Entradas de la etiqueta: #lopd; #protección de datos

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º8 – 2024

Protección de datos

 

Cumplimiento normativo

 

Normativa al día
 
Charlas, eventos y novedades

El próximo 28 de noviembre, Jorge Arellano, Asociado y Responsable del Área de Cumplimiento Normativo de ARPA Abogados Consultores, dirigirá el taller sobre Gobierno Corporativo Compliance Entendiendo y trabajando el pilar buen gobierno y compliance de la sostenibilidad a través del juego de mesa RSE Gob en el Club de Marketing y con el apoyo del Servicio Navarro de Empleo – Nafar Lansare. 

 

 


 

PROTECCIÓN DE DATOS

 

Verificación de edad en infancia. La AEPD publica una nota técnica. 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota técnica titulada “Internet seguro por defecto para la infancia y el papel de la verificación de edad”, donde se analiza la necesidad de crear un entorno digital más seguro para los niños, niñas y adolescentes. El documento subraya que es posible proteger de manera efectiva a los menores en Internet sin comprometer la privacidad de los usuarios ni exponer a los menores a nuevos riesgos.  

La AEPD propone un cambio de paradigma en la protección de la infancia en Internet, priorizando la protección preventiva. En lugar de estrategias reactivas que actúan sólo después de que los menores ya han sido expuestos a riesgos, se recomienda aplicar los principios de protección de datos por defecto. Esto implica la creación de espacios en Internet que sean seguros para los menores, respetando sus derechos y libertades.  

Uno de los elementos clave para lograr este entorno seguro es la verificación de edad, que debe ser utilizada como una herramienta que permita limitar el acceso de los menores a contenidos o servicios inapropiados. Esta verificación debe cumplir con el Reglamento General de Protección de Datos y otras normativas que refuerzan la protección de la infancia, evitando generar nuevos riesgos o pérdida de derechos. 

En la nota técnica también se analizan cuatro casos de uso y se sugieren buenas prácticas para proteger a los menores de riesgos como el acceso a contenido inapropiado, el contacto con personas peligrosas, la explotación de sus datos personales o la inducción a comportamientos adictivos. 

 

Volver al índice

 

El Comité Europeo de Protección de Datos adopta un dictamen sobre los encargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

 

En su último pleno, el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre determinadas obligaciones derivadas de la dependencia de los encargados y subencargados del tratamiento y unas directrices sobre el interés legítimo objeto de consulta pública. 

En primer lugar, el CEPD emitió la Opinión 22/2024 en respuesta a una solicitud de la Autoridad Danesa de Protección de Datos, proporcionando una guía detallada sobre cómo deben los responsables del tratamiento gestionar y supervisar a los encargados y subencargados para garantizar el cumplimiento del RGPD. 

Entre los puntos principales, la Opinión resalta el deber de los responsables de obtener información sobre los encargados y subencargados involucrados en el tratamiento de datos (nombre, dirección, persona de contacto) y mantenerla actualizada. Además, el CEPD señala que los responsables del tratamiento deben evaluar si los encargados proporcionan garantías suficientes, independientemente del nivel de riesgo de la actividad de procesamiento. 

También se establece que, si bien los encargados pueden proponer subencargados, la decisión final recae sobre el responsable de tratamiento, quien debe verificar que los subencargados cumplan con las mismas obligaciones y garantías. Aunque no es necesario revisar sistemáticamente los contratos realizados entre encargados y subencargados, el responsable debe evaluar, en función del riesgo. si es necesario hacerlo para cumplir con el principio de responsabilidad. 

Por otro lado, el Comité adoptó las Directrices 1/20242 sobre el tratamiento de datos personales basado en el interés legítimo, las cuales se encuentran en consulta pública hasta el 20 de noviembre de 2024. 

Estas directrices analizan los criterios establecidos en el artículo 6.1.f) del RGPD que deben cumplir los responsables del tratamiento para que sea lícito sobre la base de un interés legítimo. En este sentido, deben cumplirse tres condiciones acumulativas:  

    • La persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero. 
    • La necesidad de tratar los datos personales para los fines del interés legítimo perseguido. 
    • Los intereses o las libertades y derechos fundamentales de los interesados no prevalecen sobre el interés legítimo del responsable del tratamiento o de un tercero.  

 

La evaluación del interés legítimo y, en particular, la ponderación de intereses y derechos contrapuestos requiere la consideración de una serie de factores como la naturaleza y el origen de los intereses legítimos pertinentes, el impacto del tratamiento en el interesado y sus expectativas razonables sobre el tratamiento y la existencia de salvaguardas adicionales que puedan limitar el impacto en el interesado. 

 

Volver al índice

 

Pixel tracking y otras formas de seguimiento. Nuevas directrices sobre el ámbito de aplicación técnico de la Directiva ePrivacy. 

 

El Comité Europeo de Protección de Datos ha adoptado una nueva guía sobre el Alcance Técnico del artículo 5(3) de la Directiva ePrivacy, que aborda la aplicabilidad de dicho artículo a diversas soluciones técnicas y tecnologías emergentes de seguimiento de datos, como por ejemplo el pixel tracking, sensores IoT o identificadores únicos de dispositivos. 

La aparición de nuevos métodos de rastreo que sustituyen a las herramientas de rastreo existentes y la creación de nuevos modelos de negocio, se ha convertido en una preocupación fundamental en materia de protección de datos. De este modo, aunque el artículo 5(3) de la Directiva ePrivacy se aplica a algunas tecnologías de rastreo como las cookies, es necesario abordar las ambigüedades relacionadas con la aplicación de dicha disposición a las nuevas herramientas de rastreo.  

Las Directrices identifican tres elementos clave para la aplicabilidad del precepto, a saber, “información”, “equipo terminal de un usuario” y “acceso y almacenamiento de información”, proporcionando un análisis detallado de cada elemento. Además, se analizan nuevos casos de uso de tecnologías de seguimiento. 

 

Volver al índice

 

El Consejo de Transparencia y Protección de Datos de Andalucía publica la “Guía sobre Protección de datos personales para centros educativos

 

El Consejo de Transparencia y Protección de Datos de Andalucía ha presentado la “Guía sobre Protección de datos personales para centros educativos”. El documento aborda la importancia de la protección de datos en los centros educativos, especialmente para proteger los derechos de los menores. 

La guía tiene tres objetivos principales: garantizar el cumplimiento de la normativa vigente, en especial el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos; responder a las dudas que puedan surgir en relación con el tratamiento de datos personales; y promover la mejora de protocolos en los centros educativos. 

La Guía se ha desarrollado teniendo muy presente las aportaciones de la comunidad educativa realizadas a través de un cuestionario específico en la materia, y está dividida en dos partes: una descriptiva sobre la normativa y otra práctica, con preguntas y respuestas sobre casos comunes en el ámbito educativo. Además, cubre temas como plataformas digitales, móviles y videovigilancia, y concluye con consejos básicos para garantizar el cumplimiento de la ley. 

 

Volver al índice

 

 

Límites protección programas de ordenador. ¿Es extensible a los datos en memoria? 

 

Después de un largo proceso judicial en el caso de que enfrentaba a Sony contra Datel, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado que la modificación en memoria de variables realizada por un programa de ordenador no constituye una modificación del mismo, y por lo tanto no es contrario a la Directiva del Consejo sobre protección jurídica de programas informáticos. En el caso analizado, DATEL comercializaba un programa que permitía a los usuarios modificar las variables cargadas en memoria por los juegos de Sony en la consola PSP y la cuestión se centraba en ver si el contenido de tales variables está comprendido en el ámbito de aplicación de la protección del derecho de autor o por el contrario era algo ajeno a ella, ya que no se modificaba en ningún momento el código fuente o objeto del videojuego de Sony. Como se ha indicado el Tribunal considera que la protección de la Directiva no alcanza a la protección de los datos variables almacenados por un programa de ordenador protegido en la memoria local utilizados por dicho programa durante su ejecución.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Seguros y Compliance

Como es sabido, los sistemas Corporate Compliance penal se configuran como modelos de organización y gestión diseñados para la creación y fomento de una cultura de cumplimiento normativo en la empresa. 

