Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: ‘protección de datos’

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 10- 2025

Publicado el 03-12-2025
Protección de datos y seguridad de la información
 
Cumplimiento normativo

 

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

La AEPD multa a AENA con 10 millones por una evaluación de impacto incorrecta de su sistema de reconocimiento facial. 

La Agencia Española de Protección de Datos (AEPD) ha impuesto a AENA una multa de 10 millones de euros por infringir el artículo 35 del RGPD, al poner en marcha su sistema de reconocimiento facial en varios aeropuertos sin haber realizado y superado una evaluación de impacto correcta de acuerdo a la normativa. Según la resolución, AENA inició y mantuvo el tratamiento de datos biométricos pese a contar con informes desfavorables de la AEPD y sin garantizar un análisis suficiente de necesidad, proporcionalidad y riesgos, a pesar de tratar datos de categoría especial y ampliar de forma significativa la cantidad de información personal almacenada. La Agencia destaca además que el sistema implantado almacenaba más datos de los estrictamente necesarios y que existían alternativas menos intrusivas para la verificación de identidad de los pasajeros. 

Además de la sanción económica, la AEPD ha ordenado la suspensión temporal de todo tratamiento de datos biométricos, incluida la identificación por reconocimiento facial en los aeropuertos gestionados por AENA, hasta que la entidad lleve a cabo una evaluación de impacto conforme al artículo 35 del RGPD. 

 

Volver al índice

 

 

Guía de cifrado para autónomos y pymes.  

La Agencia Española de Protección de Datos (AEPD) ha publicado una Guía de cifrado para autónomos y pymes, un documento práctico que ofrece orientaciones y soluciones concretas para aplicar el cifrado en actividades cotidianas como el envío de correos electrónicos, el almacenamiento en la nube o la protección de dispositivos. 

La guía, basada en casos reales de brechas de datos notificadas a la Agencia, muestra cómo la ausencia de medidas de seguridad puede derivar en accesos no autorizados, pérdidas de información o divulgaciones accidentales, y destaca que el cifrado es esencial para salvaguardar la confidencialidad, integridad y disponibilidad de los datos personales. Además, subraya la importancia de principios como la minimización de datos y recuerda que el RGPD exige evaluar los riesgos del tratamiento e implementar medidas para mitigarlos. 

 

Volver al índice

 

Ómnibus digital: Nuevo paquete digital de la EU para simplificar normas y reducir cargas a las empresas.  

La Comisión Europea ha presentado un paquete digital destinado a simplificar la normativa tecnológica y reducir de forma significativa las cargas administrativas para las empresas de la Unión Europea. Entre las principales medidas figura el ómnibus digital, que simplifica y armoniza las reglas sobre inteligencia artificial, ciberseguridad y protección de datos, incluyendo una aplicación más flexible del Reglamento de IA, requisitos técnicos más livianos para pymes y la creación de espacios controlados de pruebas a escala europea. El paquete también incorpora una ventanilla única para la notificación de incidentes de ciberseguridad, ajustes específicos del RGPD orientados a clarificar y unificar criterios sin debilitar la protección de datos, así como cambios en las políticas de cookies destinados a reducir la frecuencia de los avisos y facilitar la gestión del consentimiento. 

Asimismo, se refuerza el acceso y uso de datos mediante la consolidación de la normativa vigente en un único Reglamento de Datos, la introducción de exenciones para pymes en los cambios de proveedor en la nube y el establecimiento de nuevas cláusulas contractuales tipo para facilitar el cumplimiento normativo. Junto a estas medidas, la nueva Estrategia de Datos de la UE ampliará el acceso a datos de alta calidad para aplicaciones de IA y reforzará la protección frente a fugas internacionales. Finalmente, la cartera digital europea para empresas permitirá digitalizar la firma, el intercambio seguro de documentos y los trámites transfronterizos, contribuyendo a una actividad empresarial más ágil y uniforme en toda la Unión. 

 

Volver al índice

 

 

Nota informativa de la AEPD sobre la baliza V16 obligatoria. 

La Agencia Española de Protección de Datos (AEPD) ha publicado una nota informativa para aclarar el funcionamiento de la baliza V16, cuyo uso será obligatorio en los vehículos a partir de 2026. El documento explica que este dispositivo envía automáticamente a los sistemas de tráfico la ubicación del vehículo detenido junto con un identificador técnico que no permite identificar al conductor ni se vincula a la matrícula, ya que no existe ningún registro que relacione la baliza con su titular. Además, su adquisición no requiere facilitar datos personales, por lo que la Dirección General de Tráfico tampoco conoce quién compra cada dispositivo. La AEPD añade que la baliza no transmite información mientras está apagada y que, incluso cuando se activa en una emergencia, la señal solo se emite durante ese momento, sin generar historiales de movimientos ni envíos continuos de datos. 

 

Volver al índice

 

AEPD publica su política interna de IA 

La Agencia Española de Protección de Datos (AEPD) ha hecho pública su “Política general interna para el uso de IA generativa”. El documento establece criterios sobre casos de uso administrativos, análisis de riesgos, transparencia, explicabilidad, tratamiento de datos personales y supervisión humana, e incorpora procedimientos de aprobación, revisión, gestión de incidentes y actualización continua. 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

 

La Comisión Europea lanza una herramienta para denunciar infracciones de la ley de IA. 

La Comisión Europea ha puesto en marcha una nueva herramienta de denunciantes para la Ley de Inteligencia Artificial (IA), creada para que cualquier persona pueda informar de forma segura y confidencial sobre posibles infracciones de esta normativa que pongan en riesgo derechos fundamentales, la salud o la confianza pública. El sistema permite enviar información en cualquiera de los idiomas oficiales de la UE y garantiza la máxima protección de los datos gracias a mecanismos de cifrado certificados. Además, incorpora un canal de comunicación bidireccional que ofrece al denunciante actualizaciones sobre el estado de su informe y la posibilidad de responder de manera anónima a las consultas adicionales de la Oficina de IA, el organismo especializado de la Comisión encargado de supervisar el cumplimiento de la normativa. 

 

Volver al índice

 

El Gobierno impulsa reformas laborales para reforzar la protección de las personas informantes 

El Ministerio de Trabajo y Economía Social ha presentado un anteproyecto de ley que modifica el Estatuto de los Trabajadores y la Ley reguladora de la Jurisdicción Social con el fin de fortalecer las garantías frente a represalias a quienes comuniquen infracciones en el marco de la Ley 2/2023 de protección de informantes. 

La reforma incorpora expresamente la nulidad de cualquier medida empresarial —incluidos despidos, decisiones durante el periodo de prueba o actos de discriminación— cuando estén vinculadas a la comunicación de irregularidades a través de los canales internos o externos previstos en la normativa. También se declaran nulas las órdenes de discriminar y cualquier trato desfavorable derivado de la revelación de información. 

La iniciativa busca reforzar la seguridad jurídica y asegurar un marco efectivo de indemnidad, alineado con la Directiva Whistleblowing y con el reciente despliegue de la Autoridad Independiente de Protección del Informante. 

 

 

Volver al índice

 

Reforma del Código Penal para incorporar los nuevos delitos por vulnerar sanciones de la UE. 

El Gobierno ha presentado el Proyecto de Ley Orgánica que modifica el Código Penal con el fin de transponer la Directiva (UE) 2024/1226, de 24 de abril de 2024, relativa a la definición de los delitos y las sanciones por la vulneración de las medidas restrictivas de la Unión Europea. Esta reforma busca reforzar la capacidad del Estado para perseguir de manera efectiva las infracciones vinculadas a sanciones europeas, armonizando el marco penal español con las exigencias comunitarias. La regulación de los nuevos delitos prevé la responsabilidad penal de las personas jurídicas, lo que implicará la necesidad de que las organizaciones actualicen sus análisis de riesgos y sistemas de cumplimiento. 

La iniciativa se tramita por el procedimiento de urgencia y actualmente se encuentra en la Comisión de Justicia, en fase de presentación de enmiendas, cuyo plazo se ha prorrogado hasta el 3 de diciembre de 2025. 

 

Volver al índice

 

Día del Compliance Officer de ASCOM. 

El pasado 25 de noviembre, ARPA Abogados Consultores estuvo presente en una nueva edición del Día del Compliance Officer, organizado por ASCOM en Madrid, a la que asistió nuestro compañero Jorge Arellano Garisoain. El encuentro, abordó los principales retos que marcan la evolución del compliance en España, con sesiones dedicadas a la responsabilidad corporativa, protección de informantes, protección de datos, inteligencia artificial, gestión de crisis y sostenibilidad. Este evento, referente para la comunidad de cumplimiento, volvió a poner de manifiesto la importancia de compartir conocimiento y reforzar la cultura ética en las organizaciones ante un panorama regulatorio en constante transformación. 

 

Volver al índice

 

 

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 10- 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 9- 2025

Publicado el 07-11-2025
Cumplimiento normativo

 

Protección de datos y seguridad de la información

 

 

CUMPLIMIENTO NORMATIVO

 

La AIPI actualiza su web y habilita su canal externo de información  

La Autoridad Independiente de Protección del Informante (AIPI) ha habilitado en su página web el canal externo de información, a través del cual cualquier persona física puede comunicar acciones u omisiones incluidas en el ámbito de aplicación de la Ley 2/2023, ya sea directamente o tras haber acudido previamente al canal interno correspondiente. La AIPI recuerda que el canal interno de información, gestionado por el propio organismo o empresa, es el cauce preferente para presentar informaciones, aunque el canal externo se mantiene disponible para aquellos casos en los que el informante tema represalias o considere que su comunicación no será atendida adecuadamente. 

Asimismo, la AIPI ha incorporado en su página web un apartado específico relativo al Responsable del Sistema de Información. Aunque todavía no es posible registrarse, la Autoridad ha precisado que el plazo de dos meses para comunicar el nombramiento del Responsable del Sistema interno de información, comenzará a computarse una vez se publique en su portal el formulario específico de notificación. Por otro lado, cabe destacar que la web de la AIPI adelanta la puesta en marcha de una nueva función consistente en el desarrollo de un sistema de inspección de canales de información, cuyo objetivo será verificar que cumplen con lo establecido en la Ley 2/2023. Esta función se concretará mediante la próxima aprobación de una circular específica. 

