Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #Ley Orgánica de Protección de Datos

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 09 – 2023

Publicado el 15-11-2023
Compliance

 

Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

COMPLIANCE

Los avances de la ley de protección al informante

El pasado marzo entró en vigor la nueva Ley 2/2023, de 20 de febrero, reguladora de la protección de denunciantes e informadores sobre infracciones normativas y de lucha contra la corrupción. Esta ley preveía dos plazos clave:  por un lado, el 13 de junio de 2023, fecha en la que las organizaciones de mayor tamaño (más de 250 trabajadores), deberían tener implantado un Sistema interno de información, mientras que, para las organizaciones de menor tamaño (más de 50 trabajadores) disponían de plazo hasta el próximo 1 de diciembre de 2023. Como consecuencia, muchas organizaciones ya se han adaptado, o se encuentra en proceso de adaptarse a las exigencias de la norma. Como es sabido, esta ley no sólo obligaba a las entidades (ya sea del sector público o privado) a contar con sistemas internos de información, si no que, además, se introducían dos (tres) novedades muy importantes: la habilitación de canales externos de información y la creación de la Autoridad Independiente de Protección al Informante, A.A.I.[1]  

 Han transcurrido unos meses desde la entrada en vigor de la Ley, y vemos como, de forma paulatina, las autoridades competentes en sus respectivos ámbitos van creando ya canales externos de información, sirva de ejemplo el canal de la Agencia Española de Protección de Datos, la Agencia Tributaria, o el canal habilitado por la Oficina de Buenas Prácticas y Anticorrupción de Navarra. Por su parte, aun no disponemos de información sobre la creación de la Autoridad Independiente de Protección al Informante, A.A.I., la cual será una autoridad administrativa con atribuciones en materias tanto consultivas como sancionadora de la ley. Sin perjuicio de lo anterior, sí que vamos teniendo noticias de varias comunidades autónomas, que, en virtud de lo dispuesto por el artículo X de la Ley han procedido ya ha crear sus propias Autoridades independientes de protección al informante, como son el caso de las Oficina Catalana, Andaluza, Balear y Valenciana de Lucha Contra el Fraude.   

Por tanto, y sin perjuicio de que aún no contemos con una Autoridad Independiente de Protección al Informante, y que todavía quede camino por andar, podemos apreciar cómo, de forma continuada se van dando más pasos en la aplicación práctica de la Ley 2/2023 de Protección al Informante, por lo que es mejor estar preparados. 
 

[1] La tercera novedad sería la posibilidad de realizar revelaciones públicas 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Los falsificadores indemnizarán a las marcas originales, incluso antes de vender los productos falsificados. 

El pasado 13 de julio, la Sala Penal del Tribunal Supremo emitió una sentencia mediante la cual estableció que la exhibición de productos falsificados, para la venta, supone un daño reputacional para la marca original, y, por tanto, un perjuicio moral que debe ser indemnizado. Con esta sentencia se da un giro a la doctrina que venían manteniendo las Audiencias Provinciales, que exigía la comercialización de los productos falsificados como requisito para conceder una indemnización a las marcas originales. 

 

Volver al índice

 

 

Condena por venta de camisetas conmemorativas de la final de la Copa del Rey entre Osasuna y Real Madrid. 

 El Juzgado de lo Penal nº3 de Pamplona condenó el pasado 23 de octubre a un hombre como autor de un delito leve contra la propiedad industrial, imponiéndole una multa de 300 euros. La condena se basa en la venta de 38 camisetas conmemorativas de la final de la Copa del Rey entre Osasuna y Real Madrid, sin la autorización correspondiente para utilizar el logo de Osasuna, publicitando las mismas en Redes Sociales. 

 

Volver al índice

 

 

El uso de un diseño por parte de un tercero puede ser considerado “divulgación previa”. 

 Nos hacemos eco de la Sentencia del Tribunal General de la Unión Europea de 26 de abril de 2023, la cual aborda la cuestión de si el uso público de un diseño por parte de un tercero puede constituir una divulgación previa, que afecte a la protección del diseño registrado. El Tribunal afirma en esta sentencia que, en ciertas circunstancias, el uso público de un diseño por un tercero puede considerarse una divulgación previa, siempre y cuando se cumplan ciertos criterios, como la accesibilidad general del diseño al público interesado. 

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Lo que viene después de las cookies. 

Las principales empresas de telecomunicaciones han implementado el sistema Utiq, que sirve para perfilar la actividad de sus clientes con fines publicitarios. Utiq permite a las redes de publicidad recopilar información sobre la actividad de los usuarios, así como su IP, y ya está activo en las webs de alguno de los periódicos de mayor tirada a nivel nacional. No obstante, existe un portal oficial donde se puede desactivar esta tecnología de seguimiento. 

Por su parte, Google está creando su propia alternativa denominada Privacy Sandbox, en la que destaca una función que proteja la IP de los usuarios, en un proyecto que busca eliminar progresivamente las cookies de terceros. Esto permitirá que se pueda acceder a las páginas que tengan la cookie Utiq, sin que las compañías tengan acceso a la IP original del usuario. No obstante, esta alternativa no se convertirá en la opción predeterminada para los usuarios de Google Chrome antes de 2024, afirma la compañía. 

 

Volver al índice

 

 

¿Qué criterios deben tener en cuenta los centros educativos para el tratamiento de datos personales?  

La Agencia Española de Protección de datos ha publicado un recurso con un resumen de los principales criterios para el tratamiento de datos personales en centros educativos. Destacan pautas como la obligación de designación de un Delegado de Protección de Datos (DPD) en todos los centros cuyo contacto sea fácilmente accesible, o la obligación de informar con claridad de las finalidades para la utilización de sus datos personales cuando sea preciso obtener su consentimiento. Del mismo modo se desaconseja el uso de aplicaciones de mensajería instantánea entre el profesorado y los alumnos o sus progenitores, entre otros criterios.  

 

Volver al índice

 

 

META ya ofrece una versión de pago de sus aplicaciones, para usarlas sin anuncios. 

Facebook e Instagram han puesto en marcha, en noviembre de 2023, la opción de pago de las aplicaciones, que permite utilizarlas sin publicidad. Los precios son de 9,99 euros al mes por las versiones web, y de 12,99 euros al mes por las aplicaciones telefónicas, y que se aplicará en la Unión Europea, Suiza y el Espacio Económico Europeo. Se trata de una medida en respuesta al cerco que se está poniendo por parte de la Unión Europea al rastreo no consentido de la actividad de los usuarios para proporcionarles publicidad personalizada, tras una solicitud emitida por la Autoridad Noruega de Protección de Datos, que prohibió la recopilación de datos por parte de Meta el pasado verano, al CEPD. De este modo, Meta obtiene el consentimiento para utilizar los datos personales de los usuarios, permitiendo la denegación del consentimiento, siempre que se pague dicha suscripción.  

 

Volver al índice

 

 

Obligatorio colocar el cartel de zona videovigilada incluso si las cámaras no funcionan. 