En cualquier caso, y conviene recordarlo, también resulta recomendable reforzar la protección de los sistemas mediante la formalización de seguros, que puedan cubrir contingencias de tipo civil y penal, tanto de la empresa como de los responsables de la gestión del sistema de Compliance.  

Lógicamente, ningún seguro va a cubrir los delitos dolosos, sin embargo, sí que pueden incluir la protección por responsabilidades civiles derivadas faltas cometidas por imprudencia, incumplimientos de empleados, gastos de defensa (también penal) e incluso la presentación y los gastos de constitución de fianzas. 

Por lo tanto, los Compliance Officers y también los Directivos de la empresa no deberían olvidar la importancia de complementar la protección de los sistemas de Compliance con la cobertura de seguros, tanto en materia civil como penal, como se dice coloquialmente, hombre que no previene accidentes tiene…

 

Volver al índice

 

Condenado un hostelero por las molestias y excesivo ruido de la actividad de su pub 

El Tribunal Superior de Justicia de Castilla y León ha ratifica la sentencia de la Audiencia de Zamora contra un hostelero condenado a tres años de prisión por un delito contra el medio ambiente. 

Desde su apertura como pub, pero sobre todo en los últimos años, han sido constantes las quejas y denuncias sucesivas por las continuas y graves molestias a los vecinos por el nivel de ruido y música más elevado de lo permitido hasta altas horas de la madrugada. Además de incumplimiento de los horarios de recogida de la terraza y cierre del establecimiento. 

Para el tribunal, la sentencia de la Audiencia Provincial realiza un “riguroso análisis del material probatorio existente en las actuaciones”, una prueba “suficientemente clara como para dejar acreditado no solo el insufrible ruido que producía el condenado desde su local, sino del conocimiento que él tenía de las importantes molestias que ocasionaba al vecindario”.  

La Sala concluye que “resulta acreditado el riesgo de afectación grave de la salud de estas personas a un nivel de ruidos más elevado de lo tolerable y la, al menos, posible lesión de los bienes jurídicamente protegidos -derecho a la integridad física y moral y a la intimidad personal o familiar- (…) la contaminación acústica fue muy prolongada en el tiempo y durante periodos nocturnos seguidos lo que imposibilitaba o, al menos, dificultaba el descanso nocturno esencial para el ser humano”. 

 

Volver al índice

 

 

Auto: Consideraciones sobre el “defecto estructural” y la complejidad empresarial 

Destacamos el Auto 343/2024 de la Audiencia provincial de Barcelona en materia de responsabilidad penal de las personas jurídicas, en el mismo (sobre el delito de estafa) se recuerda que el fundamento de imputación de la empresa (es decir el delito corporativo) se basa en la existencia del defecto estructural en los mecanismos de prevención y control de la entidad (fundamento de derecho 2º): 

De entre las consideraciones realizadas hasta el momento, nos quedamos en que, para hablar del fundamento de esa responsabilidad exigible a la persona jurídica por su propio delito, es preciso partir de la constatación de algún defecto estructural en los mecanismos de prevención y control que le fueran exigibles por razón de su organización tendentes a los fines a que se orienta su actividad. 

El Auto también destaca que las medidas de control e incluso la propia imputabilidad de la empresa dependerá de su grado de complejidad, abriendo la posibilidad de liberar de responsabilidad a las entidades sin estructura: 

…la responsabilidad penal de la persona jurídica gira en clave de complejidad organizativa, de manera que cabrá hablar de imputabilidad respecto de aquéllas que presenten un cierto grado de complejidad con la consecuencia de que no todas las personas jurídicas serán imputables, sirviendo de apoyo, de alguna manera, para esto que decimos el distinto tratamiento que en orden a las funciones de supervisión se establecen en el propio art. 31 bis CP para las personas jurídicas de pequeñas dimensiones, en comparación con los mecanismos de compliance propios de las de mayor complejidad. 

Volver al índice

 

 

NORMATIVA AL DÍA

 

NIS2: ausencia de transposición y primera normativa de ejecución. 

Si a nivel nacional seguimos sin transponer la directiva NIS2 pese a que el pasado 17 de octubre finalizó el plazo máximo para ello, si que desde la comisión se ha dictado un reglamento de ejecución que viene a establecer los requisitos técnicos y metodológicos de las medidas a que se refiere la Directiva NIS2 con respecto a determinados proveedores (ej.  proveedores de servicios de computación en nube, los proveedores de servicios gestionados o los proveedores de servicios de seguridad gestionados). 

Volver al índice

 

Reglamento relativo a la seguridad general de los productos. 

El próximo día 13 de diciembre de 2024 será de aplicación el  Reglamento (UE) 2023/988 relativo a la seguridad general de los productos. A destacar las obligaciones específicas de los prestadores de mercados en línea relacionadas con la información sobre seguridad de los productos que permitan a los comerciantes que ofrezcan el producto proporcionar. A este efecto, por ejemplo, será necesario informar entre otros del nombre, nombre comercial registrado o marca registrada del fabricante, información que permita identificar el producto, (incluidos una imagen del producto, su modelo y cualquier otro identificador del producto) o cualquier advertencia o información relativa a la seguridad que deba colocarse en el producto o su envase. 

 

Volver al índice

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 09 – 2023

Compliance

 

Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 


 

COMPLIANCE

Los avances de la ley de protección al informante

El pasado marzo entró en vigor la nueva Ley 2/2023, de 20 de febrero, reguladora de la protección de denunciantes e informadores sobre infracciones normativas y de lucha contra la corrupción. Esta ley preveía dos plazos clave:  por un lado, el 13 de junio de 2023, fecha en la que las organizaciones de mayor tamaño (más de 250 trabajadores), deberían tener implantado un Sistema interno de información, mientras que, para las organizaciones de menor tamaño (más de 50 trabajadores) disponían de plazo hasta el próximo 1 de diciembre de 2023. Como consecuencia, muchas organizaciones ya se han adaptado, o se encuentra en proceso de adaptarse a las exigencias de la norma. Como es sabido, esta ley no sólo obligaba a las entidades (ya sea del sector público o privado) a contar con sistemas internos de información, si no que, además, se introducían dos (tres) novedades muy importantes: la habilitación de canales externos de información y la creación de la Autoridad Independiente de Protección al Informante, A.A.I.[1]  

 Han transcurrido unos meses desde la entrada en vigor de la Ley, y vemos como, de forma paulatina, las autoridades competentes en sus respectivos ámbitos van creando ya canales externos de información, sirva de ejemplo el canal de la Agencia Española de Protección de Datos, la Agencia Tributaria, o el canal habilitado por la Oficina de Buenas Prácticas y Anticorrupción de Navarra. Por su parte, aun no disponemos de información sobre la creación de la Autoridad Independiente de Protección al Informante, A.A.I., la cual será una autoridad administrativa con atribuciones en materias tanto consultivas como sancionadora de la ley. Sin perjuicio de lo anterior, sí que vamos teniendo noticias de varias comunidades autónomas, que, en virtud de lo dispuesto por el artículo X de la Ley han procedido ya ha crear sus propias Autoridades independientes de protección al informante, como son el caso de las Oficina Catalana, Andaluza, Balear y Valenciana de Lucha Contra el Fraude.   

Por tanto, y sin perjuicio de que aún no contemos con una Autoridad Independiente de Protección al Informante, y que todavía quede camino por andar, podemos apreciar cómo, de forma continuada se van dando más pasos en la aplicación práctica de la Ley 2/2023 de Protección al Informante, por lo que es mejor estar preparados. 
 

[1] La tercera novedad sería la posibilidad de realizar revelaciones públicas 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Los falsificadores indemnizarán a las marcas originales, incluso antes de vender los productos falsificados. 

El pasado 13 de julio, la Sala Penal del Tribunal Supremo emitió una sentencia mediante la cual estableció que la exhibición de productos falsificados, para la venta, supone un daño reputacional para la marca original, y, por tanto, un perjuicio moral que debe ser indemnizado. Con esta sentencia se da un giro a la doctrina que venían manteniendo las Audiencias Provinciales, que exigía la comercialización de los productos falsificados como requisito para conceder una indemnización a las marcas originales. 

 

Volver al índice

 

 

Condena por venta de camisetas conmemorativas de la final de la Copa del Rey entre Osasuna y Real Madrid. 