 

Volver al índice

 

El Tribunal Constitucional amplía la protección frente a las represalias laborales 

La Sentencia del Tribunal Constitucional 148/2025, de 23 de octubre, reconoce que las represalias empresariales contra un trabajador que presenta una reclamación ante el Comité de Empresa pueden vulnerar la garantía de indemnidad, como manifestación del derecho a la tutela judicial efectiva (art. 24.1 CE). En el caso analizado, un trabajador fue despedido tras trasladar al Comité de Empresa una queja por la modificación de su cuadrante de guardias. Aunque en primera instancia se declaró la nulidad del despido, el Tribunal Superior de Justicia lo calificó de improcedente, al considerar que la actuación del trabajador no estaba amparada por dicha garantía al no tratarse de una reclamación judicial o administrativa formal. 

El Tribunal Constitucional corrige este criterio y amplía la interpretación de la garantía de indemnidad, estableciendo que también quedan amparadas por el derecho a la tutela judicial efectiva las reclamaciones efectuadas ante la representación legal de los trabajadores cuando constituyen un medio legítimo de defensa de los derechos laborales o un mecanismo de resolución extrajudicial de conflictos. En consecuencia, el Tribunal considera que el despido constituyó una represalia directa contra el ejercicio legítimo del derecho de defensa del trabajador, por lo que declara la nulidad del despido y restablece la protección frente a cualquier acto empresarial que pretenda castigar o disuadir la comunicación de conflictos laborales a los órganos de representación de los trabajadores. 

 

Volver al índice

 

Responsabilidad penal de la persona jurídica: el Supremo refuerza la exigencia de prueba del defecto organizativo 

 La reciente jurisprudencia del Tribunal Supremo reafirma una interpretación restrictiva y garantista del artículo 31 bis del Código Penal, al subrayar que la responsabilidad penal de las personas jurídicas no puede derivarse automáticamente de la comisión del delito por una persona física.  

En este sentido, la STS 768/2025, de 25 de septiembre, constituye un ejemplo paradigmático de esta línea doctrinal, al absolver a la mercantil pese a la condena de su administradora por un delito continuado de estafa. El Alto Tribunal concluye que “no basta para condenar a la persona jurídica acreditar el delito de la persona física; ningún defecto organizativo se alega ni se acredita”, reforzando así la idea de que la culpabilidad corporativa exige la existencia acreditada de un defecto estructural en los mecanismos de control, vigilancia o supervisión, rechazando cualquier tipo de responsabilidad objetiva o vicaria. En coherencia con su doctrina consolidada desde la STS 154/2016, y reiterada en las STS 668/2017 y 949/2022, el Tribunal insiste en que “la responsabilidad de la persona jurídica no es objetiva ni vicaria, sino que debe fundarse en la existencia de un incumplimiento grave de los deberes de supervisión”, enfatizando la obligación del Ministerio Fiscal de acreditar positivamente ese incumplimiento. 

En la misma línea, la STS 836/2025, de 14 de octubre, precisa que la persona jurídica solo puede ser condenada cuando el delito cometido por la persona física haya sido posible “por la ausencia de una cultura de respeto al Derecho, manifestada en formas concretas de vigilancia y control del comportamiento de sus directivos y subordinados”. En consecuencia, advierte que “la persona jurídica no es responsable penalmente de todos y cada uno de los delitos cometidos en el ejercicio de actividades sociales y en su beneficio directo o indirecto”, sino únicamente cuando se demuestre un incumplimiento efectivo de los deberes de supervisión y control. 

 

 

Volver al índice

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Certificación en materia de privacidad: ISO 27701 

Se ha publicado recientemente la actualización de la norma internacional ISO/IEC 27701:2025, titulada “Seguridad de la información, ciberseguridad y protección de la privacidad — Sistemas de gestión de la información sobre privacidad — Requisitos y orientaciones”.  Una de las novedades más destacables es la posibilidad de certificarse en esta norma sin depender de la ISO 27001. 

 En todo caso merece la pena indicar que esta nueva edición actualiza y amplía las directrices para la creación, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Información de Privacidad (PIMS), ofreciendo un marco sólido que permite a las organizaciones demostrar responsabilidad, gestionar riesgos y cumplir con regulaciones como el Reglamento General de Protección de Datos.  

 

Volver al índice

 

EDPB avala —con cautelas— la prórroga de la adecuación de Reino Unido para las transferencias internacionales de datos. 

Como bien es sabido, desde la salida del Reino Unido de la UE, todo flujo de datos de carácter personal entre la UE y Reino Unido constituye una transferencia internacional de datos (arts. 44 y ss. RGPD). Dicha transferencia ha estado amparada en una decisión de adecuación mediante la cual se reconoce que el nivel de protección ofrecido por el Reino Unido es esencialmente equivalente al de la UE. No obstante, esta decisión tiene carácter temporal y debe ser renovada periódicamente. 

En ese contexto, el Comité Europeo de Protección de Datos (EDPB), ha emitido la Opinión 26/2025 en el que se muestra favorable al borrador de la Comisión Europea para renovar la decisión de adecuación hasta el 27 de diciembre de 2031(con revisión a los 4 años). Sin embargo, el EDPB solicita una monitorización reforzada ante posibles divergencias normativas, exenciones por motivos de seguridad nacional y su impacto en el uso del cifrado, así como un seguimiento de la efectividad de la nueva estructura de la ICO (la autoridad de control del Reino Unido). 

 

 

Volver al índice

 

Novedades normativas 

En esta edición destacamos dos novedades: 

    • En el ámbito europeo, es aplicable desde el 10 de octubre de 2025 el Reglamento (UE) 2024/900 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, sobre transparencia y segmentación en la publicidad política.  

 

Volver al índice

 

Otros: Chester Digital Stories ATECNA 

Nuestro compañero Álvaro Abáigar, socio – director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores ha participado en el nuevo capítulo de Chester Digital Stories, organizado por ATECNA, en una charla dedicada a reflexionar sobre tecnología, datos y ciberseguridad. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 9- 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 8- 2025

Publicado el 03-10-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Caso Bosco -Transparencia algorítmica: el Tribunal Supremo reconoce el derecho a conocer el código fuente de los algoritmos públicos 

En una importante e histórica Sentencia, el Tribunal Supremo reconoce a Fundación Civio el derecho de acceso al código fuente y la documentación del algoritmo BOSCO, encargado de decidir la concesión del bono social eléctrico.  En el caso analizado, la Sala pondera los intereses en conflicto y concluye que “el mero riesgo de eventuales perjuicios para el derecho de propiedad intelectual de las Administración pública, con motivo de su uso o explotación no autorizada, como consecuencia del acceso al código fuente, por sí solo, no puede constituir causa de exclusión del derecho de acceso”. Indica que los eventuales perjuicios para la Administración pueden mitigarse “sometiendo el acceso a determinadas cautelas, como, por ejemplo, (…) la imposición de un deber de reserva o confidencialidad respecto de la información consultada”. 

  Para quien esté interesado, al margen de la Sentencia recomendamos la visualización de la grabación de la vista pública del recurso de casación. 

 

Volver al índice

 

Data Act. Actualización de las FAQ. 

El mismo día de la entrada en aplicación de la Ley de Datos o Data Act, la comisión publico una actualización del documento de preguntas frecuentes, importante referencia para entender el alcance, derechos y obligaciones de la nueva norma. 

 

Volver al índice

 

IA – Nueva Consulta Pública sobre incidentes graves. 

La Comisión Europea ha abierto una consulta pública hasta el 7 de noviembre de 2025 sobre el borrador de guía y plantilla de notificación para incidentes graves relativos a sistemas de inteligencia artificial de alto riesgo, con el fin de implementar el nuevo deber de reporte previsto en el artículo 73 del Proyecto de Reglamento de IA que entrará en vigor en agosto de 2026. 

 

Volver al índice

 

Otros 

Ha sido presentado en el congreso el Proyecto de Ley por la que se modifican diversas disposiciones legales para la mejora de la gobernanza democrática en servicios digitales y ordenación de los medios de comunicación.    

   

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

La AIPI aporta claves sobre la designación del responsable del sistema interno de información 

El presidente de la Autoridad Independiente de Protección del Informante (AIPI), Manuel Villoria, ha ofrecido recientemente una entrevista en la que aborda las principales cuestiones relacionadas con la entrada en funcionamiento de este organismo. Entre ellas, subrayó la obligación de las empresas de designar y comunicar a la AIPI al responsable de su sistema interno de información, cuyo plazo se ha fijado inicialmente hasta el 1 de noviembre de 2025, aunque adelantó que previsiblemente se concederá una prórroga de uno o dos meses. A este respecto, recomendó esperar a que el registro electrónico de la AIPI esté operativo en la web antes de formalizar la notificación. 

Asimismo, indicó que la principal prioridad de la Autoridad será la protección de los informantes, y recalcó la importancia de garantizar la confidencialidad y la protección de datos en los canales de denuncia. En este sentido, advirtió que el uso del correo electrónico como canal de comunicaciones no permite asegurar el anonimato de los denunciantes ni ofrece garantías suficientes de confidencialidad, de conformidad con las exigencias de la Ley 2/2023. 

 

Volver al índice

 

Prisión y multa de 300.000 euros por fraude en subvenciones públicas 

La Audiencia Provincial de Cáceres, en su Sentencia de 10 de junio de 2025 (SAP CC 663/2025), ha confirmado la condena a un empresario agrícola y a su mercantil por un delito de fraude de subvenciones, tras destinar de forma indebida parte de una ayuda pública. La subvención, de 389.229 euros y destinada a la modernización de una planta extractora de orujo, no fue justificada en su totalidad, quedando acreditado que 194.708 euros se aplicaron a finalidades distintas de las previstas. 

El tribunal ratifica la pena de un año y nueve meses de prisión y una multa de 300.000 euros para el empresario, así como la misma sanción económica para la sociedad, quedando ambos inhabilitados durante cuatro años para acceder a ayudas públicas y beneficios fiscales. 

 

Volver al índice

 

El órgano notarial contra el blanqueo resuelve 400.000 peticiones de las autoridades 

El Órgano Centralizado de Prevención (OCP) de blanqueo de capitales del Notariado español ha atendido desde su creación en 2005 más de 400.000 requerimientos de información por parte de las autoridades, consolidándose como una herramienta clave en la detección y reporte de operaciones sospechosas de blanqueo de capitales. Este sistema, que se nutre del Índice Único Informatizado Notarial, ha permitido consolidar una de las bases de datos más completas del país, facilitando a jueces, fiscales y al SEPBLAC información clave para la lucha contra el blanqueo y la financiación del terrorismo. 