El pasado 13 de octubre, la AEPD sancionó al Ayuntamiento de Camargo, Cantabria, por instalar cámaras de videovigilancia en el interior de una ludoteca, sin colocar el correspondiente cartel de zona videovigilada. Si bien el Consistorio afirmó que dichas cámaras no funcionaban, la AEPD ha resuelto que, si dichas cámaras son reales, es necesario colocar el dispositivo informativo correspondiente, imponiéndole una sanción de apercibimiento. 

 

Volver al índice

 

 

La AEPD modifica el Código de conducta de AUTOCONTROL “Tratamiento de datos en la actividad publicitaria”. 

 La Agencia Española de Protección de Datos aprobó el pasado 20 de octubre la modificación del Código de conducta “Tratamiento de datos en la actividad publicitaria”, promovido por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL). Con ello tratan de adaptar su contenido a la Circular 1/2023 sobre la aplicación del artículo 66.1.b) de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones. 

 Este código de conducta será aplicable al tratamiento de datos con fines publicitarios que sea llevado a cabo por entidades adheridas. Esto incluye actividades como el envío de comunicaciones comerciales, incluso cuando la persona está en una lista de exclusión publicitaria, la realización de promociones para recopilar datos personales con fines publicitarios, el uso de cookies y tecnologías similares para publicidad basada en comportamiento, y la creación de perfiles con fines publicitarios, entre otros. 

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

El Reglamento eIDAS 2, cada vez más cerca. 

El pasado 9 de noviembre, la presidencia del Consejo y los representantes del Parlamento Europeo, alcanzaron un acuerdo provisional sobre la propuesta de un nuevo marco para la identidad digital europea, que se conocerá como eIDAs 2. 

 

Volver al índice

 

 

Aprobado el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial. 

 

 

Volver al índice

 

 

Publicado en Blog, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 09 – 2023

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023

Publicado el 04-09-2023
Protección de datos – Seguridad de la Información

 

Propiedad Intelectual e Industrial

 

Compliance
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

________________________________________________________________________________________________________________

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el control de jornada de trabajadores.Nuevos pronunciamientos de diferentes autoridades de protección de datos.

Nos hacemos eco de nuevos pronunciamientos de autoridades de protección de datos sobre uso de soluciones de biometría para el control de jornada, en este caso, de los dictámenes del Consejo de Transparencia y Protección de Datos de Andalucía, y de la Autoridad Catalana de Protección de Datos, ambos del 28 de julio de 2023. A destacar de ambos pronunciamientos la gran seguridad jurídica que otorgan en cuanto que se establecen claramente los requisitos que hay que cumplir en estas situaciones. 

Consideran los dictámenes que, dado que se tratan datos biométricos para la identificación, será necesario en primera instancia acudir a los convenios colectivos (en caso de personal laboral) o a los acuerdos con el personal funcionario, en el marco de la negociación colectiva, para analizar si es posible llevar a cabo este tratamiento. En defecto de convenio o pacto, se podrán emplear estos sistemas cuando concurra el consentimiento explícito del interesado. En tal caso, deberá disponerse de una alternativa de libre elección para cumplir el control del horario. También deberá cumplirse con el resto de principios y obligaciones, destacando el principio de minimización del art. 5.1.c) del RGPD.  

En todo caso, es importante recordar la necesidad de realizar una evaluación de impacto previo al tratamiento de los datos que analice y documente todas estas cuestiones, en cuanto que de lo contrario, la organización se expone a una sanción y a la paralización del tratamiento hasta cumplir con las obligaciones (sin ir más lejos, este ha sido el caso de la Diputación de Cuenca, ya que  la Agencia Española de Protección de Datos, en una resolución la ha sancionado a por utilizar lectores de huellas para controlar los horarios sin otorgar información a los trabajadores sobre el tratamiento de sus datos, y sin realizar la Evaluación de Impacto correspondiente). 

 

Volver al índice

 

La AEPD prohíbe a la Mancomunidad de la Comarca de Pamplona recopilar datos de apertura de contenedores vinculados a domicilios. 

La AEPD ha publicado una resolución, en agosto de 2023, mediante la cual ha establecido que la Mancomunidad de la Comarca de Pamplona carece de legitimación para recoger el número de veces que un domicilio abre la tapa de los contenedores orgánicos o de resto, mediante el sistema de tarjeta de apertura vinculada a los domicilios.  

Dichos contenedores seguirán abriéndose mediante el sistema de tarjetas, pero la información que se obtenga será encriptada para no poder utilizarse, tal y como ha señalado el presidente de la MCP en una rueda de prensa. 

 

Volver al índice

 

Sanciones a dos importantes organizaciones por incumplimientos en materia de Cookies. 

 La AEPD ha emitido dos resoluciones este mes de agosto contra dos empresas de ámbito nacional. En la primera resolución, la sanción se ha fundamentado en que, en el panel de control sobre cookies, si se seleccionaba el botón de “rechazar todas”, la web seguía utilizando cookies de terceros de Google, sin consentimiento del usuario. En el caso de la segunda resolución, la sanción viene fundada en la falta de inclusión en el banner, de un acceso al panel de control que permitiera revocar el consentimiento, o rechazar las cookies aceptadas previamente.  

 R. 23 de agosto: https://www.aepd.es/es/documento/ps-00132-2023.pdf

R. 25 de agosto: https://www.aepd.es/es/documento/ps-00051-2023.pdf

 

Volver al índice

 

Conservación de documentación de identidad tras verificación de identidad. La Comisión de Protección de Datos de Irlanda sanciona a AirBNB 

El pasado 21 de junio de 2023, la Comisión de Protección de Datos de Irlanda emitió una resolución mediante la cual se estableció que la retención por parte de una empresa de una copia del documento de identidad de un usuario, tras la finalización del proceso de verificación de identidad, infringía los principios de minimización de datos y de limitación del plazo de conservación del Reglamento General de Protección de Datos. Por ello, se ha amonestado a la compañía, ordenándole tomar medidas para remediar las infracciones producidas, así como para prevenir infracciones futuras, incluyendo, entre estas medidas, la revisión de políticas internas relacionadas con la verificación del usuario. 

 

Volver al índice

 

“Fraude del CEO”: ¿Es el trabajador responsable de las cantidades defraudadas? Tribunal de Cuentas exige 4 millones de euros en el caso de la estafa a la EMT de Valencia.      

La sección de Enjuiciamiento del Tribunal de Cuentas ha rechazado el recurso de apelación presentado por una extrabajadora de la Empresa Municipal de Transportes de Valencia, condenándola como responsable de un fraude ocurrido en septiembre de 2019. El modus operandi de los estafadores consistió en suplantar la identidad de un abogado de un reconocido despacho, así como del presidente de la EMT, solicitando a la empleada una serie de pagos, habiéndole hecho firmar previamente una supuesta carta de confidencialidad.  

El Tribunal de Cuentas afirma en la resolución que la empleada actuó de manera gravemente negligente y que «asumió funciones que correspondían a otros cargos directivos de la sociedad sin tener atribuidas las competencias«, causando un grave perjuicio a la entidad. No obstante, los responsables de la estafa no han sido encontrados, y el procedimiento penal se mantiene detenido. 