 El Juzgado de lo Penal nº3 de Pamplona condenó el pasado 23 de octubre a un hombre como autor de un delito leve contra la propiedad industrial, imponiéndole una multa de 300 euros. La condena se basa en la venta de 38 camisetas conmemorativas de la final de la Copa del Rey entre Osasuna y Real Madrid, sin la autorización correspondiente para utilizar el logo de Osasuna, publicitando las mismas en Redes Sociales. 

 

Volver al índice

 

 

El uso de un diseño por parte de un tercero puede ser considerado “divulgación previa”. 

 Nos hacemos eco de la Sentencia del Tribunal General de la Unión Europea de 26 de abril de 2023, la cual aborda la cuestión de si el uso público de un diseño por parte de un tercero puede constituir una divulgación previa, que afecte a la protección del diseño registrado. El Tribunal afirma en esta sentencia que, en ciertas circunstancias, el uso público de un diseño por un tercero puede considerarse una divulgación previa, siempre y cuando se cumplan ciertos criterios, como la accesibilidad general del diseño al público interesado. 

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Lo que viene después de las cookies. 

Las principales empresas de telecomunicaciones han implementado el sistema Utiq, que sirve para perfilar la actividad de sus clientes con fines publicitarios. Utiq permite a las redes de publicidad recopilar información sobre la actividad de los usuarios, así como su IP, y ya está activo en las webs de alguno de los periódicos de mayor tirada a nivel nacional. No obstante, existe un portal oficial donde se puede desactivar esta tecnología de seguimiento. 

Por su parte, Google está creando su propia alternativa denominada Privacy Sandbox, en la que destaca una función que proteja la IP de los usuarios, en un proyecto que busca eliminar progresivamente las cookies de terceros. Esto permitirá que se pueda acceder a las páginas que tengan la cookie Utiq, sin que las compañías tengan acceso a la IP original del usuario. No obstante, esta alternativa no se convertirá en la opción predeterminada para los usuarios de Google Chrome antes de 2024, afirma la compañía. 

 

Volver al índice

 

 

¿Qué criterios deben tener en cuenta los centros educativos para el tratamiento de datos personales?  

La Agencia Española de Protección de datos ha publicado un recurso con un resumen de los principales criterios para el tratamiento de datos personales en centros educativos. Destacan pautas como la obligación de designación de un Delegado de Protección de Datos (DPD) en todos los centros cuyo contacto sea fácilmente accesible, o la obligación de informar con claridad de las finalidades para la utilización de sus datos personales cuando sea preciso obtener su consentimiento. Del mismo modo se desaconseja el uso de aplicaciones de mensajería instantánea entre el profesorado y los alumnos o sus progenitores, entre otros criterios.  

 

Volver al índice

 

 

META ya ofrece una versión de pago de sus aplicaciones, para usarlas sin anuncios. 

Facebook e Instagram han puesto en marcha, en noviembre de 2023, la opción de pago de las aplicaciones, que permite utilizarlas sin publicidad. Los precios son de 9,99 euros al mes por las versiones web, y de 12,99 euros al mes por las aplicaciones telefónicas, y que se aplicará en la Unión Europea, Suiza y el Espacio Económico Europeo. Se trata de una medida en respuesta al cerco que se está poniendo por parte de la Unión Europea al rastreo no consentido de la actividad de los usuarios para proporcionarles publicidad personalizada, tras una solicitud emitida por la Autoridad Noruega de Protección de Datos, que prohibió la recopilación de datos por parte de Meta el pasado verano, al CEPD. De este modo, Meta obtiene el consentimiento para utilizar los datos personales de los usuarios, permitiendo la denegación del consentimiento, siempre que se pague dicha suscripción.  

 

Volver al índice

 

 

Obligatorio colocar el cartel de zona videovigilada incluso si las cámaras no funcionan. 

El pasado 13 de octubre, la AEPD sancionó al Ayuntamiento de Camargo, Cantabria, por instalar cámaras de videovigilancia en el interior de una ludoteca, sin colocar el correspondiente cartel de zona videovigilada. Si bien el Consistorio afirmó que dichas cámaras no funcionaban, la AEPD ha resuelto que, si dichas cámaras son reales, es necesario colocar el dispositivo informativo correspondiente, imponiéndole una sanción de apercibimiento. 

 

Volver al índice

 

 

La AEPD modifica el Código de conducta de AUTOCONTROL “Tratamiento de datos en la actividad publicitaria”. 

 La Agencia Española de Protección de Datos aprobó el pasado 20 de octubre la modificación del Código de conducta “Tratamiento de datos en la actividad publicitaria”, promovido por la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL). Con ello tratan de adaptar su contenido a la Circular 1/2023 sobre la aplicación del artículo 66.1.b) de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones. 

 Este código de conducta será aplicable al tratamiento de datos con fines publicitarios que sea llevado a cabo por entidades adheridas. Esto incluye actividades como el envío de comunicaciones comerciales, incluso cuando la persona está en una lista de exclusión publicitaria, la realización de promociones para recopilar datos personales con fines publicitarios, el uso de cookies y tecnologías similares para publicidad basada en comportamiento, y la creación de perfiles con fines publicitarios, entre otros. 

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

El Reglamento eIDAS 2, cada vez más cerca. 

El pasado 9 de noviembre, la presidencia del Consejo y los representantes del Parlamento Europeo, alcanzaron un acuerdo provisional sobre la propuesta de un nuevo marco para la identidad digital europea, que se conocerá como eIDAs 2. 

 

Volver al índice

 

 

Aprobado el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial. 

 

 

Volver al índice

 

 

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 07 – 2023

Protección de datos – Seguridad de la Información

 

Propiedad Intelectual e Industrial

 

Compliance
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

________________________________________________________________________________________________________________

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el control de jornada de trabajadores.Nuevos pronunciamientos de diferentes autoridades de protección de datos.

Nos hacemos eco de nuevos pronunciamientos de autoridades de protección de datos sobre uso de soluciones de biometría para el control de jornada, en este caso, de los dictámenes del Consejo de Transparencia y Protección de Datos de Andalucía, y de la Autoridad Catalana de Protección de Datos, ambos del 28 de julio de 2023. A destacar de ambos pronunciamientos la gran seguridad jurídica que otorgan en cuanto que se establecen claramente los requisitos que hay que cumplir en estas situaciones. 

Consideran los dictámenes que, dado que se tratan datos biométricos para la identificación, será necesario en primera instancia acudir a los convenios colectivos (en caso de personal laboral) o a los acuerdos con el personal funcionario, en el marco de la negociación colectiva, para analizar si es posible llevar a cabo este tratamiento. En defecto de convenio o pacto, se podrán emplear estos sistemas cuando concurra el consentimiento explícito del interesado. En tal caso, deberá disponerse de una alternativa de libre elección para cumplir el control del horario. También deberá cumplirse con el resto de principios y obligaciones, destacando el principio de minimización del art. 5.1.c) del RGPD.  

En todo caso, es importante recordar la necesidad de realizar una evaluación de impacto previo al tratamiento de los datos que analice y documente todas estas cuestiones, en cuanto que de lo contrario, la organización se expone a una sanción y a la paralización del tratamiento hasta cumplir con las obligaciones (sin ir más lejos, este ha sido el caso de la Diputación de Cuenca, ya que  la Agencia Española de Protección de Datos, en una resolución la ha sancionado a por utilizar lectores de huellas para controlar los horarios sin otorgar información a los trabajadores sobre el tratamiento de sus datos, y sin realizar la Evaluación de Impacto correspondiente). 

 

Volver al índice

 

La AEPD prohíbe a la Mancomunidad de la Comarca de Pamplona recopilar datos de apertura de contenedores vinculados a domicilios. 

La AEPD ha publicado una resolución, en agosto de 2023, mediante la cual ha establecido que la Mancomunidad de la Comarca de Pamplona carece de legitimación para recoger el número de veces que un domicilio abre la tapa de los contenedores orgánicos o de resto, mediante el sistema de tarjeta de apertura vinculada a los domicilios.  

Dichos contenedores seguirán abriéndose mediante el sistema de tarjetas, pero la información que se obtenga será encriptada para no poder utilizarse, tal y como ha señalado el presidente de la MCP en una rueda de prensa. 