Según destacó la presidenta del Consejo General del Notariado, Concepción Pilar Barrio del Olmo, el 80% de las comunicaciones que el OCP remite al SEPBLAC terminan en procesos judiciales. Además, el OCP ha desarrollado bases de datos especializadas, como la de Titularidad Real, que permiten conocer en tiempo real la propiedad de sociedades y dificultar el anonimato en transacciones con riesgo de blanqueo de capitales o financiación del terrorismo. 

 

Volver al índice

 

La OCDE actualiza sus Directrices para frenar la colusión en contrataciones públicas 

La Organización para la Cooperación y el Desarrollo Económicos (OCDE) presentó la actualización 2025 de sus Directrices para combatir la colusión en contrataciones públicas, un documento que busca reforzar la transparencia, la eficiencia y la competencia en las licitaciones de gobiernos y organismos públicos. La organización advierte que estas prácticas generan sobrecostos para el Estado, reduce la calidad de los bienes y servicios adquiridos, restringe la oferta y, en última instancia, perjudica a los contribuyentes. 

La nueva guía incluye recomendaciones para blindar las contrataciones públicas frente a la colusión: diseñar licitaciones más competitivas — con un mayor conocimiento del mercado, la atracción de varios oferentes, criterios objetivos y plataformas electrónicas — y advertir con claridad sobre sanciones. También incorpora una lista de señales de alerta para detectar posibles acuerdos ilícitos, como precios inusuales o coincidencias sospechosas entre propuestas, y promueve la cooperación entre autoridades de competencia, contratación pública y fiscalías. La OCDE insta a los países miembros a adaptar sus marcos normativos y de control para proteger un sector que representa en torno al 12% del PIB en las economías de la organización. 

 

Volver al índice

 

 

 

 

Publicado en Circulares, Cumplimiento Normativo, Protección de Datos | Etiquetado como , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 8- 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5- 2025

Publicado el 30-05-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Navarra crea el Comité de Ética de la Oficina del Datos para regular el uso de la IA 

El Gobierno de Navarra ha constituido el Comité de Ética de la Oficina del Dato mediante la Orden Foral 129E/2024, con el propósito de asegurar un uso transparente y responsable de la Inteligencia Artificial en la Administración Pública. Este órgano consultivo analizará las implicaciones éticas del uso de datos personales y públicos, así como de algoritmos de IA, actuando como garante del cumplimiento del Manifiesto ético del Gobierno en esta materia. Entre sus funciones destacan la elaboración de protocolos de actuación para resolver conflictos éticos, la emisión de recomendaciones y el asesoramiento en la elaboración de planes estratégicos relacionados con el uso de datos. 

El comité estará compuesto por un máximo de 20 personas con experiencia técnica, jurídica o humanista, procedentes de la Administración, universidades, empresas tecnológicas y organizaciones ciudadanas. Se velará por la paridad de género y la pluralidad de perfiles, incluyendo juristas, especialistas en ética aplicada, comunicación y ciencia de datos. Tendrá una presidencia elegida entre sus vocalías y una secretaría adscrita al Departamento de Universidad, Innovación y Transformación Digital. Sus integrantes tendrán un mandato de cuatro años, y se reunirán al menos dos veces al año, con posibilidad de convocar sesiones extraordinarias según lo requiera la situación. 

 

 

Volver al índice

 

Resolución sobre decisiones automatizadas: la AEPD analiza el sistema Bosco 

La Agencia Española de Protección de Datos (AEPD) ha emitido la resolución PS/00324/2023, en la que se analiza el uso del sistema Bosco por parte del Ministerio de Trabajo y Economía Social (MTERD). Este sistema, basado en algoritmos, se emplea para detectar posibles fraudes en la contratación laboral. La AEPD evaluó si dicho tratamiento de datos personales se ajusta al Reglamento General de Protección de Datos (RGPD), identificando varias infracciones y señalando la necesidad de realizar una EIPD, dado que el sistema Bosco implica un tratamiento de datos personales a gran escala y puede tener un impacto significativo en los derechos de los ciudadanos. Además, la AEPD enfatiza en el principio de transparencia y destaca la importancia de que los responsables del tratamiento informen de manera clara y accesible sobre los criterios utilizados en los sistemas automatizados y las garantías implementadas para proteger los derechos de los interesados. 

 

 

Volver al índice

 

La Autoridad Italiana de protección de datos multa al chatbot Replika  

La Autoridad Italiana de Protección de Datos ha sancionado con 5 millones de euros a la empresa desarrolladora del chatbot de inteligencia artificial Replika, tras detectar varias infracciones del Reglamento General de Protección de Datos (RGPD). La investigación reveló que Replika carecía de una base legal adecuada para el tratamiento de datos personales, no implementaba mecanismos efectivos de verificación de edad, a pesar de excluir a menores como usuarios, y proporcionaba una política de privacidad deficiente.  

Además de la sanción económica, la Autoridad italiana ha ordenado a la empresa que adapte sus prácticas de tratamiento de datos a las disposiciones del RGPD, particularmente en lo que respecta a la transparencia y protección de datos desde el diseño y por defecto. Asimismo, la Autoridad italiana ha anunciado la posibilidad de realizar una investigación adicional para evaluar la legalidad del tratamiento de datos a lo largo de todo el ciclo de vida del sistema de inteligencia artificial de Replika. 

 

 

Volver al índice

 

 

Nuevas Directrices sobre el tratamiento de datos personales en Blockchain 

El Comité Europeo de Protección de Datos (EDPB) ha publicado recientemente nuevas directrices sobre el tratamiento de datos personales mediante tecnologías blockchain. Estas directrices buscan ayudar a las organizaciones a cumplir con el Reglamento General de Protección de Datos (RGPD) al utilizar esta tecnología. Se enfatiza la necesidad de implementar medidas técnicas y organizativas desde las primeras etapas del diseño, realizar evaluaciones de impacto en la protección de datos cuando sea probable que el tratamiento conlleve un alto riesgo para los derechos y libertades de las personas, y evitar almacenar datos personales directamente en la cadena de bloques si esto entra en conflicto con los principios de protección de datos.  

Las directrices también destacan la importancia de definir claramente los roles y responsabilidades de los diferentes actores involucrados en el tratamiento de datos personales mediante blockchain. Además, se subraya la necesidad de garantizar los derechos de los individuos, como la transparencia, rectificación y supresión de datos personales. Dado que la naturaleza inmutable de la blockchain puede dificultar la eliminación de datos, se recomienda diseñar sistemas que permitan anonimizar eficazmente los datos personales si se solicita su supresión.  

Las directrices serán objeto de consulta pública hasta el 9 de junio de 2025, lo que brindará a las partes interesadas la oportunidad de presentar sus observaciones. 

 

 

Volver al índice

 

 

La AEPD publica su memoria 2024: la inteligencia artificial y los neurodatos, nuevos desafíos en protección de datos 

La Agencia Española de Protección de Datos (AEPD) ha publicado su memoria anual correspondiente al año 2024. Según el informe, la AEPD tramitó un total de 18.885 reclamaciones, una cifra ligeramente inferior a la de 2023, aunque sigue siendo la segunda cifra más alta registrada hasta la fecha. Las principales quejas de los ciudadanos se centraron en la videovigilancia (19%), los servicios de internet (8%) y sectores como el comercio, transporte y hostelería (7%). Además, la AEPD impuso 281 sanciones, destacando multas significativas a formaciones políticas y grandes entidades por el uso indebido de datos personales. 

Entre los retos prioritarios señalados por la AEPD en esta memoria se encuentran el avance de la inteligencia artificial, el desarrollo de espacios de datos compartidos y el uso emergente de neurodatos. La agencia advierte del riesgo creciente que suponen estas tecnologías para la privacidad, especialmente cuando se trata de datos especialmente sensibles como los sanitarios o los que pueden revelar información cerebral o cognitiva. En este contexto, la AEPD plantea la necesidad de establecer garantías reforzadas, incluyendo la posible creación de “neuroderechos” para proteger la libertad y la intimidad de las personas frente a usos invasivos de las nuevas tecnologías. 

 

 

Volver al índice

 

La UE adopta el Espacio Europeo de Datos de Salud 

El Consejo de la Unión Europea ha adoptado recientemente el Reglamento (UE) 2025/327 que establece el Espacio Europeo de Datos de Salud (EEDS). Esta iniciativa busca mejorar el acceso y el intercambio de datos sanitarios electrónicos en toda la UE. Este marco legal tiene como finalidad otorgar mayor control a los ciudadanos, permitiéndoles acceder y controlar sus datos de salud personales desde cualquier Estado miembro, al tiempo que facilita la reutilización segura de información anonimizada con fines de investigación, innovación y formulación de políticas públicas. Además, los países de la UE deberán crear autoridades de salud digital para implementar estas disposiciones, promoviendo así la transformación digital del sector sanitario europeo. 

El Reglamento también establece requisitos para garantizar la interoperabilidad de los sistemas de historia clínica electrónica, exigiendo que todos cumplan con el formato europeo de intercambio de historias clínicas electrónicas. Esto permitirá un acceso transfronterizo eficiente y seguro a los servicios y productos sanitarios digitales dentro de la UE. El Reglamento entró en vigor el 26 de marzo de 2025, iniciando una fase de implementación gradual que culminará en 2031. 

 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

 

Manuel Villoria toma posesión como presidente de la Autoridad Independiente de Protección del Informante 

El pasado 9 de mayo, Manuel Villoria Mendieta asumió oficialmente el cargo de presidente de la Autoridad Independiente de Protección del Informante (AIPI), en un acto presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños. Este organismo, creado en el marco del Plan de Acción por la Democracia y conforme a la Ley 2/2023, tiene como objetivo proteger a quienes denuncien infracciones normativas y actos de corrupción, garantizando su anonimato y ofreciendo apoyo financiero y psicológico.  

Manuel Villoria, catedrático de Ciencia Política en la Universidad Rey Juan Carlos y experto en ética pública y lucha contra la corrupción, liderará una institución con autonomía funcional e independencia de cualquier entidad pública o privada. Entre sus funciones se incluyen la recepción de denuncias a través de un canal seguro, la verificación de su contenido y, en su caso, la remisión a la Fiscalía, la tramitación de procedimientos sancionadores y el asesoramiento al Gobierno. 

 

 

Volver al índice

 

 

Publicada la nueva UNE 19601:2025 sobre sistemas de gestión de Compliance penal 

La Asociación Española de Normalización (UNE) ha publicado la nueva versión de la norma UNE 19601:2025, que sustituye, actualiza y deja sin efecto a la edición anterior, vigente desde el año 2017. Esta norma establece los requisitos para implantar, mantener y mejorar sistemas de gestión de compliance penal en las organizaciones, y su actualización responde a la necesidad de adaptar el marco normativo a los cambios legislativos y a la evolución de las mejores prácticas en materia de cumplimiento. 