A resaltar la existencia de un voto particular que solicita la absolución de la trabajadora, lo que ha servido para recurrir ante el Tribunal Supremo. Estando actualmente el caso en manos del Supremo, la defensa ha argumentado que la empleada fue engañada, que no actuó de forma dolosa, y que los responsables del fraude serían únicamente los estafadores, y la entidad financiera que permitió los pagos. 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Quién puede comercializar la icónica botella verde de sidra de Asturias?

El pasado 19 de julio de 2023, el Tribunal Supremo emitió una sentencia por la que se declaró la validez del registro de una marca tridimensional, constituida por la popular forma de la botella de sidra, conocida como botella “molde de hierro. La sentencia, que da la razón a la Asociación de Sidra Asturiana, afirma que la botella posee un conjunto de características que no son atribuibles a la búsqueda de un resultado técnico en la botella, sino que otorgan una apariencia particular, y que permiten que el comprador la asocie a la “Sidra Natural Asturiana, lo que implica que solo podrá utilizarse para envasar sidra natural elaborada en Asturias. 

 

Volver al índice

 

Nueva sentencia en EE.UU. sobre los derechos de autor de las obras generadas por IA. 

La Jueza Beryl Howell del Tribunal Federal de Washington ha confirmado la postura mantenida por la Oficina de Derechos de Autor de EE.UU., de que las obras generadas por IA no pueden estar protegidas por los derechos de autor. Lo novedoso de la sentencia es que pone de relieve la importancia de la autoría humana en una obra, afirmando que se trata de un “Requisito fundamental” para poder obtener la protección que le otorgan los derechos de Propiedad Intelectual, inclusive cuando el solicitante sea el titular de la solución de IA utilizada para la generación del activo que se quiere registrar como obra. 

 

Volver al índice

 

COMPLIANCE

El Tribunal Supremo desestima el recurso de la Agencia Valenciana Antifraude contra la anulación de un estatuto de denunciante protegido.

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha desestimado el recurso interpuesto por la Agencia Valenciana Antifraude, frente a una sentencia del Tribunal Superior de Justicia de Valencia. Dicha sentencia anulaba el estatuto de denunciante protegido al jefe de urbanismo del Ayuntamiento de Los Montesinos, protección que había sido otorgada por la Agencia en base a una denuncia interpuesta ante un Juzgado de Torrevieja, donde revelaba determinados hechos presuntamente delictivos, en materia urbanística.  

La sentencia establecía que Agencia Anticorrupción solo podía conceder dicho estatuto cuando la denuncia se realizaba frente a la propia agencia, en aplicación de la Ley 11/2016 de la Comunidad Valenciana, de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción. Por su parte, el Tribunal Supremo señala que no puede revisar en casación la interpretación de normativa autonómica realizada por un Tribunal Superior de Justicia, salvo que se trate de una infracción de normativa Estatal o europea. Si bien existe al respecto la Directiva de la UE 2019/1937, de 23 de octubre “Whistleblowing, dicha Directiva no era directamente aplicable debido a que, en el momento de los hechos, no había sido traspuesta todavía al derecho nacional.    

 

Volver al índice

 

 

Responsabilidad penal de la empresa: criterio sobre el beneficio y el debido control. 

Debido a su relevancia en la aplicación de sistemas de Corporate Compliance, destacamos a continuación extracto de la Sentencia 10/2023 de la Audiencia Nacional de 29 de mayo de este año 2023, por la que se analiza el criterio de la audiencia del debido control y el beneficio de la persona jurídica. 

Como es sabido, para que pueda apreciarse la responsabilidad penal de la empresa se deben cumplir los siguientes requisitos:  la comisión de un delito en el seno la persona jurídica por su personal, que el delito se haya producido en beneficio (directo o indirecto) de la empresa y la falta de medidas de control.  A este respecto, la sentencia establece que las personas jurídicas no deben establecer controles sobre todos y cada uno de sus procesos, sino sobre aquellos de los que pueda obtener un beneficio o ventaja por la falta de aplicación de medidas de supervisión. Así, el pronunciamiento judicial dicta lo siguiente: “la organización no puede controlar cualquier acontecimiento que tenga lugar en el desarrollo de su actividad, entendiéndose como un razonable límite exigir únicamente que lo haga con respecto a las conductas que le son estructuralmente beneficiosas quedando excluidas las que ningún beneficio podrían reportarle. Desde otras perspectivas, se ha venido entendiendo que la empresa tenderá a relajar sus controles con relación, precisamente, a aquellos comportamientos que pudieran reportarle beneficios, siendo precisamente ahí donde dichas prevenciones resultarán más necesarias”. Por otro lado, el pronunciamiento no precisa que la persona jurídica obtenga finalmente un beneficio, sino que será suficiente que la corporación rebaje sus controles ante la expectativa de una ventaja o beneficio con independencia de que este llegue a producirse.

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

Aprobado el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial, que se adscribirá al Ministerio de Asuntos Económicos y Transformación Digital, convirtiendo a España en el primer país europeo en tener un órgano de estas características.  

 

Volver al índice

 

Aprobada la norma ISO/TS 37008:2023 para las investigaciones internas de las organizaciones. 

El pasado 28 de julio, se aprobó la ISO/TS 37008:2023, que ofrece orientación sobre las investigaciones internas dentro de las organizaciones, y que será aplicable a todas las entidades, independientemente de su tipo, tamaño, ubicación, estructura o propósito.

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Empresas TIC, Nuevas Tecnologías, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 03 – 2023

Publicado el 23-03-2023

Protección de datos

 

Propiedad Intelectual e Industrial

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

 

PROTECCIÓN DE DATOS

 

La AEPD comprobará la situación de los delegados de protección de datos en las organizaciones. 

En el marco de una acción europea coordinada del Comité Europeo de Protección de Datos con las 27 Autoridades nacionales de Protección de Datos de los países de la UE, la AEPD procederá a un examen de comprobación para averiguar si la situación de los Delegados de Protección de Datos (DPD) en las organizaciones se realiza conforme a los requisitos exigidos por el Reglamento General de Protección de Datos. Examinará las actuaciones de más 30.000 entidades del sector público y privado. En este último, remitirán un cuestionario (diferenciado según sectores: bancario-financiero, energético, telecomunicaciones, sanidad, etc.) que contendrá cuestiones sobre la designación, conocimientos y experiencias de los DPD, pudiendo decidir las diferentes Autoridades sobre acciones adicionales de supervisión. Los resultados generados se publicarán en un informe. 

 

Volver al índice

 

Sanción a empresa por no desactivar el buzón de email de trabajo al finalizar la relación y seguir recibiendo y leyendo el correo electrónico 

La Autoridad Italiana de Protección de Datos ha sancionado a una empresa por la siguiente situación. La empresa creó un buzón de correo para un consultor externo que no era empleado directo. Al finalizar la relación de asesoramiento, y pese a una solicitud expresa del consultor, la empresa no cerró la cuenta de email, sino que accedió a ella, consultó la correspondencia y redirigió los mensajes de los clientes allí alojados a otro email. 