 

Volver al índice

 

Sanciones a dos importantes organizaciones por incumplimientos en materia de Cookies. 

 La AEPD ha emitido dos resoluciones este mes de agosto contra dos empresas de ámbito nacional. En la primera resolución, la sanción se ha fundamentado en que, en el panel de control sobre cookies, si se seleccionaba el botón de “rechazar todas”, la web seguía utilizando cookies de terceros de Google, sin consentimiento del usuario. En el caso de la segunda resolución, la sanción viene fundada en la falta de inclusión en el banner, de un acceso al panel de control que permitiera revocar el consentimiento, o rechazar las cookies aceptadas previamente.  

 R. 23 de agosto: https://www.aepd.es/es/documento/ps-00132-2023.pdf

R. 25 de agosto: https://www.aepd.es/es/documento/ps-00051-2023.pdf

 

Volver al índice

 

Conservación de documentación de identidad tras verificación de identidad. La Comisión de Protección de Datos de Irlanda sanciona a AirBNB 

El pasado 21 de junio de 2023, la Comisión de Protección de Datos de Irlanda emitió una resolución mediante la cual se estableció que la retención por parte de una empresa de una copia del documento de identidad de un usuario, tras la finalización del proceso de verificación de identidad, infringía los principios de minimización de datos y de limitación del plazo de conservación del Reglamento General de Protección de Datos. Por ello, se ha amonestado a la compañía, ordenándole tomar medidas para remediar las infracciones producidas, así como para prevenir infracciones futuras, incluyendo, entre estas medidas, la revisión de políticas internas relacionadas con la verificación del usuario. 

 

Volver al índice

 

“Fraude del CEO”: ¿Es el trabajador responsable de las cantidades defraudadas? Tribunal de Cuentas exige 4 millones de euros en el caso de la estafa a la EMT de Valencia.      

La sección de Enjuiciamiento del Tribunal de Cuentas ha rechazado el recurso de apelación presentado por una extrabajadora de la Empresa Municipal de Transportes de Valencia, condenándola como responsable de un fraude ocurrido en septiembre de 2019. El modus operandi de los estafadores consistió en suplantar la identidad de un abogado de un reconocido despacho, así como del presidente de la EMT, solicitando a la empleada una serie de pagos, habiéndole hecho firmar previamente una supuesta carta de confidencialidad.  

El Tribunal de Cuentas afirma en la resolución que la empleada actuó de manera gravemente negligente y que «asumió funciones que correspondían a otros cargos directivos de la sociedad sin tener atribuidas las competencias«, causando un grave perjuicio a la entidad. No obstante, los responsables de la estafa no han sido encontrados, y el procedimiento penal se mantiene detenido. 

A resaltar la existencia de un voto particular que solicita la absolución de la trabajadora, lo que ha servido para recurrir ante el Tribunal Supremo. Estando actualmente el caso en manos del Supremo, la defensa ha argumentado que la empleada fue engañada, que no actuó de forma dolosa, y que los responsables del fraude serían únicamente los estafadores, y la entidad financiera que permitió los pagos. 

 

Volver al índice

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Quién puede comercializar la icónica botella verde de sidra de Asturias?

El pasado 19 de julio de 2023, el Tribunal Supremo emitió una sentencia por la que se declaró la validez del registro de una marca tridimensional, constituida por la popular forma de la botella de sidra, conocida como botella “molde de hierro. La sentencia, que da la razón a la Asociación de Sidra Asturiana, afirma que la botella posee un conjunto de características que no son atribuibles a la búsqueda de un resultado técnico en la botella, sino que otorgan una apariencia particular, y que permiten que el comprador la asocie a la “Sidra Natural Asturiana, lo que implica que solo podrá utilizarse para envasar sidra natural elaborada en Asturias. 

 

Volver al índice

 

Nueva sentencia en EE.UU. sobre los derechos de autor de las obras generadas por IA. 

La Jueza Beryl Howell del Tribunal Federal de Washington ha confirmado la postura mantenida por la Oficina de Derechos de Autor de EE.UU., de que las obras generadas por IA no pueden estar protegidas por los derechos de autor. Lo novedoso de la sentencia es que pone de relieve la importancia de la autoría humana en una obra, afirmando que se trata de un “Requisito fundamental” para poder obtener la protección que le otorgan los derechos de Propiedad Intelectual, inclusive cuando el solicitante sea el titular de la solución de IA utilizada para la generación del activo que se quiere registrar como obra. 

 

Volver al índice

 

COMPLIANCE

El Tribunal Supremo desestima el recurso de la Agencia Valenciana Antifraude contra la anulación de un estatuto de denunciante protegido.

La Sala de lo Contencioso-Administrativo del Tribunal Supremo ha desestimado el recurso interpuesto por la Agencia Valenciana Antifraude, frente a una sentencia del Tribunal Superior de Justicia de Valencia. Dicha sentencia anulaba el estatuto de denunciante protegido al jefe de urbanismo del Ayuntamiento de Los Montesinos, protección que había sido otorgada por la Agencia en base a una denuncia interpuesta ante un Juzgado de Torrevieja, donde revelaba determinados hechos presuntamente delictivos, en materia urbanística.  

La sentencia establecía que Agencia Anticorrupción solo podía conceder dicho estatuto cuando la denuncia se realizaba frente a la propia agencia, en aplicación de la Ley 11/2016 de la Comunidad Valenciana, de la Agencia de Prevención y Lucha contra el Fraude y la Corrupción. Por su parte, el Tribunal Supremo señala que no puede revisar en casación la interpretación de normativa autonómica realizada por un Tribunal Superior de Justicia, salvo que se trate de una infracción de normativa Estatal o europea. Si bien existe al respecto la Directiva de la UE 2019/1937, de 23 de octubre “Whistleblowing, dicha Directiva no era directamente aplicable debido a que, en el momento de los hechos, no había sido traspuesta todavía al derecho nacional.    

 

Volver al índice

 

 

Responsabilidad penal de la empresa: criterio sobre el beneficio y el debido control. 

Debido a su relevancia en la aplicación de sistemas de Corporate Compliance, destacamos a continuación extracto de la Sentencia 10/2023 de la Audiencia Nacional de 29 de mayo de este año 2023, por la que se analiza el criterio de la audiencia del debido control y el beneficio de la persona jurídica. 

Como es sabido, para que pueda apreciarse la responsabilidad penal de la empresa se deben cumplir los siguientes requisitos:  la comisión de un delito en el seno la persona jurídica por su personal, que el delito se haya producido en beneficio (directo o indirecto) de la empresa y la falta de medidas de control.  A este respecto, la sentencia establece que las personas jurídicas no deben establecer controles sobre todos y cada uno de sus procesos, sino sobre aquellos de los que pueda obtener un beneficio o ventaja por la falta de aplicación de medidas de supervisión. Así, el pronunciamiento judicial dicta lo siguiente: “la organización no puede controlar cualquier acontecimiento que tenga lugar en el desarrollo de su actividad, entendiéndose como un razonable límite exigir únicamente que lo haga con respecto a las conductas que le son estructuralmente beneficiosas quedando excluidas las que ningún beneficio podrían reportarle. Desde otras perspectivas, se ha venido entendiendo que la empresa tenderá a relajar sus controles con relación, precisamente, a aquellos comportamientos que pudieran reportarle beneficios, siendo precisamente ahí donde dichas prevenciones resultarán más necesarias”. Por otro lado, el pronunciamiento no precisa que la persona jurídica obtenga finalmente un beneficio, sino que será suficiente que la corporación rebaje sus controles ante la expectativa de una ventaja o beneficio con independencia de que este llegue a producirse.

 

Volver al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

Aprobado el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial, que se adscribirá al Ministerio de Asuntos Económicos y Transformación Digital, convirtiendo a España en el primer país europeo en tener un órgano de estas características.  

 

Volver al índice

 

Aprobada la norma ISO/TS 37008:2023 para las investigaciones internas de las organizaciones. 

El pasado 28 de julio, se aprobó la ISO/TS 37008:2023, que ofrece orientación sobre las investigaciones internas dentro de las organizaciones, y que será aplicable a todas las entidades, independientemente de su tipo, tamaño, ubicación, estructura o propósito.