Entre las principales novedades se encuentra la clarificación de las obligaciones del órgano de gobierno, diferenciando con mayor precisión aquellas que son de su responsabilidad directa de las que implican únicamente una labor de supervisión y vigilancia. Además, se distingue entre «formación» y «toma de conciencia», adaptando cada una según el nivel de exposición al riesgo del personal implicado. Asimismo, se integran los requisitos de la Ley 2/2023 sobre protección de informantes, fortaleciendo los canales internos de denuncia como pilares esenciales del sistema de compliance. 

 

 

Volver al índice

 

El Congreso impulsa la transparencia con su I Plan de Parlamento Abierto 

El Congreso de los Diputados ha aprobado el I Plan de Parlamento Abierto (2025–2027), una iniciativa que busca fortalecer la transparencia, la participación ciudadana y la rendición de cuentas en la Cámara Baja, con el objetivo de hacer de esta una institución más accesible y cercana a los ciudadanos. Este Plan, que incluye una treintena de medidas, se desarrollará en torno a cuatro grandes ejes: transparencia, participación, rendición de cuentas, y formación y sensibilización. 

Entre las medidas destacadas se encuentra la promoción del uso del lenguaje claro, permitiendo que los grupos parlamentarios y otros actores con capacidad de presentar iniciativas legislativas elaboren resúmenes comprensibles de sus propuestas, los cuales estarán disponibles en la web del Congreso. Además, se prevé la creación de guías en lenguaje claro sobre el procedimiento legislativo, elaboradas por la Secretaría General del Congreso. 

Otra medida significativa es la creación de un registro obligatorio y público de grupos de interés o ‘lobbies’ que deseen influir en la actividad parlamentaria. Este registro, junto con un código de conducta, busca garantizar la transparencia y la integridad en la toma de decisiones. Asimismo, se establecerá un régimen sancionador para quienes incumplan las obligaciones de transparencia, como no publicar las reuniones mantenidas con diputados. 

 

 

Volver al índice

 

Publicado en Circulares | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5- 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2025

Publicado el 14-04-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

Charlas, eventos y novedades

 

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

200.000 euros de multa por vulnerar la confidencialidad en un procedimiento de acoso laboral. 

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa con una multa de 200.000 euros tras recibir dos reclamaciones por la vulneración de la confidencialidad en un procedimiento interno por acoso laboral. La empresa divulgó de forma indebida las identidades de los denunciantes y denunciados al remitir por correo electrónico las resoluciones del protocolo de acoso a múltiples destinatarios, incluyendo a personas ajenas al proceso. Esta actuación expuso datos personales, como nombres, apellidos y puestos de trabajo, lo cual fue considerado una infracción del artículo 5.1.f) del RGPD, que obliga a garantizar la integridad y confidencialidad de los datos personales. 

La AEPD concluyó que la empresa no aplicó medidas adecuadas para proteger dichos datos y mostró una alta negligencia, permitiendo el acceso indiscriminado a datos personales entre las partes. Esta circunstancia reviste especial gravedad dada la naturaleza del procedimiento y la obligación de preservar la confidencialidad en este tipo de casos. 

Como parte de la sanción, que se redujo a 120.000 euros tras el reconocimiento de responsabilidad y el pago voluntario por parte de la empresa, la AEPD también ha exigido la adopción de medidas correctoras en un plazo de tres meses, recordando que la confidencialidad en protocolos de acoso debe aplicarse de manera efectiva. 

 

 

Volver al índice

 

 

Nueva ley para proteger a los menores en el entorno digital. 

El Consejo de Ministros ha remitido recientemente a las Cortes el proyecto de Ley Orgánica para proteger a los menores de edad en los entornos digitales, incorporando medidas como la obligatoriedad de controles parentales efectivos en dispositivos móviles, la regulación del uso de tecnologías en el ámbito educativo y la lucha contra contenidos perjudiciales como la pornografía, los ‘deepfakes’ vejatorios y los mecanismos adictivos en videojuegos. El proyecto Ley reconoce el derecho de los menores a una navegación segura, a la información veraz y al acceso equitativo a dispositivos, además de promover el aprendizaje de competencias digitales desde edades tempranas. Además, se eleva a 16 años la edad mínima para otorgar consentimiento en el tratamiento de datos personales en redes sociales. 

Por otro lado, el proyecto contempla importantes reformas legales, como la modificación del Código Penal para tipificar como delito la difusión de pornografía a menores, los ‘deepfakes’ sexuales y la creación de perfiles falsos por adultos con fines delictivos. Se habilita la intervención judicial para bloquear o retirar contenidos inapropiados y se modifica la Ley General de Comunicación Audiovisual, imponiendo a los grandes operadores y creadores de contenido la obligación de establecer canales de denuncia y mecanismos de verificación de edad.  

 

 

Volver al índice

 

 

España impulsa la IA responsable con un Sandbox pionero en Europa. 

El Gobierno de España ha puesto en marcha el primer Sandbox de Inteligencia Artificial (IA) de la Unión Europea, una iniciativa pionera orientada a facilitar la adaptación de sistemas de IA a las exigencias del nuevo Reglamento de IA. A través de este entorno de pruebas, se pretende apoyar a empresas, especialmente PYMES y startups, en la implementación de sistemas de IA seguros, éticos y alineados con las normativas europeas.  

Entre los 12 proyectos seleccionados se encuentran soluciones aplicadas a sectores como servicios esenciales, empleo, infraestructuras críticas y salud. En el ámbito de la biometría, destaca la participación de Veridas con su sistema para verificar la edad de usuarios en máquinas de vending, asegurando el cumplimiento normativo en la venta de productos regulados como tabaco o también normativa pendiente de regular para vapeadores.  

Durante abril de 2025 se dará inicio al proyecto, en colaboración con la Oficina Europea de IA, ofreciendo formación y consultoría de alto nivel para adaptar los sistemas seleccionados a las obligaciones del Reglamento de IA. Como resultado de esta experiencia, se desarrollarán las guías técnicas de implementación del Reglamento que se publicarán para uso de todos los desarrolladores IA en España. 

 

Volver al índice

 

Actualizada la guía sobre criterios Generales de Auditoría y Certificación del ENS (Esquema Nacional de Seguridad). 

El Centro Criptológico Nacional (CCN) ha publicado una versión actualizada de la guía CCN-CERT IC 01/19, que establece los criterios generales de auditoría y certificación del Esquema Nacional de Seguridad (ENS). Esta revisión, elaborada por el Consejo de Certificación del Esquema Nacional de Seguridad (CoCNS), está dirigida a las entidades de certificación acreditadas por ENAC o reconocidas por el propio Centro Criptológico Nacional (CCN). La guía se alinea con lo establecido en el artículo 31 del Real Decreto 311/2022, que regula la auditoría de seguridad en el marco del Esquema Nacional de Seguridad. 

 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

 

Designado presidente de la Autoridad Independiente de Protección del Informante. 

El Congreso de los Diputados ha aprobado por mayoría absoluta la propuesta del Consejo de Ministros para designar al catedrático Manuel Villoria Mendieta como presidente de la Autoridad Independiente de Protección del Informante, A.A.I. Este organismo clave en la aplicación de la Ley 2/2023 de protección al informante, desempeña un papel fundamental en la prevención de la corrupción y en la salvaguarda de quienes informan sobre irregularidades, garantizando su confidencialidad y seguridad. Tras la ratificación parlamentaria, el nombramiento deberá ser formalizado por el Consejo de Ministros mediante Real Decreto, lo que supondrá un avance significativo en el fortalecimiento institucional del sistema de alertas internas en España. 

Manuel Villoria Mendieta es catedrático de Ciencia Política y de la Administración en la Universidad Rey Juan Carlos y figura destacada en el ámbito de la transparencia, ética pública y buen gobierno. Miembro de Transparencia Internacional España, cuenta con una amplia trayectoria académica y profesional vinculada al estudio de la gobernanza democrática y la lucha contra la corrupción. 

 

Volver al índice

 

El Parlamento Europeo aplaza la entrada en vigor de las directivas sobre Sostenibilidad (CSRD y CSDDD). 

El Parlamento Europeo ha respaldado la propuesta de aplazar la entrada en vigor de la Directiva de Información Corporativa en materia de Sostenibilidad (CSRD) y de la Directiva sobre Diligencia Debida en materia de Sostenibilidad Corporativa (CSDDD). Con una amplia mayoría de votos, los eurodiputados aprobaron esta iniciativa en el marco del paquete legislativo Omnibus I, orientado a la simplificación normativa y al fortalecimiento de la competitividad de la Unión Europea. 

En lo que respecta a la Directiva sobre Diligencia Debida (CSDDD), la decisión adoptada concede un año adicional a los Estados miembros para transponer sus disposiciones a los ordenamientos jurídicos nacionales, y difiere la aplicación de las obligaciones para las empresas, en función de su tamaño y volumen de facturación. De este modo, las grandes entidades empresariales comenzarán a implementar los nuevos requisitos a partir de 2028. Por su parte, la entrada en vigor de Directiva de Información Corporativa en materia de Sostenibilidad (CSRD) también se prorrogará dos años.  

Con el objetivo de acelerar la adopción de estas medidas, el Parlamento ha acordado recurrir al procedimiento de urgencia. Para su entrada en vigor, el proyecto de ley requiere ahora la aprobación formal del Consejo de la Unión Europea. 

 

Volver al índice

 

 

Nuevos catálogos de indicadores de riesgo de blanqueo de capitales 

Se han publicado recientemente los nuevos catálogos de indicadores de riesgo de blanqueo de capitales por parte del Tesoro Público. Estos documentos actualizados ofrecen una guía más precisa para la identificación temprana de operaciones sospechosas, incorporando tipologías delictivas emergentes y criterios adaptados a la evolución de los riesgos. Especial atención reciben sectores como el financiero, los proveedores de servicios de criptoactivos y ámbitos no financieros, incluyendo arte, joyería, inmobiliario y servicios jurídicos, cada uno con indicadores ajustados a sus particularidades y niveles de exposición. 

Esta actualización fortalece el enfoque basado en el riesgo y dota a los sujetos obligados de herramientas más efectivas para adaptarse a un entorno delictivo en constante transformación, contribuyendo así a una mayor solidez en el sistema de prevención del blanqueo de capitales y la financiación del terrorismo. 

 

Volver al índice

 

 

CHARLAS, EVENTOS Y NOVEDADES

 

Jornada anual del Colegio Oficial de Enfermeras de Navarra sobre inteligencia artificial y enfermería. 