Al investigar el asunto, la Autoridad italiana averiguó que, de un lado, la empresa no había proporcionado al consultor, en su calidad de interesado, la política de privacidad de su compañía, vulnerando el art.13 RGPD (y, además, dicha política no cumplía los requisitos del RGPD). De otro lado, detectó que no se había articulado base legal alguna para el tratamiento de los datos; y aunque mantener las relaciones con sus clientes podría entenderse como un interés legítimo de la empresa, la Autoridad italiana entendía que había métodos menos intrusivos y acordes al principio de minimización (como un mensaje automatizado a los clientes indicando que esa cuenta no funcionaba), por lo que la actuación de la empresa fue intrusiva y desproporcionada.  

 

Volver al índice

 

IA: Actualización de la guía sobre inteligencia artificial por parte del ICO. 

El enfoque dado por la autoridad de protección de datos británica en su actualización de la Guía va en la línea gubernamental favorable a la innovación y la ayuda a las organizaciones en sus deseos de implementar la IA a la vez que protegen a las personas, en especial, a grupos vulnerables. Entre los principales cambios introducidos en la guía destacan: la introducción de un capítulo sobre la transparencia en la toma de decisiones con IA; la agregación de especificaciones en la inferencia de la IA y los datos de categorías especiales y los grupos de afinidad; y una especial incidencia en el principio de equidad en el ciclo de vida de la IA, abarcado desde los enfoques técnicos para minimizar y mitigar el sesgo algorítmico en el procesamiento de los datos personales en la toma de decisiones automatizadas, hasta los aspectos fundamentales de la construcción de las IA . 

 

Volver al índice

 

Videovigilancia. Multa por denegación de acceso a las imágenes grabadas de un parking de vehículos.  

La sanción fue impuesta a una compañía que negó a un usuario el acceso a las imágenes captadas por las videocámaras de un parking de un centro comercial. El usuario las solicitó primero de forma presencial y luego vía electrónica, rechazando la entidad el acceso al aducir que sólo se podía exigir el acceso por personal autorizado o por las autoridades competentes. La Agencia Española de Protección de Datos (AEPD) estima que la negativa incumplió el derecho de acceso del interesado a sus datos contemplado en el art.15 del Reglamento General de Protección de Datos (RGPD).  LA AEPD estima que en este caso se negó incorrectamente dicho derecho al reclamante, bajo la excusa de que sólo el personal autorizado o los cuerpos de seguridad del Estado tiene acceso, siendo obligación de la entidad, en tanto que Responsable del tratamiento, el facilitar el acceso, por lo que estimó su actuación constitutiva de una infracción muy grave. 

 

Volver al índice

 

WhatsApp acepta el pleno cumplimiento de las normas de la UE mediante una mejor información a los usuarios y el respeto de sus decisiones. 

La Comisión Europea publicó el 6 de marzo la aceptación por parte de WhatsApp del cumplimiento íntegro de la normativa comunitaria, en el que la compañía de mensajería manifestaba ofrecer mayor transparencia en las condiciones de servicio. Entre los compromisos digitales asumidos, se encuentran permitir a los usuarios rechazar las condiciones de servicio de forma tan visible como la de aceptarlas; garantizar que las notificaciones sobre las actualizaciones se puedan rechazar o retrasar; respetar las opciones de los usuarios, y no enviar notificaciones recurrentes. Así mismo, la compañía de mensajería confirmó que no intercambiaba sus datos ni con terceros, ni con otras empresas del grupo Meta (tales como Facebook) con fines publicitarios. No obstante, la Red de Cooperación para la Protección de Consumidores vigilará que WhatsApp cumpla los compromisos adquiridos, pudiendo imponer multas. 

 

Volver al índice

 

Sanción de 100.000€ por escanear el DNI a la entrega de un paquete para verificar la identidad. 

La Agencia Española de Protección de Datos ha sancionado a una operadora de telecomunicaciones por dar la instrucción a la empresa de mensajería de escanear el DNI del destinatario del paquete en el momento de la entrega para verificar la identidad del destinatario. La AEPD entiende que hay otros procedimientos menos invasivos para verificar la identidad del destinatario “sin que sea necesario fotografiar su DNI” ya que el documento contiene muchos otros datos adicionales a los estrictamente necesarios para identificar al destinatario (ej. lugar de nacimiento). Se recuerda por tanto la importancia de respetar el principio de minimización de datos diseñando los procedimientos de forma tal que únicamente se recojan aquellos datos estrictamente necesarios. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

La razón por la que Toblerone tendrá que dejar de usar la icónica imagen del monte Cervino. 

Mondelez, la empresa productora y distribuidora del famoso dulce de chocolate Toblerone, no podrá usar la imagen del monte Cervino ubicado en los Alpes Suizos. La razón de este cambio se debe a que el propietario de la empresa, ha decidido trasladar la producción de las tabletas fuera de Suiza, en concreto a la ciudad de Bratislava en Eslovenia. 

La Swissness Act que fue aprobada en Suiza en 2017, establece un régimen muy restrictivo en lo que al uso de símbolos nacionales se refiere. Así, la mencionada normativa recoge por ejemplo que los productos que aseguren ser “hechos en Suiza” deberán estar elaborados al menos con un 80% de materias primas que provengan de este país y en el caso de la leche y productos lácteos, en un 100%. 

La decisión de trasladar la producción fuera del país que ha tomado la empresa, les prohíbe seguir usando la silueta del monte Cervino que llevan utilizando desde la década de 1920. Sin embargo, la empresa ha decidido usar un logotipo de montaña más genérico y moderno. Además, en vez de explicar que es un producto “hecho en Suiza”, se advertirá que está “establecido en Suiza”; lugar desde donde se distribuye desde los inicios de la compañía. 

En el caso descrito la imposibilidad de emplear el monte suizo viene impuesta por una normativa específica, pero debe tenerse en cuenta que el uso de elementos territoriales en el etiquetado de productos a nivel europeo debe respetar la normativa vigente en cada caso debiendo evitarse producir error en el consumidor receptor con respecto al origen de real del producto o sus ingredientes. 

 

Volver al índice

 

NORMATIVA AL DÍA: NORMAS, GUÍAS Y CÓDIGOS  

 

Entra en vigor la Ley 2/2023 de protección al denunciante.

El día 13 de marzo entró en vigor la ley destinada a ofrecer protección a las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta ley obliga a las personas jurídicas del sector privado con 50 o más trabajadores, a los partidos políticos y sindicatos, y a todas las empresas del sector público; a contar con un Sistema interno de información para la denuncia de irregularidades, y no será suficiente con tener un buzón interno de comunicaciones.  

Estos sistemas, deben contar con medidas técnicas que permitan garantizar la confidencialidad, seguridad y protección de datos del informante y aquellas partes involucradas en el proceso. De igual manera, los sistemas deberán estar soportados por políticas y procedimientos internos alineados con los requisitos establecidos en la norma.  

Conforme a lo expuesto, las medidas que se deben adoptar para adecuarse a los sistemas de información requeridos, se establece un plazo máximo de tres meses; y para las entidades jurídicas de 249 trabajadores o menos hasta el 1 de diciembre de 2023. Las sanciones por el incumplimiento de esta norma son multas de hasta 300.000 euros para las personas físicas y de 1.000.000 de euros para las personas jurídicas. 