 

Volver al índice

 

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 04 – 2023

Protección de datos

 

Propiedad Intelectual e Industrial

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

_______________________________________________________________________________________________________________

 

PROTECCIÓN DE DATOS

 

Protección de datos y ChatGTP

El pasado 30 de marzo la Autoridad de control italiana resolvió limitar el tratamiento de datos que OpenAI L.L.C realizaba en relación con su solución de inteligencia artificial ChatGTP. Dicha limitación en la práctica supuso que OpenAI L.L.C dejara de prestar servicio en territorio italiano. No obstante, a la vista de los compromisos adquiridos por OpenAI L.L.C en el curso del procedimiento, dicha limitación del tratamiento finalizó hace unos días permitiéndose a la sociedad reanudar el tratamiento de datos. 

A raíz de la decisión italiana, varias autoridades de control, entre ellas la española manifestaron su preocupación por los mencionados tratamientos de datos y anunciaron la intención de investigar de oficio los tratamientos de datos que realizan este tipo de soluciones 

Asimismo, dichas autoridades de control solicitaron al Comité Europeo de Protección de Datos (CEPD) abordar este asunto en su pleno del pasado 13 de abril, incluyéndose dentro de la agenda lo que ha dado lugar junto a otros asuntos transnacionales en materia de protección de datos como el de Meta, a que el CEPD haya manifestado que va a poner en marcha un grupo de trabajo específico «para fomentar la cooperación e intercambiar información sobre posibles medidas coercitivas adoptadas por las autoridades de protección de datos«.   

Como reacción a las investigaciones anunciadas, desde la cuenta oficial en Twitter del CEO de OpenAI se ha comunicado que van a implementar nuevas formas de gestionar los datos, entre las que se encuentran: i) la posibilidad de deshabilitar el histórico del chat impidiendo que el mismo sea empleado para entrenar y mejorar el algoritmo; ii) la posibilidad de descargar tus datos y entender qué información conserva ChatGTP sobre ti y iii) la habilitación en la versión Business de ChatGTP de una opción que evite que los datos de los usuarios sean empleados para entrenar al algoritmo por defecto.  

Estas medidas propuestas, si bien son un avance hacia un mayor cumplimiento de la normativa en materia de protección de datos quedan aún lejos de satisfacer las exigencias del RGPD por lo que habrá que esperar a ver si a raíz de las investigaciones anunciadas se implementan nuevos cambios. 

 

Volver al índice

 

Información sobre bajas de empleados

La Agencia Española de Protección de Datos (AEPD) amonesta a la D.G. Guardia Civil por comunicar detalles médicos de un trabajador al superior de éste. Concretamente, desde el servicio médico de dicha institución, se informaba al superior de la cita programada del empleado en el psicólogo.  

La AEPD en este procedimiento señala que el tratamiento resulta excesivo e indica a la entidad que se hubiera podido cumplir la misma finalidad informando sobre la situación de baja médica del empleado sin facilitar más detalles sobre la misma. 

Esta resolución resulta importante al recordar la importancia de que el tratamiento debe ser el idóneo para cumplir con la finalidad. Esto implica que no es posible justificar el tratamiento de cualquier dato si este no resulta imprescindible para satisfacer la necesidad para la cual dicho dato fue recogido, elemento que en la práctica no suele tenerse en cuenta a la hora de configurar formularios o peticiones de información. 

 

Volver al índice

 

Llamadas comerciales: trámite de audiencia sobre el proyecto de circular de la Agencia Española de Protección de Datos 

Con motivo de la próxima entrada en vigor el próximo 29 de junio del artículo 66.1.b) de la Ley 11/2022 General de Telecomunicaciones, la Agencia Española de Protección de Datos ha iniciado el trámite de audiencia  del proyecto de circular sobre la materia. De esta forma, será posible realizar contribuciones al documento hasta el próximo día 22 de mayo. 

 

Volver al índice

 

Publicada la memoria de la AEPD de 2022

A destacar el gran número de reclamaciones que recibe la Agencia que ascienden a más de 40 de media por día.  Aun y todo, la AEPD fue capaz de resolver en el 2022 un total de 14.937 reclamaciones. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Cómo entrenar a mi algoritmo?  

A finales del año pasado se conocían las reclamaciones de varios colectivos de artistas plásticos que solicitaban que sus obras no fueran incluidas en los repertorios empleados para entrenar a los algoritmos de IA existiendo a fecha de hoy varias soluciones que manifiestan proteger las obras alojadas en diversas bases de dicho uso, así como al menos un procedimiento judicial abierto en Estados Unidos sobre este asunto. 

En relación con otras disciplinas artísticas, recientemente se ha conocido que Universal Music Group ha iniciado acciones encaminadas a evitar que las soluciones de inteligencia puedan entrenar sus algoritmos con las canciones de sus artistas y autores. Desde dicha compañía entienden que dicha conducta, así como la finalidad de uso de la misma con el objetivo de crear melodías o letras similares a las creadas por sus artistas o autores supone además de un perjuicio económico, una infracción de la normativa en materia de propiedad intelectual. Así, como primer paso se ha conocido que ha remitido comunicaciones a las principales plataformas de streaming de música solicitándoles que implementen medidas para evitar dicho uso.  

Como indicábamos en varios de nuestros números anteriores la convivencia de las soluciones de inteligencia artificial y las normativas tanto de propiedad intelectual como de protección de datos entre otras, supone un reto importante deberá ir desentrañándose en los próximos años. 

 

Volver al índice

 

NORMATIVA AL DÍA: NORMAS, GUÍAS Y CÓDIGOS  

 

Propuesta de Directiva sobre justificación y comunicación de declaraciones medioambientales (Green-Claims Directive) 

El pasado 22 de marzo se publicó por la Comisión Europea la propuesta de directiva con la que se busca regular el uso en comunicación de alegaciones ambientales. Para ello la propuesta normativa busca prohibir el uso de determinadas alegaciones y establecer los requisitos que deben cumplirse por las empresas para poder incluir determinadas alegaciones ambientales en sus comunicaciones de forma que se evite inducir a error al consumidor sobre el verdadero impacto medioambiental de los productos que adquiere. 

Debe tenerse en cuenta que si bien esta norma está en proceso de promulgación hasta su aprobación resultarán de aplicación los límites generales aplicables a la publicidad engañosa y que exigen al emisor de las alegaciones publicitarias que pueda acreditar la veracidad de las mismas.    

 

Publicada en el BOE la convocatoria de concesión de subvenciones para las solicitudes de patentes y modelos de utilidad españoles y en el exterior para el año 2023. 

 

Volver al índice

 

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 03 – 2023

Protección de datos

 

Propiedad Intelectual e Industrial

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

 


 

PROTECCIÓN DE DATOS

 

La AEPD comprobará la situación de los delegados de protección de datos en las organizaciones. 

En el marco de una acción europea coordinada del Comité Europeo de Protección de Datos con las 27 Autoridades nacionales de Protección de Datos de los países de la UE, la AEPD procederá a un examen de comprobación para averiguar si la situación de los Delegados de Protección de Datos (DPD) en las organizaciones se realiza conforme a los requisitos exigidos por el Reglamento General de Protección de Datos. Examinará las actuaciones de más 30.000 entidades del sector público y privado. En este último, remitirán un cuestionario (diferenciado según sectores: bancario-financiero, energético, telecomunicaciones, sanidad, etc.) que contendrá cuestiones sobre la designación, conocimientos y experiencias de los DPD, pudiendo decidir las diferentes Autoridades sobre acciones adicionales de supervisión. Los resultados generados se publicarán en un informe. 

 

Volver al índice

 

Sanción a empresa por no desactivar el buzón de email de trabajo al finalizar la relación y seguir recibiendo y leyendo el correo electrónico 

La Autoridad Italiana de Protección de Datos ha sancionado a una empresa por la siguiente situación. La empresa creó un buzón de correo para un consultor externo que no era empleado directo. Al finalizar la relación de asesoramiento, y pese a una solicitud expresa del consultor, la empresa no cerró la cuenta de email, sino que accedió a ella, consultó la correspondencia y redirigió los mensajes de los clientes allí alojados a otro email. 