El próximo 8 de mayor se celebra la Jornada anual del Colegio Oficial de Enfermeras de Navarra (COENAV,) bajo el título “Inteligencia Artificial y Enfermería:  una alianza para un cuidado más humano/Adimen Artifiziala eta Erizaintza: aliantza bat zaintza gizatiarrago bat izateko”. 

En el marco de esta jornada, Álvaro Abáigar, Socio- director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores, participará en una mesa redonda dedicada a las “Aplicaciones tecnológicas de apoyo para el cuidado del paciente”.  

Inscripciones en: Abierta la inscripción a la jornada anual del Colegio sobre inteligencia artificial y enfermería 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3 – 2025

Publicado el 18-03-2025
Protección de datos y seguridad de la información
 
Cumplimiento normativo

 

Charlas, eventos y novedades

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Toma de posesión de Lorenzo Cotino Hueso y Francisco Pérez Bes como presidente y adjunto, respectivamente, de la AEPD 

Lorenzo Cotino Hueso y Francisco Pérez Bes han tomado posesión del cargo de presidente y adjunto, respectivamente, de la Agencia Española de Protección de Datos (AEPD) en un acto celebrado en la sede de la Agencia y presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños.  

En su discurso, Lorenzo Cotino destacó los retos que enfrenta la AEPD debido al avance tecnológico y la inteligencia artificial, subrayando la necesidad de un plan estratégico para abordar estos desafíos. Por su parte, Francisco Pérez Bes enfatizó el compromiso de la Agencia con la cercanía al ciudadano, la transparencia y la innovación. Durante el acto, el ministro Félix Bolaños recordó la importancia de la privacidad en un contexto tecnológico en constante evolución y anunció la próxima aprobación de la Ley para la protección de los menores en entornos digitales. El mandato de los nuevos responsables de la AEPD tendrá una duración inicial de cinco años. 

 

 
Volver al índice
 

 

La AEPD sanciona a la Liga con 1 millón de euros por aplicar control biométrico en el acceso a los estadios 

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de un millón de euros a la Liga Nacional de Fútbol Profesional (LNFP) por incumplimientos en el tratamiento de datos personales en los accesos a los estadios de fútbol. La investigación, derivada de denuncias presentadas en 2022 y 2023, determinó que la Liga implementó sistemas de reconocimiento biométrico, como el uso de huellas dactilares y reconocimiento facial, sin cumplir con las garantías exigidas por el Reglamento General de Protección de Datos (RGPD).  

La AEPD ha determinado que estos sistemas no tenían una base legal adecuada, ya que el consentimiento no era libre al no haber alternativa real. Además, la Liga no evaluó el impacto en los derechos de los aficionados ni tomó medidas para reducir los riesgos del uso de datos biométricos. 

Como resultado, además de la multa, la AEPD ha ordenado la suspensión temporal del uso del reconocimiento biométrico hasta que se garantice el cumplimiento del RGPD. La Liga deberá realizar una Evaluación de Impacto en Protección de Datos para justificar la necesidad y proporcionalidad del sistema, así como implementar medidas de seguridad adecuadas. En caso de que la evaluación determine que el tratamiento de datos biométricos sigue siendo necesario, la Liga deberá solicitar consulta previa a la AEPD antes de su aplicación. La resolución puede ser recurrida ante la Audiencia Nacional, lo que podría prolongar el litigio durante varios meses o años. 

 

 
Volver al índice
 

 

España y la IA: anteproyecto de ley para la gobernanza de la Inteligencia Artificial. 

El Consejo de Ministros ha aprobado el anteproyecto de ley para la gobernanza de la Inteligencia Artificial (IA), alineando la legislación española al reglamento europeo. La normativa establece restricciones estrictas para el uso de la IA, prohibiendo prácticas como técnicas subliminales, explotación de vulnerabilidades y reconocimiento biométrico en espacios públicos, salvo por seguridad nacional. Además, regula los sistemas de alto riesgo en sectores como sanidad e infraestructuras e introduce la posibilidad de retirar del mercado sistemas que causen incidentes graves. También impone sanciones de hasta 35 millones de euros o el 7% del volumen de negocio global en casos de incumplimiento. 

Para garantizar el cumplimiento de estas normativas, se designan diversas autoridades de supervisión según el sector, incluyendo la Agencia Española de Protección de Datos, el Consejo General del Poder Judicial, el Banco de España y la Agencia Española de Supervisión de la Inteligencia Artificial. El anteproyecto se tramitará por la vía de urgencia antes de su aprobación definitiva en el Consejo de Ministros y su envío a las Cortes Generales. 

 

 
Volver al índice
 

 

 

CUMPLIMIENTO NORMATIVO

 

España refuerza la integridad y la ética en la Administración Pública 

Publicada en el BOE la Resolución de 5 de febrero de 2025, de la Secretaría de Estado de Función Pública, por la que se publica el Acuerdo del Consejo de Ministros de 28 de enero de 2025, por el que se aprueba el Sistema de Integridad de la Administración General del Estado. Se trata de un conjunto unificado de medidas que tiene como propósito promover y consolidar de manera global una cultura de integridad y valores éticos en la actuación de todo el personal de la Administración General del Estado.  

El Sistema incluye un código de buena administración para empleados públicos, un código de buen gobierno para altos cargos, un mecanismo de gestión del riesgo de integridad, protocolos para canales internos de información y una guía para la gestión de buzones de ética institucional. 

El Sistema alinea a España con las recomendaciones y mejores prácticas en materia de transparencia y buen gobierno de instituciones como la OCDE o el Consejo de Europa. 

 

 
Volver al índice
 

 

Modificación del Estatuto de la Autoridad independiente de protección del informante 

El Real Decreto 102/2025, de 18 de febrero, introduce modificaciones en el Estatuto de la Autoridad Independiente de Protección del Informante (A.A.I.), aprobado mediante el Real Decreto 1101/2024, de 29 de octubre, con el objeto de reforzar su marco normativo y mejorar su operatividad.  

Entre las modificaciones introducidas, se ha determinado que la sede de esta autoridad estará en Madrid. Asimismo, se han precisado y ampliado las funciones, reforzando su capacidad de asesoramiento jurídico interno para garantizar el adecuado ejercicio de sus competencias. Se establece, además, que podrá asumir funciones asignadas por su Estatuto u otras normativas, incluidas aquellas delegadas por la Presidencia de la Autoridad Independiente de Protección del Informante, A.A.I. 

Por otro lado, se han ajustado los procedimientos de consulta y emisión de informes, permitiendo solicitar la opinión de los departamentos de la Administración General del Estado cuando sus competencias puedan verse afectadas por la normativa en cuestión. Asimismo, se ha previsto la posibilidad de solicitar informes tanto a la Gerencia como a la Comisión Consultiva de Protección del Informante. 

 

 
Volver al índice
 

 

Escándalo en la Eurocámara: Huawei bajo investigación por presunta corrupción y sobornos 

Según una investigación belga en curso, Huawei habría sobornado a eurodiputados para influir en políticas comerciales de la Unión Europea. 

La policía belga ha llevado a cabo una serie de registros en la sede europea de Huawei en Bruselas y ha detenido a varios de sus lobistas por presunta corrupción en el Parlamento Europeo. La Fiscalía belga investiga un posible caso de soborno, falsificación de documentos y blanqueo de capitales, en el que estarían implicados hasta quince eurodiputados.  

La Fiscalía ha destacado que los presuntos sobornos se habrían materializado en forma de remuneraciones, regalos y privilegios con el objetivo de influir en la toma de decisiones del Parlamento Europeo, particularmente en relación con las restricciones impuestas a empresas chinas de telecomunicaciones. 

 

 
Volver al índice
 

 

EE. UU. suspende temporalmente la aplicación de la ley anticorrupción en el extranjero (FCPA) 

El presidente de EE.UU. ha ordenado la suspensión temporal de la aplicación de la Ley de Prácticas Corruptas en el Extranjero (FCPA) durante un periodo de 180 días, argumentando que su aplicación excesiva afecta la competitividad de las empresas estadounidenses y perjudica los intereses económicos y de seguridad nacional. Durante este periodo, el Fiscal General deberá detener la apertura de nuevas investigaciones, analizar los casos en curso y emitir nuevas directrices que limiten el alcance de la ley para alinearla con los intereses económicos y de política exterior del país. 

La decisión ha generado controversia, ya que algunos advierten que podría debilitar la lucha contra la corrupción en el extranjero, mientras que el gobierno de EE. UU. sostiene que la suspensión es necesaria para evitar regulaciones que obstaculizan la presencia de compañías estadounidenses en mercados estratégicos. Dependiendo de los resultados de la revisión, la suspensión podría extenderse otros 180 días si se considera necesario y podría llevar a cambios permanentes en la aplicación de la ley. 

 

 
Volver al índice
 

 

La Unión Europea aprueba la Ley Ómnibus 

La Comisión Europea ha aprobado el paquete Ómnibus, marcando un hito en la regulación de la sostenibilidad empresarial al introducir una serie de reformas destinadas a reducir la carga administrativa para las empresas sin comprometer sus compromisos ambientales. La propuesta de la Comisión Europea busca simplificar normativas clave, como la Directiva de Información sobre Sostenibilidad Corporativa (CSRD), la Directiva sobre Diligencia Debida en Sostenibilidad (CSDDD) y la taxonomía de la UE, con el objetivo de armonizar el marco regulador y mejorar la competitividad empresarial.  

Esta iniciativa responde a preocupaciones recientes sobre el impacto de la burocracia en el crecimiento económico y la capacidad de las empresas europeas para competir a nivel global, un aspecto destacado en el Informe Draghi de 2024. 

Entre las principales medidas del paquete se encuentra la reducción de un 25% en la carga de reporte para empresas y hasta un 35% para pymes, garantizando un marco normativo más claro y coherente. Asimismo, se introduce un enfoque flexible para las empresas de tamaño mediano y aquellas con operaciones en múltiples Estados miembros, permitiendo regímenes regulatorios adaptados a sus necesidades. Además, la iniciativa busca optimizar el acceso a programas de inversión como InvestEU y el Fondo Europeo para Inversiones Estratégicas (FEIE), facilitando la financiación sostenible para la transición ecológica. 

 

 
Volver al índice
 

 

Actualización de la norma ISO 37001:2025 

La norma ISO 37001:2025, publicada el 28 de febrero de 2025, representa la segunda edición del estándar global para sistemas de gestión antisoborno. Esta actualización incorpora modificaciones relevantes destinadas a mejorar la prevención, detección y gestión del soborno en organizaciones de distintos sectores. 