 

Volver al índice

 

Aprobación del RD 176/2023 por el que se desarrollan entornos seguros de juego. 

El día 15 de marzo se publicó en el BOE un Real Decreto que pretende implementar medidas destinadas a la prevención de conductas adictivas en el sector del juego y proteger a las personas consumidoras de dichos servicios, en especial, a los grupos de riesgo, imponiendo a las empresas del sector un marco comercial de consumo saludable. 

El RD introduce una nueva categorización de los participantes, definiendo categorías como “clientela privilegiada” (las que por volumen de gasto son objeto de atención especializada), “participantes jóvenes” (menores de 25 años), “participantes con comportamiento de juego intensivo” (con pérdidas de 600€ en tres semanas seguidas, 200€ en caso de los jóvenes) y “participantes vulnerables o grupos de riesgo”. 

La ley entrará en vigor el 15 de septiembre de 2023, fecha en la que las empresas del juego tendrán que haber dado de baja los servicios de atención especializada que reciba la clientela privilegiada joven; el resto de obligaciones entrarán en vigor el 15 de marzo de 2024. Entre estas últimas obligaciones destacan la prohibición de actividades promocionales a participantes jóvenes, limitaciones en los medios de pago a los participantes con comportamiento intensivo, límites a los importes en apuestas en directo, establecimiento previo del tiempo y cantidad máxima a emplear en una sesión de juego, etc . Entre otras medidas, prevé que los operadores designen un “Responsable del juego seguro”, figura compatible con el desempeño de otras tareas en la organización (salvo una dependencia directa con el departamento de marketing). Su función será supervisar las políticas de juego seguro del operador, elaborando un plan de medidas activas y una memoria anual. Así mismo, prevé la inclusión en las webs y aplicaciones de los operadores de información sobre “juego seguro” y las medidas específicas destinadas a implementarlos (facultades de autoprohibición o autoexclusión, limitación de cantidades y tiempos, etc.). 

Estas medidas deben ser puestas en relación con el régimen sancionador de la Ley Reguladora del Juego, que contempla como infracciones graves incumplir las obligaciones de juego responsable, en cuantía de entre 100.000 y 1 millón de euros, y suspensión de actividad de hasta 6 meses. 

 

Volver al índice

 

Publicado en Circulares, Empresas TIC, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 03 – 2023

El consentimiento como base legal del tratamiento

Publicado el 25-10-2021
      Candela Martínez Arellano

A raíz de la reciente resolución (PS/00500/2020) publicada el 21 de octubre de 2021 por la Agencia Española de Protección de Datos (en adelante la Agencia), frente a un tratamiento realizado por CAIXABANK, CONSUMER FINANCE, EFC (en adelante Caixabank) sobre la base del consentimiento, se vuelve a poner el foco en la importancia de recabar correctamente el consentimiento de los interesados.

Para que un tratamiento se entienda correctamente consentido por el interesado el mismo debe haberse consentido de forma libre, específica, informada e inequívoca. Si bien estos adjetivos parecen sencillos de cumplir, se está viendo que en la práctica su cumplimiento resulta complejo, en la medida en que deben conjugarse diversos elementos.

Así, por ejemplo, no se entiende que las casillas premarcadas, o la inacción puedan entenderse como un consentimiento válidamente prestado toda vez que no se entiende como una aceptación expresa e inequívoca del tratamiento. Del mismo modo, debe observarse la exigencia de especificidad del consentimiento lo que implica que se tiene que articular con la granularidad que sea necesaria dependiendo del número de finalidades, no siendo posible agrupar varios tratamientos distintos en un solo consentimiento. Finalmente, con respecto a la necesidad de que el consentimiento sea “informado” nos deberemos asegurar de que el interesado entienda el tratamiento para el cual le estamos pidiendo el consentimiento para lo cual “deberá emplearse una formulación inteligible y de fácil acceso, que emplee un leguaje claro y sencillo y que no contenga cláusulas abusivas”.  

En la resolución frente a Caixabank se analizan en detalle dos de las mencionadas características, la obligación de que el consentimiento sea informado y que se otorgue de forma específica.

Empezando por el deber de obtener un consentimiento informado, la Agencia tras analizar la información que se facilita al interesado sobre el tratamiento objeto de controversia – la realización de perfilados por parte de Caixabank a sus clientes en el contexto de su actividad comercial – concluye que la misma “no aporta al interesado suficiente información como para que este pueda conocer el alcance de los tratamientos de perfilado que se llevan a cabo”

En este sentido resulta interesante señalar que Caixabank manifiesta que ha realizado un estudio de comprensión de las cláusulas con sus clientes, aunque al no aportar informes o resultados sobre el mismo dicha prueba no es objeto de análisis por la Agencia. Sin embargo, de la lectura de la resolución no parece rechazarse este medio de prueba lo que puede resultar útil a la hora de redactar cláusulas cuya complejidad exija un testeo previo.

Por otro lado, la Agencia entiende que no se permite al interesado configurar correctamente su consentimiento en la medida en que los tratamientos están agrupados y no se facilita la posibilidad de consentir unas finalidades sí y otras no.

Este requisito suele ser el más vulnerado en la medida en que resulta habitual que se agrupen distintos tratamientos con el ánimo, en ocasiones, de enmascarar aquellos que pueden generar rechazo en el interesado por diversas razones.

La lectura que debe sacarse de la resolución es la necesidad por una parte de analizar la efectiva concurrencia del consentimiento como base legal y por otra la necesidad de que el mismo se ajuste a los requisitos que marca la normativa. En este sentido se recomienda huir de redacciones genéricas y apostar por realizar aproximaciones transparentes que den confort al responsable en relación con los tratamientos y que garanticen registros de mayor calidad.

En caso de duda sobre la corrección legal de tus fórmulas de consentimiento ponemos a tu disposición a nuestros profesionales en materia de protección de datos quienes analizarán tus tratamientos y te propondrán las fórmulas que mejor se ajusten a la legislación vigente y a tus necesidades.

 

 

Publicado en Blog, Circulares, Empresas TIC, Nuevas Tecnologías, Opinión, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , Comentarios desactivados en El consentimiento como base legal del tratamiento

Jornada: “El control del dato sensible”

Publicado el 18-10-2021

¿Y si tus datos fueran de nube en nube? ¿Y si se convirtieran en lluvia?

El próximo jueves 28 de octubre, nuestro compañero Álvaro Abáigar (asociado y director del Dpto. de Nuevas Tecnologías y Propiedad Intelectual e Industrial) junto con otros expertos en la materia de ATECNA dialogarán sobre los datos sensibles que se manejan en la era digital.

La jornada tendrá lugar en la sede de ATECNA en horario de 9:00 a 11:00 h y se abordarán las siguientes cuestiones.

  • Ubicación y transferencia internacional de datos.
  • Periodos de conservación.
  • Protocolos ante incidentes de seguridad.
  • Datos biométricos. Estado legal.

