Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #guía de cookies

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 10 – 2023

Publicado el 13-12-2023
Protección de datos – Seguridad de la Información

 

Compliance

 

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Se acaba el plazo para adaptarse a las nuevas directrices sobre cookies  

Tal y como comunicamos en anteriores newsletters, el pasado julio, la Agencia Española de Protección de Datos actualizaba su guía de cookies incorporando las Directrices 03/2022 del Comité Europeo de Protección de Datos de febrero de 2023 sobre patrones engañosos en redes sociales.  

Pues bien, el plazo para implementar los cambios introducidos por la mencionada actualización finaliza el próximo 11 de enero por lo que se recomienda revisar la utilización de cookies para garantizar el cumplimiento de las directrices emitidas por la Agencia Española de Protección de datos.  

 

Volver al índice

 

 

Cambio de criterio de la AEPD en el uso de biometría para control de jornada y accesos. 

La Agencia Española de Protección de datos ha publicado una nueva Guía Tratamientos de control de presencia mediante sistemas biométricos en la que reevalúa la posibilidad de emplear soluciones que emplean datos biométricos, entre otros ámbitos, en el entorno laboral. La nueva guía supone un cambio muy relevante de criterio de la Agencia Española de Protección de datos sobre el tema por lo que recomendamos revisar este tipo de tratamientos.  Entre las principales novedades podemos destacar las siguientes:  

    • Categoría especial de datos: en línea con las Directrices 05/2022 del Comité Europeo de Protección de Datos, concluye que el dato biométrico en este contexto es de categoría especial, por lo que a parte de una base legal que permite el tratamiento será imprescindible que concurra una excepción a la prohibición general de los tratamientos de datos de categoría especial recogida en el artículo 9 del RGPD.   
    • Imposibilidad de usar el consentimiento como excepción:  en cuanto a la apreciación de existencia de excepciones del artículo 9 RGPD, determina la Agencia que el consentimiento del trabajador no bastará para levantar la prohibición del tratamiento de datos biométricos como actualmente venía indicando. Tampoco considera que Estatuto de los Trabajadores en su redacción actual pueda servir para este fin, si bien si plantea, como adelantaba la Agencia Catalana de Protección de Datos entre otras, valorar si el convenio colectivo de aplicación habilita de forma expresa el tratamiento.  
    • Evaluación de Impacto:  recuerda la Agencia la importancia de que en relación con el tratamiento se realice y supere una Evaluación de impacto para demostrar la idoneidad, necesidad y proporcionalidad del tratamiento y gestionar desde el diseño los riesgos específicos del tratamiento, de forma que se garantice un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento. A la luz de la nueva Guía resulta recomendable actualizar las Evaluaciones de impacto que se hubieran realizado con motivo de la implantación de este tipo de soluciones, de forma que se analice de nuevo el tratamiento.  

 

Volver al índice

 

 

Meta y el Comité Europeo de privacidad 

El Comité Europeo de Privacidad ha publicado la Decisión vinculante 1/2023 emitida en octubre de este año a solicitud de la Autoridad de control noruega, en la que instaba a la Autoridad de control irlandesa a tomar medidas frente a los incumplimientos en materia de protección de datos perpetuados por Meta. Tras la emisión de dicha Decisión, la Autoridad de control irlandesa emitió en noviembre resolución en la que prohibía a Meta el tratamiento de datos en relación con la publicidad comportamental sobre la base de la ejecución del contrato o el interés legítimo.  

Ahora queda por ver si el nuevo planteamiento de Meta de enfocar la red social como un servicio de suscripción conjuntamente con el modelo tradicional es conforme a derecho o no. 

 

Volver al índice

 

 

Sanción a empresa energética por brecha de seguridad 

La Agencia Española de Protección de datos ha sancionado a Endesa por diversas conductas relacionadas con la falta de seguridad y confidencialidad de los datos de los que era responsable. En la resolución, en respuesta a las alegaciones de la empresa, la Agencia concluye que las medidas de seguridad implementadas no eran suficientes y que la empresa no actúo con la celeridad suficiente cuando descubrió la brecha.  

Asimismo, resulta recomendable mencionar que además de por la falta de implementación de medidas se sanciona a la empresa por una incorrecta comunicación de la brecha tanto a la propia Agencia como a los afectados, lo que pone de manifiesto la importancia de evaluar correctamente las brechas de seguridad de cara a evitar sanciones adicionales.  