Entre las principales actualizaciones se destacan su alineación con la estructura armonizada de normas ISO e IEC, lo que facilita su integración con otros sistemas de gestión; reforzar la cultura antisoborno dentro de las organizaciones, enfatizando el liderazgo y el compromiso organizacional; y clarificación de los roles y responsabilidades en la función antisoborno para garantizar una supervisión más efectiva. 

Las organizaciones certificadas bajo la versión 2016 disponen de un período de transición de dos años para adaptarse a los nuevos requisitos de la ISO 37001:2025. 

 

Volver al índice
 

 

CHARLAS, EVENTOS Y NOVEDADES

 

ATANA celebra su Asamblea General Ordinaria 2025 y renueva su Junta Directiva 

Recientemente, ATANA, el clúster de tecnología y consultoría de Navarra, ha celebrado su Asamblea General Ordinaria correspondiente al año 2025. Durante la sesión, se trataron diversos temas entre los que destacamos la renovación de la Junta Directiva. En este contexto, se confirmó la continuidad en la Junta Directiva de Álvaro Abáigar, socio – director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores. 

 

 
Volver al índice
 

 

Publicado en Circulares, Cumplimiento Normativo, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 3 – 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º9 – 2024

Publicado el 08-12-2024
Protección de datos

 

Propiedad Intelectual e Industrial

 

Cumplimiento normativo

 

 

 

PROTECCIÓN DE DATOS

 

Reglamento de Ciberresiliencia | Nuevas obligaciones de ciberseguridad para los productos con elementos digitales conectados a internet 

El pasado 20 de noviembre de 2024 se publicó el Reglamento (UE) 2024/2847, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales. El Reglamento es aplicable a los productos con elementos digitales comercializados cuya finalidad prevista o uso razonablemente previsible incluya una conexión de datos directa o indirecta, lógica o física, a un dispositivo o red.  

A destacar que los sujetos obligados son tanto los fabricantes pero también los importadores y distribuidores y que se establecen numerosas obligaciones de un lado, en materia de gestión de vulnerabilidades, como por ejemplo la necesidad de ofrecer al menos cinco años de soporte de seguridad mediante parches y de otro lado, diseño seguro por defecto. 

Habrá que esperar 36 mesesdesde la fecha de entrada en vigor para su plena aplicación, si bien hay obligaciones de información que son exigibles a partir de los 21 meses. 

 

Volver al índice

 

Adaptación de las normas sobre responsabilidad por productos defectuosos a las nuevas tecnologías digitales 

El 23 de octubre de 2024, la Unión Europea adoptó la Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos y por la que se deroga la Directiva 85/374/CEE. Este nuevo marco responde a los desafíos de un mercado más digital y orientado hacia la economía circular, abarcando tecnologías emergentes como la inteligencia artificial y los servicios digitales. 

La Directiva establece normas comunes sobre la responsabilidad de los operadores económicos por los daños sufridos por personas físicas causados por productos defectuosos y sobre la indemnización por esos daños. El objetivo de la presente Directiva es contribuir al correcto funcionamiento del mercado interior, garantizando al mismo tiempo un elevado nivel de protección de los consumidores. 

Entre las principales novedades de la Directiva, encontramos la ampliación del concepto de “producto”, puesto que ahora incluye los archivos de fabricación digital y los programas informáticos como elementos susceptibles de ser defectuosos, es decir, software, inteligencia artificial y servicios digitales. 

Los productos defectuosos debido a vulnerabilidades de ciberseguridad que no cumplan con los estándares de seguridad serán considerados defectuosos. Asimismo, los fabricantes son responsables de mantener actualizaciones necesarias para prevenir riesgos. 

Las modificaciones sustanciales en productos, como actualizaciones significativas de software, se consideran introducción de nuevos productos, atribuyendo responsabilidad a quienes las efectúen. 

En relación con el derecho de indemnización se amplía la protección, y se aplica respecto al daño que supone la destrucción o corrupción de datos que no se utilicen con fines profesionales. 

 

Volver al índice

 

 

La AEPD aprueba un sistema de mediación para agilizar las reclamaciones de protección de datos en materia de comunicaciones electrónicas 

La Agencia Española de Protección de Datos (AEPD) ha aprobado el Código de conducta para la resolución de controversias en protección de datos dentro del sector de las comunicaciones electrónicas. Este código ha sido impulsado por las principales operadoras de telecomunicaciones: Orange, Telefónica, Vodafone y MásMóvil. 

El objetivo del código es establecer un mecanismo de mediación que permita a los ciudadanos y a las entidades adheridas resolver sus conflictos de forma consensuada, evitando, si el usuario lo prefiere, acudir a procedimientos administrativos o judiciales. Asimismo, este marco de autorregulación busca ofrecer a los ciudadanos un proceso gratuito y más rápido para gestionar reclamaciones relacionadas con la protección de datos frente a las empresas adheridas. 

Aunque la adhesión a estos códigos de conducta es voluntaria, resulta vinculante para las entidades que decidan formar parte. 

El código entrará en vigor el próximo 17 de diciembre y permitirá a los ciudadanos presentar reclamaciones sobre tratamientos de datos realizados sin base de legitimación, ejercicios de derechos no atendidos, inserción indebida en sistemas de información crediticia o contratación fraudulenta.  

En este caso, la AEPD ha designado al Jurado de la Publicidad, perteneciente a la Asociación para la Autorregulación de la Comunicación Comercial (AUTOCONTROL), como el organismo encargado de la supervisión.  

AUTOCONTROL gestionará las reclamaciones presentadas contra las entidades adheridas al código, iniciando el proceso de mediación, que tendrá una duración máxima de 30 días. Se informará a la AEPD sobre el acuerdo alcanzado. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

IA: Entrenamiento con obras de propiedad intelectual: Nuevas licencias colectivas. 

Con fecha 19 de noviembre de 2024 tuvo lugar la apertura de un período de audiencia e información pública del Proyecto de Real Decreto por el que se regula la concesión de licencias colectivas ampliadas para la explotación masiva de obras y prestaciones protegidas por derechos de propiedad intelectual para el desarrollo de modelos de inteligencia artificial de uso general. El plazo de presentación de alegaciones finalizar el 10 de diciembre. 

El Proyecto de Real Decreto introduce un marco normativo innovador para la concesión de licencias colectivas ampliadas. Este mecanismo permitirá la explotación masiva de obras protegidas por derechos de propiedad intelectual, una medida clave para facilitar el desarrollo de modelos de inteligencia artificial (IA) de uso general. 

Entre las características más importantes de Proyecto de Real Decreto, cabe destacar: 

    • Las entidades de gestión colectiva podrán otorgar autorizaciones no exclusivas para la explotación de obras protegidas por derechos de propiedad intelectual. Las licencias colectivas ampliadas estarán destinadas a facilitar reproducciones y extracciones de obras protegidas por derechos de propiedad intelectual para el desarrollo de modelos de inteligencia artificial de uso general, incluidos los generativos, cuando sea necesario un uso masivo de dichas obras y obtener autorizaciones individuales resulte inviable. La duración máxima de estas licencias es de 3 años. 

    • Los titulares de derechos de propiedad intelectual tienen derecho a oponerse a que sus obras sean objeto de las licencias colectivas ampliadas, pudiendo comunicar su oposición a la entidad en cualquier momento. El derecho de oposición debe ejercerse de forma rápida y sencilla a través de formularios ofrecidos por las entidades de gestión para los titulares de derechos. 

    • Los usuarios que suscriban licencias colectivas ampliadas para la explotación de obras y prestaciones protegidas por derechos de propiedad intelectual deberán excluir de la explotación las obras de aquellos titulares que ejerzan su derecho de oposición, garantizando un proceso ágil y que incluya la publicación del procedimiento de oposición. 

 

Volver al índice

 

 

Reciente reforma de la normativa de la UE sobre la protección de dibujos y modelos industriales 

El Diario Oficial de la UE publicó con fecha de 18 de noviembre de 2024 dos normativas que representan una reforma en materia de diseños, para unificar su tratamiento a nivel europeo, facilitar su tramitación y adaptarlos a la realidad actual. Por una parte, el Reglamento (UE) 2024/2822, de 23 de octubre,  sobre los dibujos y modelos comunitarios y, por otra parte, la Directiva (UE) 2024/2823, de 23 de octubre, sobre la protección jurídica de los dibujos y modelos. 

Entre las novedades que introduce la reforma destacamos los cambios en la terminología empleada. Así la referencia a “dibujos y modelos comunitarios” se sustituye por “diseños de la Unión Europea”.  

Además, se actualizan algunos conceptos para adaptarlos a la realidad de las nuevas tecnologías, permitiendo de esta manera proteger dibujos y modelos virtuales: La definición de “diseño” como la apariencia que se derive de las características, en particular líneas, contornos, colores, formas, texturas y/o materiales, del producto en sí o de su decoración, incluye el movimiento, la transición o cualquier otra forma de animación.  La definición de “producto” se amplía a los artículos industriales o artesanales “independientemente de si están incorporados a un objeto físico” o si adoptan “una forma no física”, permitiéndose de este modo los diseños virtuales.  

El Reglamento entrará en vigor en mayo de 2025, mientras que los Estados miembros tienen hasta diciembre de 2027 para transponer la Directiva a sus legislaciones nacionales. Esta reforma busca beneficiar a diseñadores y empresas, especialmente a las PYMES, promoviendo una protección más efectiva y adaptada a las nuevas tecnologías. 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

Estatuto de la Autoridad Independiente de Protección del Informante (AAI) 

El pasado 30 de octubre, se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 1101/2024, que aprueba el Estatuto de la Autoridad Independiente de Protección del Informante, AAI. Este nuevo marco legal regula la organización, estructura y funcionamiento de la Autoridad Independiente de Protección del Informante, así como todos los aspectos que sean necesarios para el cumplimiento de sus funciones. 

La Autoridad Independiente de Protección del Informante, AAI es un ente de Derecho Público dotado de personalidad jurídica propia, que actúa con plena autonomía e independencia de los poderes públicos. A efectos únicamente organizativos y presupuestarios, está adscrita al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes.  

El Estatuto establece que la finalidad de la Autoridad se centra en garantizar la protección de la persona informante, actuando como pilar institucional en la prevención y la lucha contra el fraude y la corrupción. Entre sus principales funciones destacan, entre otras, las siguientes:  

    • La tramitación de las informaciones y comunicaciones que se reciban a través del canal externo. 