 

Si está interesado, puede inscribirse en el siguiente enlace: https://bit.ly/2YVLZvq

Plazas limitadas

Publicado en Blog, Empresas TIC, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , , Comentarios desactivados en Jornada: “El control del dato sensible”

Propiedad intelectual y la aventura de emplear elementos de terceros

Publicado el 25-11-2020

Una cuestión recurrente con la que suelen enfrentarse los creadores de propiedad intelectual es la posibilidad de emplear obras preexistentes y las limitaciones o consecuencias que dicho uso puede tener en la explotación de su obra final.

En relación con este tema, hace un tiempo saltó la polémica en Twitch al silenciarse la música de los videojuegos cuyas partidas grabadas se compartían a través de dicha red social. Pues bien, la polémica parece haber vuelto a resurgir ya que varios usuarios han visto como un tramo de audio de sus videos en el que aparece una pista de audio, a primera vista común (sonidos de pájaros, sonidos de sirenas de policía…) es silenciado por la plataforma porque los titulares de derechos sobre las mismas han puesto de manifiesto que el usuario no dispone de licencia suficiente para el uso de dichos audios.

Debe recordarse que los derechos de propiedad intelectual nacen en cabeza del autor por el mero hecho de la creación de la obra, esto es, cuando se plasman en un soporte tangible. Así, pues las “creaciones originales literarias, artísticas o científicas expresadas por cualquier medio o soporte, tangible o intangible, actualmente conocido o que se invente en el futuro” serán susceptibles de protección por la normativa de propiedad intelectual, aunque a primera vista podamos entender al emplear dicho elemento, que éste no es digno de dicha protección tal y como les está ocurriendo a algunos usuarios de Twitch.

Esta situación resulta especialmente relevante en el caso de creaciones que incluyan o puedan incluir diversas obras o elementos preexistentes y/o de terceros tales como por ejemplo un software, una obra audiovisual o un mashup de varios fragmentos de canciones ya que, a la hora de explotar, ceder o licenciar la obra final se deberá poder asegurar que se dispone de los derechos suficiente para hacer uso de la misma o, en el caso de no disponer de los mismos, estar en disposición de advertir de las distintas licencias bajo las cuales se liberan los elementos que no son titularidad del autor de la obra final.

Para poder obtener claridad, es preciso realizar una labor analítica y en ocasiones arqueológica sobre los elementos que la componen y las condiciones bajo las que dichos elementos se han accedido por el creador y se facilitan al usuario final. Este ejercicio aporta un gran valor al proyecto final y es una herramienta valiosa de cara a la eventual explotación comercial de la obra final ya que el nivel de garantía y transparencia que se otorga al inversor, cliente o usuario es muy elevado permitiéndole conocer de antemano las eventuales limitaciones con las que se puede encontrar evitando así una controversia futura.

Esta labor analítica y eventualmente de obtención de derechos debe realizarse de forma ordenada, siguiendo una metodología y un proceso estructurado de forma que sea repetible en el caso de incorporarse nuevos elementos a la obra final que exijan la realización de un nuevo análisis. Asimismo, resulta esencial que el proceso quede documentado y accesible de manera que pueda ser fácilmente revisado por terceros en el caso de resultar necesario.

Contar con asesoramiento especializado en la materia puede simplificar el proceso de análisis de la obra final, determinando y coordinando la obtención de derechos, al mismo tiempo que puede contribuir, si se introduce en fases tempranas de la creación, a reducir eventuales costes futuros derivados de la necesidad de obtener licencias de terceros.

En ARPA contamos con profesionales especializados en materia de propiedad intelectual con amplia experiencia en la auditoría de obras de propiedad intelectual y en el análisis de la compatibilidad entre licencias.

 

 

Publicado en Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián, Sede-Valladolid | Etiquetado como , , , , , , , , Comentarios desactivados en Propiedad intelectual y la aventura de emplear elementos de terceros

COVID-19  y la protección de datos: pautas con los trabajadores.

Publicado el 17-03-2020

A continuación, os ofrecemos unas indicaciones sobre cómo tratar los datos de salud relacionado con COVID-19 de los trabajadores en base a las indicaciones trasladas por la Agencia Española de Protección de Datos en el informe 0017/20

 

1.- Soy un trabajador y tengo síntomas compatibles con el virus COVID-19, ¿tengo obligación de informar a mi organización de mi estado?

Si.  Hay que tener en cuenta que puedes poner en riego a otras personas de la organización por lo que resulta necesario que informes de manera urgente sobre tu estado, hayas sido diagnosticado o presentes síntomas compatibles para que se puedan tomar las medidas oportunas.  En esta situación que vivimos, el derecho a la protección de datos debe ceder en virtud de un derecho general como es la defensa de la salud de la población.

 

2.- Un trabajador comunica a la organización que tiene síntomas, ¿Qué puede hacer la organización con esa información? ¿Puede tratarla?

Sí. La dirección podrá adoptar las medidas necesarias para salvaguardar los intereses vitales de las personas físicas, el interés público, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral. La información relativa a un contagio o posible contagio podrá ser transmitida al personal de la organización siempre de forma que se preserve la privacidad de la persona y cumpliendo los principios de finalidad y proporcionalidad y, siguiendo las recomendaciones e instrucciones emitidas por las autoridades competentes. Siempre y cuando se pueda informar y evitar contagios o la posible propagación de la enfermedad a través de datos anonimizados, deberá hacerse por esta vía. De forma contraria (o aconsejados de esta manera por la autoridad competente), si fuera necesario, podrá darse a conocer la identidad de la persona.

 

3.- ¿Se puede tomar la temperatura a los trabajadores con el fin de detectar casos coronavirus?

Sí, pero sólo por personal sanitario en el marco de la vigilancia de la salud establecida en la Ley de Prevención de Riesgos Laborales. Cualquier medida relacionada con la vigilancia de la salud de los trabajadores, visitantes o personas relacionadas con la empresa y, encaminadas a garantizar la salud de la plantilla y evitar una propagación de la enfermedad, deberá ser realizada por personal sanitario y como indicamos en el marco de la normativa de prevención de riesgos laborales. En cualquier caso, los datos obtenidos de esa comprobación deberán ser tratado de acuerdo a la normativa de protección de datos, obedeciendo a una finalidad específica de contención de una enfermedad y limitándose única y exclusivamente a esta finalidad.

 

 

Publicado en Circulares, Protección de Datos | Etiquetado como , , , Comentarios desactivados en COVID-19  y la protección de datos: pautas con los trabajadores.

Jornada ADEFAN sobre Protección de Datos

Publicado el 15-01-2020

Fiel a su compromiso con la Empresa Familiar, el próximo jueves día 23 de enero, nuestro compañero Álvaro Abáigar, asociado-director del departamento de Nuevas Tecnologías y Propiedad Intelectual de Industrial de ARPA Abogados Consultores impartirá una charla sobre la protección de datos donde abordará cuestiones de actualidad y los programas de privacidad.

