrestimar el alcance de la marca y ser realista a la hora de describir los productos y servicios que se van a identificar con ésta ya que en caso contrario podría perderse el registro en relación con aquellos productos o servicios cuyo uso no se pueda probar.
Señalar, asimismo, que antes de iniciar un procedimiento de oposición se deberá revisar que puede acreditarse el uso del signo distintivo que se opone frente a la solicitud de registro de un tercero ya que dicho tercero puede solicitar dicha acreditación. En el caso de no poder acreditarse el uso del signo distintivo opuesto, además de decaer la oposición podría iniciarse una acción de caducidad frente al mismo.

Más información: puede consultar la sentencia completa.

 

 

Publicado en Blog, Circulares, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº4

Principales novedades de la nueva Guía de Cookies

Publicado el 30-10-2020

El próximo 31 de octubre finaliza el plazo de tres meses establecido por la nueva Guía sobre el uso de las Cookies aprobada por la Agencia Española de Protección de Datos (AEPD) para la adaptación de nuestra página web.

Esta adaptación surge de la necesidad de cumplir con las Directrices 05/2020 sobre consentimiento del Comité Europeo de Protección de Datos (CEPD) que modificaban algunos puntos clave de la Guía de Cookies publicada por la AEPD en noviembre de 2019.

¿Cuáles son las principales modificaciones establecidas por la nueva Guía?

  1. Consentimiento expreso: esta nueva Guía establece que el consentimiento del usuario debe ser expreso e inequívoco. O lo que es lo mismo, se prohíbe la formula “seguir navegando” en cualquier de sus formas.

 

  1. Prohibición de los llamados “muros de Cookies”: Este punto está directamente relacionado con el consentimiento del usuario, se establece que, por el hecho de no haber aceptado las Cookies, no puede impedirse el acceso a los servicios o funcionalidades de la página web.

Es decir, el contenido de la página no puede estar supeditado a la aceptación de las Cookies, salvo, y así lo permite la Guía, que pueda ofrecerse una alternativa válida al usuario.

  1. Transparencia: ya lo recogía la anterior Guía de Cookies, pero el cumplimiento del deber de información al usuario será una cuestión fundamental a la hora de cumplir con la normativa. La información se podrá dar en dos capas que deberán contener el detalle entre otras cuestiones de qué tipos de cookies se utilizan, finalidad, quién las sirve, etc., de forma y manera que los visitantes del sitio pueden otorgar su aceptación de manera informada.

 

Publicado en Circulares, Empresas TIC, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , Comentarios desactivados en Principales novedades de la nueva Guía de Cookies
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X