    • La asunción de la condición de órgano consultivo y de asesoramiento del Gobierno en materia de protección del informante;  

    • El inicio, instrucción y resolución de los procedimientos sancionadores e imposición de sanciones por las infracciones previstas en la Ley 2/2023;  

    • La elaboración de circulares y recomendaciones donde se establezcan los criterios y prácticas adecuados para el correcto funcionamiento de la Autoridad Independiente de Protección del Informante. 

 

La aprobación del Estatuto e inminente creación de la Autoridad con facultades sancionadoras implica o refuerza la necesidad de que las empresas con 50 o más trabajadores[1] y que todavía no se hayan adaptado a la normativa procedan de forma urgente a implementar los denominados como Sistemas internos de información. 

Respecto a las entidades que ya dispongan de estos Sistemas, deberá tenerse en consideración que se deberá notificar el registro de los Responsables del Sistema (ya sea individuales o como órganos colegiados) en un plazo de dos meses a partir de la fecha de puesta en funcionamiento de dicha Autoridad. 

[1]Así como aquellas otras entidades sujetas al ámbito de aplicación de la Ley 2/2023 

 

Volver al índice

 

 

¿Es suficiente con tener diseñado y aprobado programa de prevención de delitos? La Audiencia Nacional se pronuncia. 

El Auto Nº 593/2024 de la Sala de lo Penal de la Audiencia Nacional de fecha 9 de octubre de 2024, profundiza en la relevancia de los programas de cumplimiento normativo en el marco de la responsabilidad penal de las personas jurídicas. El auto señala que «Los programas de cumplimiento no implican por sí mismos una patente de corso; su mera existencia, ni exime, ni atenúa la responsabilidad penal, sino que debe expresar necesariamente un compromiso corporativo que realmente disuada de conductas criminales (certificaciones de calidad de los programas).”   

Además, el auto determina que, una vez acreditada la existencia de los programas de cumplimiento normativo, “los esfuerzos deberán ir dirigidos a acreditar su eficacia y utilidad, es decir, su aptitud para minimizar en términos razonables el riesgo de incumplimiento por la persona jurídica.” Esto subraya la necesidad de que las empresas no solo cuenten con sistemas de compliance documentados, sino que estos sean efectivos en la práctica. 

Para demostrar la eficacia del programa de cumplimiento normativo, el auto indica que deben valorarse los siguientes factores: 

    • La implantación respecto a todos los integrantes de la entidad, lo que será indicio de intolerancia hacia el delito y de cultura ética de la entidad. 

    • La existencia de mecanismos para la detección, neutralización y reacción ante la conducta infractora, así como para la sanción interna de los mismos o en su caso la denuncia ante las autoridades, lo que puede ser un indicio favorable a la apreciación de la eximente o atenuante. 

    • La gravedad de la conducta, su extensión, personas afectadas y sanciones anteriores.  

La sentencia de la Audiencia Nacional resalta la importancia de que los programas de compliance sean más que un mero cumplimiento formal. Para que un modelo de prevención de delitos sea considerado eficaz, debe demostrar una implementación real y un compromiso tangible con la ética corporativa y la prevención del delito. Las empresas deben asegurarse de que su cultura de cumplimiento sea integral y de que esté incorporada en todos los niveles organizativos. 

 

Volver al índice

 

 

Guía para la evaluación de los Sistemas de Compliance. 

El Departamento de Justicia de los Estados Unidos (DOJ) ha presentado recientemente una actualización integral de su guía para la evaluación de los Sistemas de Compliance de las organizaciones. Este documento tiene como objetivo proporcionar criterios claros para evaluar la efectividad de los programas de cumplimiento de las organizaciones en un entorno de creciente complejidad tecnológica y regulatoria. 

A través de la guía se busca garantizar que los Sistemas de Compliance no sean mero papel, sino herramientas prácticas y adaptativas que se integren de manera efectiva en la estructura de la organización.  

Con ese mismo fin, en un contexto de creciente innovación disruptiva, uno de los aspectos más relevantes de la actualización es el énfasis en los riesgos asociados a las tecnologías emergentes, en particular, a la inteligencia artificial (IA). Así, insta a las organizaciones a incluir en sus programas controles y políticas que aseguren el uso ético y conforme a la ley de estas tecnologías, enfatizando la importancia de monitorear activamente su aplicación, demostrando que los riesgos asociados han sido evaluados y gestionados adecuadamente. 

Otra área clave en la actualización de la guía es la necesidad de fortalecer los mecanismos de denuncia (Sistema Interno de Información), señalando que las organizaciones deben ofrecer canales éticos efectivos y capacitando a sus empleados sobre las vías de denuncia, tanto internas como externas. Además, destaca el compromiso de las empresas con la protección de denunciantes, resaltando la necesidad de implementar políticas contras las represalias. 

El DOJ también recalca la importancia del respaldo de la alta dirección y la asignación adecuada de recursos como pilares de un programa de cumplimiento exitoso.  

En un entorno global en constante evolución, la guía subraya la necesidad de que los programas de compliance sean dinámicos. Esto implica la actualización de manera regular de políticas y procedimientos, la implementación de auditorías internas y herramientas de análisis para identificar y mitigar riesgos emergentes, y la formación continua de los empleados. 

 

Volver al índice

 

 

Proyecto de Ley de Información empresarial sobre sostenibilidad 

El Consejo de Ministros ha dado luz verde al Proyecto de Ley de Información Empresarial sobre Sostenibilidad, que busca alinear la normativa española con la Directiva (UE) 2022/2464. Este proyecto, publicado en el Boletín Oficial de las Cortes Generales el 15 de noviembre de 2024, introduce cambios en el Código de Comercio, la Ley de Sociedades de Capital y la Ley de Auditoría de Cuentas. La iniciativa se tramitará con carácter urgente. 

Entre las principales novedades podemos señalar: 

    • Se elevan los umbrales para identificar grandes empresas, aumentando el activo total de 20 a 25 millones de euros y el volumen neto de negocios de 40 a 50 millones, mientras se mantienen los requisitos sobre número de empleados. 

    • Las empresas cotizadas deberán detallar la información relativa a la representación del género menos representado en sus consejos de administración, junto con planes y medidas para alcanzar objetivos de equidad.  

    • La ley introduce el principio de doble materialidad, evaluando tanto el impacto de la empresa en la sostenibilidad como los riesgos que estas cuestiones representan para ella. 

    • Se regula la designación de verificadores, permitiendo auditores o entidades independientes acreditadas, sujetos a estrictos requisitos de calidad y ética profesional. 

 

Volver al índice

 

 

Nueva página web de la Autoridad Europea de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA) 

La nueva Autoridad Europea de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA) creada a partir del Reglamento (UE) 2024/1620 de 31 de mayo de 2024, ha puesto en marcha su nueva página web. En ella se ofrece información actualizada sobre normativa, vacantes disponibles, novedades, preguntas frecuentas y otros recursos de interés. Sin duda, se convertirá en una referencia habitual para quienes desempeñamos labores en este sector. 

 

Volver al índice

 

 

Publicado en Circulares | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º9 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5 – 2024

Publicado el 03-06-2024
Protección de datos – Seguridad de la Información

 

Publicidad

 

Cumplimiento normativo

 

Normativa al día

 

Charlas, eventos y novedades

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Actualizada la guía sobre el uso de las cookies de la AEPD. 

La Agencia Española de Protección de Datos ha actualizado su guía sobre el uso de las cookies incluyendo la Opinión 8/2024 del Comité Europeo de Protección de Datos (CEPD) sobre la modalidad “pay or okay” implementada por grandes plataformas online a la que nos referimos en la anterior newsletter. En este sentido la AEDP señala en la Guía sobre cookies que, si bien la opinión del CEPD se refiere únicamente a grandes plataformas, se espera que en el primer semestre de 2025 se publique una Guía de aplicación general sobre la validez del consentimiento en modelos “pay or okay”.  

 

Volver al índice

 

Publicado Informe del Comité Europeo de Protección de Datos sobre ChatGPT. 

El Comité Europeo de Protección de Datos ha publicado el pasado 27 de mayo un informe sobre las labores de investigación realizadas por el grupo de trabajo de ChatGPT en relación con los tratamientos que realiza OpenAI a través de su solución de IA (Inteligencia Artificial). El informe recoge que aún no han concluido las labores de investigación por lo que se trata de una revisión preliminar en la que se detallan las líneas maestras de dicho análisis a saber: Licitud de dos de los tratamientos realizados, Lealtad del tratamiento, Transparencia y deber de información, Exactitud de los datos y Derechos de los interesados, y otorgan una seria de directrices en relación con dichos elementos.  

 

Volver al índice

 

Opinión del Comité Europeo de Protección de Datos sobre el reconocimiento facial en aeropuertos. 

El pasado 23 de mayo, a petición de la Autoridad de control francesa, el CEPD emitió una opinión relativa al uso de tecnologías reconocimiento facial en los aeropuertos con un alcance muy concreto ya que se analizan momentos (controles de seguridad, entrega de equipajes, embarque y acceso a la sala de pasajeros) y formas de tratamiento concretos en relación con artículos específicos del RGPD (Reglamento General de Protección de Datos) centrados principalmente en la seguridad (artículos 5.1(f) -Integridad y Confidencialidad- 25 – Privacidad desde el diseño y por defecto – y 32 – Seguridad- RGPD), quedando excluido del análisis por no ser objeto de la consulta remitida por la Autoridad francesa, la valoración del consentimiento como base de legitimación para el tratamiento.  

Así, el CEPD analiza las distintas propuestas planteadas y alcanza distintas conclusiones dependiendo de la forma en que se tratan los datos. En este sentido, parece desprenderse del informe que los escenarios descritos que permiten la autenticación de los pasajeros (comparación 1:1) sí que podrían ser eventualmente compatibles con los artículos mencionados, mientras que el CEPD muestra mayor oposición en el caso de los escenarios de identificación de pasajeros (comparación 1:N).  

No obstante, se trata de un análisis específico de determinados artículos correspondiendo a los responsables de tratamiento el tratamiento específico a realizar empleando tecnología biométrica. 

Volver al índice

 

Aprobada la Estrategia Nacional de Inteligencia Artificial. 

El Ministerio para la Transformación Digital y de la Función Pública ha aprobado la Estrategia Nacional de Inteligencia Artificial, con el objetivo de promover una utilización sostenible de la IA. Dicha estrategia ha establecido 6 ejes estratégicos para dar cumplimiento a los objetivos: Impulsar la investigación científica, el desarrollo tecnológico y la innovación en IA;  Promover el desarrollo de capacidades digitales, potenciar el talento nacional y atraer talento global en inteligencia artificial; Desarrollar plataformas de datos e infraestructuras tecnológicas que den soporte a la IA; Integrar la IA en las cadenas de valor para transformar el tejido económico; Potenciar el uso de la IA en la administración pública y en las misiones estratégicas nacionales; y Establecer un marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social. 