 

Volver al índice

 

 

COMPLIANCE

Terminado el plazo para la implantación de canales de denuncia (Sistema Interno de Información) 

Como hemos venido informando a través de la presente newsletter con la entrada en vigor de la Ley 2/2023, las organizaciones de más de 50 trabajadores deben contar con Sistemas Internos de Información que permitan comunicar infracciones normativas de forma segura, confidencial e incluso anónima. Dicha Ley, basándose entre otros aspectos el número de trabajadores existentes en el sujeto obligado, establecía dos momentos temporales para la implantación de este tipo de sistemas. Pues bien, el pasado 1 de diciembre de 2023 finalizó el último plazo, por lo que todas las organizaciones que tengan más de cincuenta trabajadores deberán contar ya con este sistema interno de información o canal de denuncia. 

 

Volver al índice

 

 

 NORMATIVA AL DÍA  

 

Normativa europea en materia de Inteligencia Artificial. 

A falta de los últimos trámites el Parlamento y la Comisión europea han comunicado que se ha alcanzado un acuerdo en relación con la regulación en materia de Inteligencia Artificial.  

 

Volver al índice

 

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 10 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 06 – 2023

Publicado el 18-07-2023
 
Propiedad Intelectual e Industrial
 
Protección de datos – Seguridad de la Información
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

El Tribunal Supremo analizará la autoría de más de 200 cuadros que habían sido divulgados bajo la firma del famoso artista Antonio de Felipe.

El 21 de mayo de 2021 la Audiencia Provincial de Madrid emitió sentencia en la que se determinaba que 221 obras que fueron publicadas bajo la firma de Antonio de Felipe, debían tener la consideración de obras en coautoría ya que habían sido fruto de la colaboración entre éste y la artista Fumiko Negishi.  Según se indica en los hechos probados, sería esta segunda artista quien bajo una relación de colaboración con el primero, habría ejecutado materialmente las obras bajo las indicaciones de Antonio de Felipe. Es por ello que el tribunal entiende que los cuadros son el resultado de una simbiosis artística de ambos profesionales y no una mera ejecución mecánica por parte de la segunda artista, lo que provoca que se concluya que ambos son autores por igual de las obras.  

La decisión ha sido recurrida y será revisada por el Tribunal Supremo por lo que habrá que ver la condición final que se otorga a ambas partes en relación con la creación.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva guía de cookies 

La AEPD acaba de actualizar su “Guía sobre el uso de las cookies”. Entre las novedades más destacables está la adaptación del documento a las directrices sobre patrones engañosos y criterios para los conocidos como muros de cookies. 

En cuanto al plazo de adaptación, la AEPD indica que “los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para introducir los cambios necesarios para la utilización de cookies 

 

Volver al índice

 

Nuevo acuerdo entre Estados Unidos y Europa sobre la transferencia de datos personales. 

Tras dos intentos de establecer una regulación sobre la transferencia de datos personales entre la UE y EEUU, frustrados por el TJUE, la Comisión Europea emitió el pasado 10 de julio una decisión, en la que se concluye que los Estados Unidos garantizan un nivel de protección adecuado de los datos transferidos de la UE. 

En la nota de prensa publicada por la Comisión, se ataca al problema que pusieron de relieve las anteriores regulaciones y por lo cual fueron invalidadas por el TJUE: la no existencia de una ley federal que regule la gestión de los datos y que la CIA, el FBI o la NSA pudieran acceder a los mismos. En este contexto, la decisión introduce nuevas garantías vinculantes, tales como la limitación del acceso por parte de los servicios de inteligencia estadounidenses a los datos de la UE a lo necesario y proporcionado, o el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos al que todo ciudadano de la UE podrá acceder. 

El activista Max Schrems, quien consiguió tumbar las dos decisiones previas de transferencia de datos entre EEUU y la UE ante el TJUE, afirma que volverá a dirigirse al mismo con el objeto de impugnar esta decisión. 

 

 

Volver al índice

 

Tratamiento de datos con fines de marketing telefónico

El pasado 26 de junio, la Agencia Española de Protección de datos (AEPD) publicó una Circular, con el objetivo de fijar los criterios relativos a la aplicación de la normativa sobre protección de datos de carácter personal, sobre el derecho a no recibir llamadas no deseadas con fines comerciales introducido por la Ley General de Telecomunicaciones. Tal derecho, contemplado en el artículo 66.1.b) de la mencionada Ley, entró en vigor el pasado 29 de junio. 