Al investigar el asunto, la Autoridad italiana averiguó que, de un lado, la empresa no había proporcionado al consultor, en su calidad de interesado, la política de privacidad de su compañía, vulnerando el art.13 RGPD (y, además, dicha política no cumplía los requisitos del RGPD). De otro lado, detectó que no se había articulado base legal alguna para el tratamiento de los datos; y aunque mantener las relaciones con sus clientes podría entenderse como un interés legítimo de la empresa, la Autoridad italiana entendía que había métodos menos intrusivos y acordes al principio de minimización (como un mensaje automatizado a los clientes indicando que esa cuenta no funcionaba), por lo que la actuación de la empresa fue intrusiva y desproporcionada.  

 

Volver al índice

 

IA: Actualización de la guía sobre inteligencia artificial por parte del ICO. 

El enfoque dado por la autoridad de protección de datos británica en su actualización de la Guía va en la línea gubernamental favorable a la innovación y la ayuda a las organizaciones en sus deseos de implementar la IA a la vez que protegen a las personas, en especial, a grupos vulnerables. Entre los principales cambios introducidos en la guía destacan: la introducción de un capítulo sobre la transparencia en la toma de decisiones con IA; la agregación de especificaciones en la inferencia de la IA y los datos de categorías especiales y los grupos de afinidad; y una especial incidencia en el principio de equidad en el ciclo de vida de la IA, abarcado desde los enfoques técnicos para minimizar y mitigar el sesgo algorítmico en el procesamiento de los datos personales en la toma de decisiones automatizadas, hasta los aspectos fundamentales de la construcción de las IA . 

 

Volver al índice

 

Videovigilancia. Multa por denegación de acceso a las imágenes grabadas de un parking de vehículos.  

La sanción fue impuesta a una compañía que negó a un usuario el acceso a las imágenes captadas por las videocámaras de un parking de un centro comercial. El usuario las solicitó primero de forma presencial y luego vía electrónica, rechazando la entidad el acceso al aducir que sólo se podía exigir el acceso por personal autorizado o por las autoridades competentes. La Agencia Española de Protección de Datos (AEPD) estima que la negativa incumplió el derecho de acceso del interesado a sus datos contemplado en el art.15 del Reglamento General de Protección de Datos (RGPD).  LA AEPD estima que en este caso se negó incorrectamente dicho derecho al reclamante, bajo la excusa de que sólo el personal autorizado o los cuerpos de seguridad del Estado tiene acceso, siendo obligación de la entidad, en tanto que Responsable del tratamiento, el facilitar el acceso, por lo que estimó su actuación constitutiva de una infracción muy grave. 

 

Volver al índice

 

WhatsApp acepta el pleno cumplimiento de las normas de la UE mediante una mejor información a los usuarios y el respeto de sus decisiones. 

La Comisión Europea publicó el 6 de marzo la aceptación por parte de WhatsApp del cumplimiento íntegro de la normativa comunitaria, en el que la compañía de mensajería manifestaba ofrecer mayor transparencia en las condiciones de servicio. Entre los compromisos digitales asumidos, se encuentran permitir a los usuarios rechazar las condiciones de servicio de forma tan visible como la de aceptarlas; garantizar que las notificaciones sobre las actualizaciones se puedan rechazar o retrasar; respetar las opciones de los usuarios, y no enviar notificaciones recurrentes. Así mismo, la compañía de mensajería confirmó que no intercambiaba sus datos ni con terceros, ni con otras empresas del grupo Meta (tales como Facebook) con fines publicitarios. No obstante, la Red de Cooperación para la Protección de Consumidores vigilará que WhatsApp cumpla los compromisos adquiridos, pudiendo imponer multas. 

 

Volver al índice

 

Sanción de 100.000€ por escanear el DNI a la entrega de un paquete para verificar la identidad. 

La Agencia Española de Protección de Datos ha sancionado a una operadora de telecomunicaciones por dar la instrucción a la empresa de mensajería de escanear el DNI del destinatario del paquete en el momento de la entrega para verificar la identidad del destinatario. La AEPD entiende que hay otros procedimientos menos invasivos para verificar la identidad del destinatario “sin que sea necesario fotografiar su DNI” ya que el documento contiene muchos otros datos adicionales a los estrictamente necesarios para identificar al destinatario (ej. lugar de nacimiento). Se recuerda por tanto la importancia de respetar el principio de minimización de datos diseñando los procedimientos de forma tal que únicamente se recojan aquellos datos estrictamente necesarios. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

La razón por la que Toblerone tendrá que dejar de usar la icónica imagen del monte Cervino. 

Mondelez, la empresa productora y distribuidora del famoso dulce de chocolate Toblerone, no podrá usar la imagen del monte Cervino ubicado en los Alpes Suizos. La razón de este cambio se debe a que el propietario de la empresa, ha decidido trasladar la producción de las tabletas fuera de Suiza, en concreto a la ciudad de Bratislava en Eslovenia. 

La Swissness Act que fue aprobada en Suiza en 2017, establece un régimen muy restrictivo en lo que al uso de símbolos nacionales se refiere. Así, la mencionada normativa recoge por ejemplo que los productos que aseguren ser “hechos en Suiza” deberán estar elaborados al menos con un 80% de materias primas que provengan de este país y en el caso de la leche y productos lácteos, en un 100%. 

La decisión de trasladar la producción fuera del país que ha tomado la empresa, les prohíbe seguir usando la silueta del monte Cervino que llevan utilizando desde la década de 1920. Sin embargo, la empresa ha decidido usar un logotipo de montaña más genérico y moderno. Además, en vez de explicar que es un producto “hecho en Suiza”, se advertirá que está “establecido en Suiza”; lugar desde donde se distribuye desde los inicios de la compañía. 

En el caso descrito la imposibilidad de emplear el monte suizo viene impuesta por una normativa específica, pero debe tenerse en cuenta que el uso de elementos territoriales en el etiquetado de productos a nivel europeo debe respetar la normativa vigente en cada caso debiendo evitarse producir error en el consumidor receptor con respecto al origen de real del producto o sus ingredientes. 

 

Volver al índice

 

NORMATIVA AL DÍA: NORMAS, GUÍAS Y CÓDIGOS  

 

Entra en vigor la Ley 2/2023 de protección al denunciante.

El día 13 de marzo entró en vigor la ley destinada a ofrecer protección a las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Esta ley obliga a las personas jurídicas del sector privado con 50 o más trabajadores, a los partidos políticos y sindicatos, y a todas las empresas del sector público; a contar con un Sistema interno de información para la denuncia de irregularidades, y no será suficiente con tener un buzón interno de comunicaciones.  

Estos sistemas, deben contar con medidas técnicas que permitan garantizar la confidencialidad, seguridad y protección de datos del informante y aquellas partes involucradas en el proceso. De igual manera, los sistemas deberán estar soportados por políticas y procedimientos internos alineados con los requisitos establecidos en la norma.  

Conforme a lo expuesto, las medidas que se deben adoptar para adecuarse a los sistemas de información requeridos, se establece un plazo máximo de tres meses; y para las entidades jurídicas de 249 trabajadores o menos hasta el 1 de diciembre de 2023. Las sanciones por el incumplimiento de esta norma son multas de hasta 300.000 euros para las personas físicas y de 1.000.000 de euros para las personas jurídicas. 

 

Volver al índice

 

Aprobación del RD 176/2023 por el que se desarrollan entornos seguros de juego. 

El día 15 de marzo se publicó en el BOE un Real Decreto que pretende implementar medidas destinadas a la prevención de conductas adictivas en el sector del juego y proteger a las personas consumidoras de dichos servicios, en especial, a los grupos de riesgo, imponiendo a las empresas del sector un marco comercial de consumo saludable. 

El RD introduce una nueva categorización de los participantes, definiendo categorías como “clientela privilegiada” (las que por volumen de gasto son objeto de atención especializada), “participantes jóvenes” (menores de 25 años), “participantes con comportamiento de juego intensivo” (con pérdidas de 600€ en tres semanas seguidas, 200€ en caso de los jóvenes) y “participantes vulnerables o grupos de riesgo”. 