La jornada se celebrará en la sede ADEFAN sita en el parque Empresarial La Muga nº 11 – 6ª planta, Orkoien en horario de 16:30 h a 18:00 h

El objetivo de la sesión es repasar las principales cuestiones de actualidad e interés que afectan a las organizaciones en materia de protección de datos. ¿Sabes que hay que hacer ante una brecha de seguridad? ¿Puedes obligar a tus trabajadores a fichar con un sistema biométrico? Si grabas a un trabajador robando, ¿puedo utilizar las imágenes en un juicio? ¿Cómo puedo mandar comunicaciones comerciales? ¿Qué tengo que hacer con las cookies? Intentaremos arrojar luz sobre estos y otros temas de actualidad y plantear como hay que desarrollar a medio y largo plazo programas de privacidad en las organizaciones para mejorar la gestión de los datos de carácter personal y de la información.

La jornada esta destinada de manera exclusiva para empresas.

Si deseas inscribirte o ampliar la información, puedes hacerlo a través del siguiente enlace:  pincha aquí.

 

 

Publicado en Empresa Familiar, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , Comentarios desactivados en Jornada ADEFAN sobre Protección de Datos

Curso express de informática legal para profesionales colegiados.

Publicado el 27-11-2019

El próximo viernes 13 de diciembre, de 17:00 a 19:00 h., nuestro compañero Álvaro Abaigar, asociado- director del Departamento de Nuevas tecnologías y Propiedad Intelectual de ARPA, impartirá un curso sobre informática legal en el aula 2 del Civican de Pio XII en Pamplona (Navarra).

El curso está organizado por el Colegio Profesional de Ingeniería en Informática de Navarra y ARPA Abogados Consultores con la colaboración de Fundación Caja Navarra.

La asistencia al curso es exclusiva para miembros del colegio.

 

El programa de la jornada será el siguiente:

1.-Introducción: El informático y posibles responsabilidades en función de su rol.

  • Responsable de sistemas en una organización.
  • Trabajador autónomo.

2.- El papel del informático ante estafas, robos y extorsiones en una organización: Cómo actuar desde el punto de vista legal.

3.-Brechas de seguridad .

  • Protocolos obligatorios.
  • Cuando hay que notificar un incidente de seguridad a la Agencia Española de Protección de Datos y a los afectados.

4.-Cuando tu jefe (o cliente) te pide acceder al ordenador o buzón de correo electrónico de un usuario.

  • Intimidad y secreto de las comunicaciones.
  • Responsabilidades que se pueden incurrir.
  • Como actuar en estos supuestos.

5.-Biometría, videovigilancia y geolocalización en una empresa.

  • Visión legal de estos sistemas.

6.-Desarrollo de software:

  • Principales licencias de software: MIT, GPL, Creative Commons.
  • Uso de elementos de terceros; responsabilidades; avisos necesarios.
  • Garantías.

7.-Delitos informáticos y otras conductas ilegales.

  • Daños en sistemas informáticos.
  • Destrucción de pruebas.
  • Utilización de software sin licencia en una organización

8.-Contratos informáticos: principales cuestiones a considerar al comprar/vender servicios de mantenimiento, desarrollo, SaaS, etc.

 

 

 

 

Publicado en Nuevas Tecnologías, Propiedad Intelectual e Industrial | Etiquetado como , , Comentarios desactivados en Curso express de informática legal para profesionales colegiados.

Taller «Cuestiones legales que conocer antes de hacer marketing digital”

Publicado el 19-10-2019

El martes 22 de noviembre, nuestro compañero Álvaro Abaigar Domínguez, asociado y director del departamento de Nuevas Tecnologías y Propiedad Intelectual e Industrial de ARPA Abogados Consultores impartirá en CEIN un taller de dos horas y media de duración donde explicará a los asistentes, las principales cuestiones que hay que conocer antes de hacer marketing digital, como por ejemplo, el uso de imágenes y vídeos de terceros, los avisos legales…

¿Qué debo tener en cuenta a nivel legal para realizar publicidad? ¿Cómo me afecta la normativa de protección de datos? ¿Qué límites existen en redes sociales? ¿Cómo puedo proteger una campaña? ¿Qué debo saber sobre la publicidad dirigida a menores? Estas y otras preguntas son las que se abordaran en este taller dirigido a personas emprendedoras.

Asimismo, se trabajará un caso práctico en el que se analizará una comunicación comercial de inicio a fin, desde el punto de vista legal.

 

CONTENIDO DEL TALLER

  1. Introducción.
  2. Usos de imágenes y vídeos de terceros.
  3. Marcas.
  4. Cuestiones de protección de datos que son de aplicación.
  5. Comunicaciones comerciales email marketing, llamadas y comunicaciones postales.
  6. Avisos legales necesarios en una página web.
  7. Casos prácticos.

Desde el lead hasta la newsletter. Cómo plantear una comunicación comercial desde el punto de vista legal. Se abordarán, entre otros, los siguientes puntos:

  • Obtención de consentimientos para el envío de comunicaciones comerciales.
  • Excepciones legales. Interés legítimo.
  • Programas de envío. ¿Puedo utilizar Mailchimp y similares?
  • Información obligatoria en el correo.
  • Lista Robinson.
  • Cookies: cómo gestionar este tema en una página web.
  • Concursos y sorteos: aspectos legales a tener en cuenta.

 

Si estás interesado en inscribirte, puedes hacerlos a través del siguiente enlace.

 

Publicado en Micropymes y Autónomos, Startups y Emprendedores | Etiquetado como , , , , Comentarios desactivados en Taller «Cuestiones legales que conocer antes de hacer marketing digital”

Nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Publicado el 29-11-2018

Éste es sin duda uno de los años más apasionantes que en materia de protección de datos hemos vivido desde hace mucho tiempo: si el pasado 25 de mayo el protagonista absoluto fue el Reglamento General de Protección de Datos (RGPD o GDPR, que tuvo aplicación directa en toda la Unión Europea), ahora es el turno de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.  Esta Ley acaba de ser aprobada por nuestro Senado y tiene por objeto no sólo adaptar al ordenamiento jurídico español el Reglamento Europeo sino que incorpora todo un capítulo dedicado a los denominados “los derechos digitales” (regulándose cuestiones novedosas tales como el derecho a la desconexión digital en el ámbito laboral o el “testamento digital”). Asimismo, no podemos obviar una de las cuestiones más polémicas de la norma que ha sido la modificación legal que permite a los partidos políticos recopilar datos relativos a opiniones políticas (modificación que ha generado opiniones encontradas sobre su alcance y alineamiento con el reglamento general de protección de datos).