El foco de la Circular es analiza las bases que legitimarían el tratamiento de los datos con finalidad de prospección comercial por vía telefónica, esto es, el consentimiento o el el interés legítimo. En cuanto al consentimiento, se establece que no se podrán realizar llamadas comerciales a números generados de forma aleatoria sin que el usuario haya otorgado consentimiento expreso previamente. En cuanto a los usuarios que figuren en guías de abonados, deberán prestar su consentimiento específico y expreso para que sus datos puedan ser utilizados con fines comerciales. 

Por otra parte, en relación con el interés legítimo señala que siempre que no prevalezcan los intereses o los derechos fundamentales de los usuarios también será lícito el tratamiento de los datos de los consumidores cuando dicho tratamiento sea necesario para la satisfacción de intereses de la empresa que los trata, o intereses de terceros. Del mismo modo, establece que, si existía una relación contractual previa entre el usuario y el responsable del tratamiento, (interactuación del interesado con el responsable en el último año)  éste le podrá llamar para ofrecerle productos o servicios similares a los que fueron objeto del contrato (en la línea de lo previsto en el artículo 21.1 de la LSSI) y matiza que esta presunción de concurrencia del interés legítimo no aplicaría a la comunicación de datos personales a otras entidades del mismo grupo empresarial con fines de comunicación comercial, para la que se requerirá el consentimiento.  

Asimismo, indica que en el caso de los números de teléfono de personas físicas que presten servicios en personas jurídicas o que tengan la consideración de empresarios individuales o profesionales liberales operará la presunción del artículo 19 de la Ley Orgánica 3/2018 siempre que la oferta de productos se refiera a su actividad profesional y no personal. 

Finalmente, la AEPD establece una serie de garantías adicionales con el objetivo de cumplir con los principios que rigen el tratamiento de datos personales: i) Al inicio de cada llamada, se deberá informar de la identidad del empresario, y si procede, de la identidad de la persona por cuenta de la que se efectúa la llamada; ii) se deberá indicar la finalidad comercial e informar sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas no deseadas; iii) cualquier manifestación contraria a la recepción de las llamadas debe entenderse como revocación del consentimiento o como el ejercicio del derecho de oposición del afectado; iv) la llamada deberá ser grabada, como medio de demostrar el cumplimiento de la normativa relativa a la protección de datos personales.   

 

Volver al índice

 

Meta y su batalla con la normativa de protección de datos. 

Meta no pasa por su mejor momento en cuanto a relaciones con la normativa de protección de datos europea ya que, además de las multas millonarias impuestas a dicha organización se ha conocido la decisión de la Autoridad de Control de Noruega de paralizar temporalmente los tratamientos de publicidad comportamental que realizan Facebook e Instagram sobre los datos de los usuarios noruegos. Esta decisión, viene a raíz de la reciente sentencia del Tribunal de Justicia de la Unión Europea en el que se indicaba que la forma en que Meta realizaba tipo de tratamientos (sin solicitar consentimiento del interesado) no cumplía con la normativa, de manera que la autoridad de control noruega prohíbe dicho tratamiento desde el 4 de agosto y durante 3 meses salvo que el tratamiento se ajuste a la normativa antes del transcurso de dicho periodo. Asimismo, señalan que en el caso de no adecuarse el tratamiento a la normativa impondrá una multa diaria de hasta 1 millón de NOK al día. Habrá que esperar para ver cómo reaccionan el resto de autoridades de control y si esto se extiende a otros países. 

Por otro lado, se ha conocido que la normativa de protección de datos estaría siendo la razón por la cual en la Unión Europea no puede emplearse la aplicación Threads, una red social creada por Meta basada en textos cortos, que trata de competir con Twitter. La compañía manifiesta estar estudiando como regular el intercambio de datos entre esta nueva plataforma e Instagram y Facebook para introducir la aplicación en la Unión Europea, de forma ajustada a las exigencias normativas.  

 

Volver al índice

El Centro criptológico nacional actualiza la Guía CCN-STIC 825 sobre el Esquema Nacional de Seguridad y la Certificación 27001

La guía ofrece las medidas compatibles entre el Esquema Nacional de Seguridad con el estándar ISO/ IEC 27001:2022.  Este documento resulta útil tanto para aquellas organizaciones que tienen un SGSI basado en la ISO 21001 y desean dar el salto al ENS como viceversa.  

 

Volver al índice

 

 

 

Publicado en Blog, Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 06 – 2023
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X