La ley entrará en vigor el 15 de septiembre de 2023, fecha en la que las empresas del juego tendrán que haber dado de baja los servicios de atención especializada que reciba la clientela privilegiada joven; el resto de obligaciones entrarán en vigor el 15 de marzo de 2024. Entre estas últimas obligaciones destacan la prohibición de actividades promocionales a participantes jóvenes, limitaciones en los medios de pago a los participantes con comportamiento intensivo, límites a los importes en apuestas en directo, establecimiento previo del tiempo y cantidad máxima a emplear en una sesión de juego, etc . Entre otras medidas, prevé que los operadores designen un “Responsable del juego seguro”, figura compatible con el desempeño de otras tareas en la organización (salvo una dependencia directa con el departamento de marketing). Su función será supervisar las políticas de juego seguro del operador, elaborando un plan de medidas activas y una memoria anual. Así mismo, prevé la inclusión en las webs y aplicaciones de los operadores de información sobre “juego seguro” y las medidas específicas destinadas a implementarlos (facultades de autoprohibición o autoexclusión, limitación de cantidades y tiempos, etc.). 

Estas medidas deben ser puestas en relación con el régimen sancionador de la Ley Reguladora del Juego, que contempla como infracciones graves incumplir las obligaciones de juego responsable, en cuantía de entre 100.000 y 1 millón de euros, y suspensión de actividad de hasta 6 meses. 

 

Volver al índice

 

Emprender en industrias culturales, creativas y audiovisuales

ARPA Abogados Consultores participa, un año más, en una nueva convocatoria del curso «Emprender en industrias culturales, creativas y audiovisuales» promovida por el Servicio Navarro de Empleo-Nafar Lansare (SNE-NL) y la Dirección General de Cultura.

Se trata de una acción formativa que tiene como objetivo promover actividades y empresas culturales y creativas, analizando las oportunidades existentes en la zona, generando proyectos reales y gestionándolos de una manera viable. El curso sirve de apoyo a potenciales emprendedores en este ámbito para impulsar y gestionar sus proyectos con garantías de calidad y éxito.

Se desarrollará los lunes, martes, miércoles y jueves de 09:15 a 13:30 horas y las tardes de lunes y miércoles de 16:15 a 19:15, y contará con Estefanía Nicolás, Ana Belén Albero, Rubén León, Joseba Carricas, Iranzu Velasco, Carlos Mangado, Xabi González y María Tellechea y con nuestros compañeros Fernando Armendáriz, David Asín y Candela Martínez como docentes.

Con capacidad para 15-20 alumnos, el curso está destinado a personas con inquietudes o trayectorias laborales en los siguientes sectores creativos o de producción y gestión cultural: artes gráficas, visuales (galerías, exposiciones) y escénicas (danza, teatro y circo); diseño (moda, productos, espacios); producción de espectáculos y eventos; animación, servicios y contenidos web o videojuegos; industria musical; producción audiovisual, cine, radio, publicidad, video, fotografía, televisión, transmedia o edición (libro, prensa, etc.).

En un formato práctico de 180 horas de duración repartidas a lo largo de 8 semanas, entre el 31 de enero y el 23 de marzo, se realizará un recorrido a través de diferentes módulos sobre conocimientos en estrategia, emprendimiento y plan de empresa; desarrollo comercial, marketing y comunicación; enfoque económico-financiero; análisis y desarrollo de prototipos para la mejora de programas existentes, así como varias sesiones de sistematización aprendizajes y works presenciales

El curso tendrá lugar en la Agencia Integral de Empleo de Iturrondo en Burlada

Las personas interesadas pueden inscribirse a través de la web de formación del SNE-NL y, posteriormente, se realizará una selección si las inscripciones realizadas exceden del número de plazas.

 

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- nº5

Desde el Área de Protección de Datos y Seguridad de la Información le informamos de las últimas noticias de actualidad por si pudieran ser de su interés.

 

  • Principio de acuerdo entre UE y EE.UU. relativo a las transferencias internacionales de datos

Se ha conocido recientemente un principio de acuerdo político entre EE.UU. y UE relativo a la definición de un nuevo marco legal que facilite las trasferencias internacionales de datos.  Al respecto hay que recordar que los dos marcos anteriores, esto es el acuerdo de Puerto Seguro (Safe Harbor) y el Escudo de Privacidad” (Privacy shield) fueron anulados por el Tribunal de Justicia de la UE por considerarlos que no eran conformes con la normativa de protección de datos.  Veremos si en esta tercera ocasión se logra dotar a estas transferencias de un marco legal, estable y duradero.

The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.

Más información

 

 

  • Canales de denuncia: obligatoriedad de contar con un delegado de protección de datos

Las organizaciones que implementen bien voluntariamente o por exigencia legal un canal de denuncias deberán contar con un delegado de protección de datos. Así al menos se recoge en el anteproyecto de Ley que transpone la Directiva (UE) 2019/1937 relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión.  En dicho anteproyecto se recogen varias cuestiones relativas al tratamiento de datos realizados en el marco de estos sistemas de información como por ejemplo los plazos de conservación aplicables o la necesidad de anonimizar las denuncias que no se haya dado.

Más información:

 

  • Patrones Oscuros (Dark Patterns) en el diseño de interfaces de usuario

El Comité Europeo de Protección de Datos ha publicado una interesantísima y detallada propuesta de guidelines sobre “patrones oscuros” (“Dark patterns”) en redes sociales. A los efectos del documento se entienden como patrones oscuros aquellas interfaces y experiencias de usuario implementadas en plataformas de redes sociales que llevan a los usuarios a realizar acciones no intencionadas, involuntarias y decisiones potencialmente dañinas con respecto al tratamiento de sus datos personales.”  Así las cosas se examina por ejemplo patrones como “Overloading” (por ejemplo, mediante continua petición a los usuarios de solicitud de información, opciones para que compartan o autoricen tratamientos de datos),  “Fickle” ( por ejemplo, cuando el interface es inconsistente y genera dificultades en el usuario para la navegación entre las opciones de privacidad) o  “Stirring” (cuando, por ejemplo, se juega con cuestiones emocionales de los usuarios para determinados tratamientos).

Más información

 

 

 

El consentimiento como base legal del tratamiento

      Candela Martínez Arellano

A raíz de la reciente resolución (PS/00500/2020) publicada el 21 de octubre de 2021 por la Agencia Española de Protección de Datos (en adelante la Agencia), frente a un tratamiento realizado por CAIXABANK, CONSUMER FINANCE, EFC (en adelante Caixabank) sobre la base del consentimiento, se vuelve a poner el foco en la importancia de recabar correctamente el consentimiento de los interesados.

Para que un tratamiento se entienda correctamente consentido por el interesado el mismo debe haberse consentido de forma libre, específica, informada e inequívoca. Si bien estos adjetivos parecen sencillos de cumplir, se está viendo que en la práctica su cumplimiento resulta complejo, en la medida en que deben conjugarse diversos elementos.

Así, por ejemplo, no se entiende que las casillas premarcadas, o la inacción puedan entenderse como un consentimiento válidamente prestado toda vez que no se entiende como una aceptación expresa e inequívoca del tratamiento. Del mismo modo, debe observarse la exigencia de especificidad del consentimiento lo que implica que se tiene que articular con la granularidad que sea necesaria dependiendo del número de finalidades, no siendo posible agrupar varios tratamientos distintos en un solo consentimiento. Finalmente, con respecto a la necesidad de que el consentimiento sea “informado” nos deberemos asegurar de que el interesado entienda el tratamiento para el cual le estamos pidiendo el consentimiento para lo cual “deberá emplearse una formulación inteligible y de fácil acceso, que emplee un leguaje claro y sencillo y que no contenga cláusulas abusivas”.  

En la resolución frente a Caixabank se analizan en detalle dos de las mencionadas características, la obligación de que el consentimiento sea informado y que se otorgue de forma específica.

Empezando por el deber de obtener un consentimiento informado, la Agencia tras analizar la información que se facilita al interesado sobre el tratamiento objeto de controversia – la realización de perfilados por parte de Caixabank a sus clientes en el contexto de su actividad comercial – concluye que la misma “no aporta al interesado suficiente información como para que este pueda conocer el alcance de los tratamientos de perfilado que se llevan a cabo”

En este sentido resulta interesante señalar que Caixabank manifiesta que ha realizado un estudio de comprensión de las cláusulas con sus clientes, aunque al no aportar informes o resultados sobre el mismo dicha prueba no es objeto de análisis por la Agencia. Sin embargo, de la lectura de la resolución no parece rechazarse este medio de prueba lo que puede resultar útil a la hora de redactar cláusulas cuya complejidad exija un testeo previo.