A continuación, exponemos brevemente las principales novedades de esta norma:

  • Menores de edad: tras mucho debate en la tramitación de la norma sobre cuál debería ser la edad idónea en la que los menores pueden dar su consentimiento para el tratamiento de sus datos (el Reglamento daba una horquilla para que cada país seleccionara la edad), finalmente la cuestión ha quedado como hasta ahora. En consecuencia, en España será necesario que los menores tengan más de 14 años para que el consentimiento sea válido (en el resto de países de la UE esta edad puede ser diferente). También se recuerda la necesidad por parte de los centros educativos de contar con el consentimiento del menor (o sus representantes legales) para la publicación o difusión de los datos de éstos en Internet, garantizando la protección del interés superior del menor y sus derechos fundamentales.
  • Cláusulas de protección de datos: en la línea con lo que viene recomendado el Comité Europeo de Protección de Datos y la Agencia Española de Protección de Datos, se recoge expresamente la posibilidad de información “en dos capas”. Es decir, se tolera que en un primer momento se presente al afectado una información básica que incluya por ejemplo un enlace electrónico a otro espacio con el resto de la información.
  • Sistemas de exclusión publicitaria: la Agencia Española de Protección de Datos hará pública una relación de estos sistemas (como, por ejemplo, el conocido como “Listas Robinson”), siendo necesario que, quienes pretendan realizar comunicaciones comerciales, consulten previamente dichos sistemas (salvo cuando el afectado hubiera prestado su consentimiento para recibir dicha comunicación comercial).
  • Sistemas de información de denuncias internas:  se aclara que se permiten los sistemas anónimos de whistleblowing si bien es necesario adoptar las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos, tanto de la persona que plantea la denuncia como de las personas afectadas. Se debe limitar el acceso a la información, quedando únicamente accesible a quienes desarrollen las funciones de control interno y de cumplimiento, y a los que tengan que adoptar medidas disciplinarias o de tramitación de los procedimientos judiciales que, en su caso, procedan. La Ley indica que el plazo de conservación debe ser “el imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados” (que, en todo caso, no debe superar los tres meses).
  • Publicación del Registro de las actividades de tratamiento: las administraciones públicas (y algunos otros organismos enumerados en el artículo 77, entre otros las fundaciones del sector público y las Universidades Públicas) tienen la obligación de dar publicidad a su registro de actividades de tratamiento (por ejemplo, en su página web).
  • Delegado de protección de datos: complementariamente con los supuestos recogidos en el Reglamento, la Ley Orgánica incluye una serie de entidades que tienen la obligación de nombrar esta figura. Entre ellos: i) centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación ii) o prestadores de servicios de la sociedad de la información cuando elaboren, a gran escala, perfiles de los usuarios del servicio. En cualquier caso, la nueva normativa pretende favorecer el nombramiento voluntario de este perfil, siendo una de las circunstancias a valorar positivamente a la hora de graduar una sanción o medida correctiva por parte de la Agencia Española de Protección de Datos.
  • Derecho de rectificación e Internet: se impone, a los responsables de redes sociales y servicios equivalentes, la obligación de contar con protocolos para gestionar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz.
  • Medios de comunicación digitales: se establece el derecho de toda persona a solicitar motivadamente, a estos medios, la inclusión de un aviso visible junto a las noticias que le conciernan cuando éstas, por no reflejar su situación actual por haber cambiado sus circunstancias tras la publicación, le causen un perjuicio. Esto se concreta en la obligación, de los medios de comunicación digitales que deban atender la solicitud, de incorporar un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo.
  • Derecho a la desconexión digital en el ámbito laboral:  las organizaciones deberán elaborar una política interna en la que definirán las modalidades de ejercicio del derecho a la desconexión, debiendo adoptar “acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática”.
  • Videovigilancia y geolocalización de trabajadores: se regulan las obligaciones de información a los trabajadores cuando los empresarios decidan adoptar este tipo de medidas de vigilancia y control para la verificación del cumplimiento de las obligaciones y deberes laborales.
  • Derecho al olvido en búsquedas de Internet y en servicios de redes sociales y equivalentes: en línea con la doctrina jurisprudencial que viene produciéndose, se regula el derecho de supresión en este tipo de servicios cuando, por ejemplo, la información hubiere devenido, por el transcurso del tiempo, inadecuada o inexacta teniendo en cuenta los fines para la que se recogió.
  • Derecho al testamento digital: se regula en qué situaciones los herederos y personas vinculadas a un fallecido pueden dirigirse a un prestador de servicios de la sociedad de la información para acceder a los contenidos allí alojados o decidir sobre el mantenimiento o eliminación de perfiles en, por ejemplo, redes sociales.  Esto no será posible cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
  • Medidas de seguridad en el ámbito del sector público: cuando un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, se aclara que las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.
  • Tratamientos de datos de salud en materia de investigación:  lo más destacable sin duda es que se abre la puerta a que, las autorizaciones obtenidas para una finalidad de investigación concreta, se puedan extender “para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial”. También se establece la necesidad de realizar una evaluación de impacto para los tratamientos con fines de investigación en salud pública y, en particular, biomédica.
  • Modificación de la Ley Orgánica del Régimen Electoral General: sin duda, uno de los puntos más polémicos de esta norma ha sido la posibilidad de recopilación de datos relativos a las opiniones políticas que pueden llevar a cabo los partidos políticos en el marco de sus actividades electorales y la posibilidad de envío de propaganda electoral electrónica sin que sea considerada “spam”.
  • Derecho a la neutralidad de Internet: dicha neutralidad se establece como un derecho de los usuarios quedando prohibido, a los proveedores de servicios de Internet, discriminar por motivos técnicos o económicos.

 

Publicado en Empresas TIC, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , Comentarios desactivados en Nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales

Protección de datos: Nuevo marco normativo aplicación para estudios de Arquitectura

Publicado el 10-09-2018

El pasado 25 de mayo de 2018 entró en aplicación la nueva normativa de protección de datos. Con el objetivo de repasar las principales novedades de la normativa, su aplicación para los estudios de arquitectura y explicar las principales tareas a realizar por los colegiados para adecuarse a la nueva situación, nuestro compañero Asociado-director del Departamento de Nuevas Tecnologías y Propiedad Intelectual, Álvaro Abaigar, impartirá el próximo miércoles 26 de septiembre una charla en la Delegación en Navarra del COAVN sita en la Avenida del Ejercito  2-7ª Planta de 18.00 a 20.00 horas.

Durante la jornada, se abordarán los siguientes puntos:

PROGRAMA:

  • Marco legal de protección de datos: qué ha cambiado y qué no. Reglamento general de protección de datos y proyecto de reforma de la LOPD.
  • Diseño de una hoja de ruta: quién debe implicarse y qué debe contener.
  • Delegado de protección de datos: qué es y cuándo hay que nombrarlo.
  • Protección de datos desde el diseño y por defecto.
  • Relación con los clientes: la hoja de encargo.
  •  Página web: avisos legales necesarios.
  •  La relación con los encargados de tratamiento.
  • Seguridad de los datos: nueva aproximación al riesgo

 Los interesados deben enviar el boletín de inscripción a formacion@coavna.com antes de las 14 h del 24 de Septiembre de 2018, adjuntando el justificante de pago en la cuenta corriente de CAJA DE ARQUITECTOS , número ES24 -3183-3100-82-0000748637          

Nº Plazas limitado. Adjudicación de plazas por orden de abono de la matrícula. Prioridad para colegiados COAVN. La jornada es gratuita para los miembros del COAVN y para el resto asciende a 50 euros.

Publicado en Circulares, Empresas TIC, Propiedad Intelectual e Industrial, Sede-Pamplona | Etiquetado como , , , Comentarios desactivados en Protección de datos: Nuevo marco normativo aplicación para estudios de Arquitectura
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X