Por otro lado, la Agencia entiende que no se permite al interesado configurar correctamente su consentimiento en la medida en que los tratamientos están agrupados y no se facilita la posibilidad de consentir unas finalidades sí y otras no.

Este requisito suele ser el más vulnerado en la medida en que resulta habitual que se agrupen distintos tratamientos con el ánimo, en ocasiones, de enmascarar aquellos que pueden generar rechazo en el interesado por diversas razones.

La lectura que debe sacarse de la resolución es la necesidad por una parte de analizar la efectiva concurrencia del consentimiento como base legal y por otra la necesidad de que el mismo se ajuste a los requisitos que marca la normativa. En este sentido se recomienda huir de redacciones genéricas y apostar por realizar aproximaciones transparentes que den confort al responsable en relación con los tratamientos y que garanticen registros de mayor calidad.

En caso de duda sobre la corrección legal de tus fórmulas de consentimiento ponemos a tu disposición a nuestros profesionales en materia de protección de datos quienes analizarán tus tratamientos y te propondrán las fórmulas que mejor se ajusten a la legislación vigente y a tus necesidades.

 

 

Jornada: “El control del dato sensible”

¿Y si tus datos fueran de nube en nube? ¿Y si se convirtieran en lluvia?

El próximo jueves 28 de octubre, nuestro compañero Álvaro Abáigar (asociado y director del Dpto. de Nuevas Tecnologías y Propiedad Intelectual e Industrial) junto con otros expertos en la materia de ATECNA dialogarán sobre los datos sensibles que se manejan en la era digital.

La jornada tendrá lugar en la sede de ATECNA en horario de 9:00 a 11:00 h y se abordarán las siguientes cuestiones.

  • Ubicación y transferencia internacional de datos.
  • Periodos de conservación.
  • Protocolos ante incidentes de seguridad.
  • Datos biométricos. Estado legal.

 

Si está interesado, puede inscribirse en el siguiente enlace: https://bit.ly/2YVLZvq

Plazas limitadas

Propiedad intelectual y la aventura de emplear elementos de terceros

Una cuestión recurrente con la que suelen enfrentarse los creadores de propiedad intelectual es la posibilidad de emplear obras preexistentes y las limitaciones o consecuencias que dicho uso puede tener en la explotación de su obra final.

En relación con este tema, hace un tiempo saltó la polémica en Twitch al silenciarse la música de los videojuegos cuyas partidas grabadas se compartían a través de dicha red social. Pues bien, la polémica parece haber vuelto a resurgir ya que varios usuarios han visto como un tramo de audio de sus videos en el que aparece una pista de audio, a primera vista común (sonidos de pájaros, sonidos de sirenas de policía…) es silenciado por la plataforma porque los titulares de derechos sobre las mismas han puesto de manifiesto que el usuario no dispone de licencia suficiente para el uso de dichos audios.

Debe recordarse que los derechos de propiedad intelectual nacen en cabeza del autor por el mero hecho de la creación de la obra, esto es, cuando se plasman en un soporte tangible. Así, pues las “creaciones originales literarias, artísticas o científicas expresadas por cualquier medio o soporte, tangible o intangible, actualmente conocido o que se invente en el futuro” serán susceptibles de protección por la normativa de propiedad intelectual, aunque a primera vista podamos entender al emplear dicho elemento, que éste no es digno de dicha protección tal y como les está ocurriendo a algunos usuarios de Twitch.

Esta situación resulta especialmente relevante en el caso de creaciones que incluyan o puedan incluir diversas obras o elementos preexistentes y/o de terceros tales como por ejemplo un software, una obra audiovisual o un mashup de varios fragmentos de canciones ya que, a la hora de explotar, ceder o licenciar la obra final se deberá poder asegurar que se dispone de los derechos suficiente para hacer uso de la misma o, en el caso de no disponer de los mismos, estar en disposición de advertir de las distintas licencias bajo las cuales se liberan los elementos que no son titularidad del autor de la obra final.

Para poder obtener claridad, es preciso realizar una labor analítica y en ocasiones arqueológica sobre los elementos que la componen y las condiciones bajo las que dichos elementos se han accedido por el creador y se facilitan al usuario final. Este ejercicio aporta un gran valor al proyecto final y es una herramienta valiosa de cara a la eventual explotación comercial de la obra final ya que el nivel de garantía y transparencia que se otorga al inversor, cliente o usuario es muy elevado permitiéndole conocer de antemano las eventuales limitaciones con las que se puede encontrar evitando así una controversia futura.

Esta labor analítica y eventualmente de obtención de derechos debe realizarse de forma ordenada, siguiendo una metodología y un proceso estructurado de forma que sea repetible en el caso de incorporarse nuevos elementos a la obra final que exijan la realización de un nuevo análisis. Asimismo, resulta esencial que el proceso quede documentado y accesible de manera que pueda ser fácilmente revisado por terceros en el caso de resultar necesario.

Contar con asesoramiento especializado en la materia puede simplificar el proceso de análisis de la obra final, determinando y coordinando la obtención de derechos, al mismo tiempo que puede contribuir, si se introduce en fases tempranas de la creación, a reducir eventuales costes futuros derivados de la necesidad de obtener licencias de terceros.

En ARPA contamos con profesionales especializados en materia de propiedad intelectual con amplia experiencia en la auditoría de obras de propiedad intelectual y en el análisis de la compatibilidad entre licencias.

 

 

Guía práctica para empresas y autónomos sobre la crisis del coronavirus.

En el contexto de la crisis sanitaria provocada por el COVID-19 desde ARPA Abogados Consultores, hemos considerado útil elaborar una lista de preguntas frecuentes relativas al efecto que las medidas adoptadas pueden tener en los siguiente ámbitos a raíz de la declaración del estado de alarma:

Este artículo se irá actualizando y modificando en función de las medidas que vayan adoptando las diferentes autoridades competentes.

 

 

Asimismo, les recordamos que tienen a su disposición un REPOSITORIO con la información actualizada sobre el COVID en el siguiente enlace y que estamos a su disposición para cualquier duda que se les pudiera plantear.

 

 

Retos legales del teletrabajo, protección de datos y transformación digital.

¿Puedo tomar la temperatura a mis clientes? ¿Qué información sobre su salud les puedo pedir?  ¿Puedo utilizar biometría facial para el acceso al centro de trabajo? ¿Cómo puedo regular el teletrabajo? ¿Puedo imponer una app para regular sus movimientos y actuar en caso de contagio en el centro de trabajo?…

Estas son algunas de las principales cuestiones de actualidad e interés que afectan a las organizaciones en materia de teletrabajo y protección de datos que han surgido como consecuencia de la crisis sanitaria ocasionada por la COVID-19 y que nuestro compañero Álvaro Abaigar, director del Departamento de Nuevas Tecnologías y Propiedad Intelectual e Industrial en ARPA Abogados Consultores abordará el próximo 26 de mayo en un webinar organizado por la Asociación de la Industria Navarra (AIN)  y que tendrá lugar de 10:00 a 11:15 h.

Asimismo, durante la sesión, se abordará el uso y gestión de los certificados digitales y la validez legal de las plataformas de firma de documentos.

 

 Programa de la jornada

  1. Introducción.

  2. Teletrabajo en tiempos de COVID-19

    • Políticas de uso de medios digitales.

    • Desconexión digital

    • Confidencialidad.

    • Brechas de seguridad.

    • Adopción de medidas de seguridad.

  3. La relación con los trabajadores: cuestiones de actualidad.

    • Control de temperatura: cámaras térmicas.

    • Biometría facial y huella biométrica

    • Aplicaciones de detección de infectados.

    • Geoposicionamiento.

  4. Relaciones con clientes: cuestiones de protección de datos bajo el COVID-19.

  5. Retos de transformación digital

    • Certificados digitales y soluciones de firma. 

 

El curso esta 100% subvencionado. Si está interesado en inscribirse, puede hacerlo a través del siguiente enlace.

 

Suscríbete a nuestra newsletter

He leído y acepto la Política de Privacidad
X