 

Volver al índice

 

PUBLICIDAD

 

Publicado el Real Decreto sobre los requisitos para ser “Influencers”.

El pasado 1 de mayo se publicó el Real Decreto 444/2024, que regula las condiciones para ser considerado un usuario de especial relevancia de los servicios de intercambio de vídeos a los efectos de tener que cumplir con las obligaciones previstas en el artículo 94 de la Ley 13/2022, General de Comunicación Audiovisual, debiendo asimismo inscribirse en Registro Estatal previsto en el artículo 39 de la Ley General de Comunicación Audiovisual. 

En este sentido se establece que, para ser usuario de especial relevancia se deberán cumplir los requisitos previstos en el artículo 3 y 4 del Real Decreto 444/2024 que recoge requisitos económicos y de audiencia.  

    • Requisito económico: Deberá tener ingresos derivados exclusivamente de su actividad de “influencer” (pagos realizados por las plataformas, los ingresos publicitarios, los pagos abonados por la audiencia, las aportaciones de entidades públicas y cualquier otro ingreso derivado de su actividad) iguales o superiores a 300.000 euros.   
    • Requisitos de audiencia: Habrá de haber tenido en algún momento del año natural anterior un número de seguidores igual o superior a 1.000.000 en un único servicio de intercambio de vídeos a través de plataforma; o un número de seguidores igual o superior a 2.000.000, de forma agregada.   

Deberá haber publicado al menos 24 vídeos en el último año, independientemente de la duración de los mismos.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Publicado el texto del proyecto del Real Decreto del Estatuto de la Autoridad Independiente de Protección al Informante. 

El pasado 21 de mayo ha finalizado el trámite de consulta pública del Proyecto del Real Decreto del Estatuto de la Autoridad Independiente de Protección al Informante , el proceso de aprobación del texto se gestionará a través de tramitación urgente. 

La Autoridad Independiente de Protección al Informante (AIPI) será un ente con autonomía e independencia funcional vinculada al Ministerio de la Presidencia, Justicia y Relaciones con las Cortes, cuyas funciones serán las de actuar como canal externo de comunicaciones, elaborar circulares, así como iniciar, instruir y resolver procedimientos sancionadores por las infracciones previstas en la Ley 2/2023. La AIPI contará con la figura de la Presidencia (a propuesta del ministro de la Presidencia, Justicia y Relaciones con las Cortes), Comisión Consultiva, así como del Departamento de Protección al Informante, Departamento de Seguimiento y Régimen Sancionador y Gerencia.  

 

Volver al índice

 

Nueva Directiva penal medioambiental. 

El Consejo Europeo adoptó el pasado 26 de marzo la Directiva sobre la protección del medio ambiente mediante el derecho penal, que sustituirá a las Directivas 2008/99/CE y 2009/123/CE. La Directiva pretende fomentar en los Estados Miembros el uso del Derecho Penal para disuadir de la comisión de conductas perjudiciales para el medio ambiente. En este sentido se armonizan las definiciones de los delitos, y se amplían las conductas tipificadas como delito.  

 

Volver al índice

 

NORMATIVA AL DÍA

 

Reglamento de Inteligencia Artificial. 

A falta de su publicación en el Diario Oficial de la Unión Europea el texto final del Reglamento en materia de Inteligencia Artificial ha sido aprobado por el Parlamento y el Consejo Europeo poniendo punto y final al proceso legislativo. Así, se espera que en los próximos días se proceda a su publicación.  

 

Volver al índice

 

Creación de la Oficina Europea de IA 

La Comisión Europea comunicó el pasado 29 de mayo la creación de la Oficina de IA de la Unión Europea cuya finalidad será entre otros objetivos, garantizar una aplicación coherente de la Ley de IA.  

 

Volver al índice

 

Guía de Seguridad de las TIC CCN-STIC 892. Anexo I. Categoría del Sistema determinada por la Postura de Seguridad (PCE-NIS2) 

Se publica por el Centro criptológico nacional el Anexo I se la Guía de Seguridad de las TIC de forma que “pase a formar parte del conjunto documental del sistema de información que soporta los servicios prestados por entidades esenciales y entidades importantes, según las define la Directiva NIS2” 

 

Volver al índice

 

CHARLAS, EVENTOS Y NOVEDADES

 

IAbility Day 

El próximo 11 de junio, tendrá lugar una nueva edición del IAbility Day, en la que Álvaro Abáigar socio-director del Dpto. de Nuevas Tecnologías y Cumplimiento Normativo de ARPA Abogados Consultores abordará junto con otros expertos en la materia las problemáticas derivadas del impacto socioeconómico, de la ética y el marco regulatorio de la Inteligencia Artificial. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Protección de Datos | Etiquetado como , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2024

Publicado el 02-05-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Propiedad Intelectual e Industrial

 

Normativa al día

 

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría y protección de datos.  Últimas novedades nacionales e internacionales

Desde la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos por la Agencia Española de protección de datos (AEPD) cualquier resolución, guía o recomendación que trate sobre biometría suscita un gran interés A continuación recogemos algunas novedades sobre la cuestión:

    • En el plano internacional, destacar que CNIL, la autoridad de protección de datos de Francia, ha abierto una consulta sobre la autenticación multifactor hasta el próximo 31 de mayo que hace una referencia concreta a las soluciones de identificación basadas en tecnologías biométricas. Por lo que se indica en el citado documento, en el contexto de la consulta se puede utilizar una solución basada en biometría con el objetivo de identificar a un sujeto siempre que se ofrezca una alternativa, lo que deja como válido el consentimiento para levantar la excepción del artículo 9 que tantos quebraderos de cabeza está trayendo en nuestro país. Esto parece alinearse con la guía sobre biometría de ICO (la autoridad de protección de datos de Reino Unido).
    • En clave nacional, se han conocido varias sanciones principalmente basadas en el incumplimiento por parte de los responsables de tratamiento de las exigencias normativas en cuanto a defectos o inexistencia de evaluación de impacto previa al inicio del tratamiento, por no informar correctamente a los interesados y no establecer medidas de seguridad suficientes. A destacar al respecto la sanción impuesta al Burgos CF que, si bien había realizado una evaluación de impacto, la misma era posterior al inicio del tratamiento por lo que incumplía el Reglamento. Adicionalmente en cuanto a la base legal necesaria para levantar la prohibición del tratamiento de datos biométricos el propio club manifestó que no disponía de la misma ya que el consentimiento no se recabó siguiendo las exigencias del Reglamento ni en relación con los mayores de edad ni con los menores.
Volver al índice

 

El Modelo de “Consent or Pay” deberá ofrecer una alternativa real.

El Comité Europeo de Protección de Datos se ha pronunciado en abril de 2024 acerca del modelo “Consent or Pay” que ofrecen actualmente las grandes plataformas en línea. En este sentido, el organismo ha considerado que ofrecer únicamente una alternativa de pago al consentimiento no debería ser el camino por defecto para los responsables del tratamiento. Por ello, señala que el modelo deberá proporcionar una verdadera opción para los usuarios, evitando la coerción o la discriminación, que garantice que el consentimiento sea informado, específico, inequívoco y otorgado a través de una acción clara.

Sobre este asunto puedes consultar más información en el artículo publicado en nuestro sitio web escrito por nuestra compañera Candela Martínez Arellano.

 

Volver al índice

 

Las brechas de seguridad, errores que pueden costar muy caros.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción al Servicio Público de Empleo Estatal (SEPE) a consecuencia de una brecha de seguridad producida por un ransomware en 2021. Se notificó por parte del SEPE a la AEPD una brecha de seguridad que impedía el acceso a los interesados a los servicios telemáticos de la administración. En este sentido, la AEPD ha señalado que el SEPE no disponía de las medidas de seguridad adecuadas a los posibles riesgos, y que tardó más tiempo del requerido legalmente en notificar la brecha, por lo que se le ha apercibido.

No es la única sanción por este motivo, 3 millones y 3.5 millones de euros han sido los importes de las multas impuestas por la AEPD a un importante grupo empresarial nacional del sector energético, tras notificar una brecha de seguridad en sus sistemas causado por  un ataque informático. La brecha implicó el acceso de terceros a datos personales de usuarios, almacenados en una base de datos compartida por distintas sociedades del grupo. De este modo, quedó en evidencia la falta de separación de las bases de datos de las distintas sociedades, así como la falta de un análisis de riesgos sobre las actividades de tratamiento. Es por esto que se imponen las sanciones por la falta de cumplimiento de la obligación de implantar medidas adecuadas para garantizar confidencialidad e integridad, así como a la falta de medidas adecuadas de seguridad.

No obstante los ejemplos anteriores, resulta preciso señalar que la notificación de la brecha no supone necesariamente la apertura de un procedimiento sancionador debiendo cumplirse con la obligación de notificar en cualquier caso.

Volver al índice

 

La comunicación oral se considera tratamiento de datos personales.

El pasado 7 de marzo de 2024, el TJUE dictó una sentencia en la cual decretó que la divulgación oral de datos personales constituye un tratamiento de los mismos, de acuerdo con el artículo 4.2 del Reglamento General de Protección de Datos. En este sentido, establece el TJUE que, al regular el concepto de tratamiento en el artículo señalado, el legislador pretendía dar una interpretación amplia, lo que incluiría la divulgación oral. En caso contrario, existiría la posibilidad de eludir el RGPD utilizando la divulgación oral en vez de escrita, lo que sería manifiestamente incompatible con el fin perseguido por la norma.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

El Comité Económico y Social Europeo emite un Dictamen sobre la corrupción en la contratación pública y el mercado interior.

El Comité Económico y Social Europeo (CESE) ha emitido un dictamen estudiando el impacto de la corrupción de la contratación pública en el mercado interior. El informe concluye que el marco normativo relativo a la corrupción en el ámbito europeo se encuentra disperso en diferentes regulaciones que no guardan relación entre sí, afectando a la contratación pública. Del mismo modo, se proponen diversas medidas, tales como mejorar los procedimientos previstos en las directivas de contratación, implantar una digitalización real que permita la transparencia y rapidez en todo el ciclo de la contratación pública, o crear instrumentos que respalden la integridad del procedimiento, entre otras.

 

Volver al índice

 

ELISA, la nueva herramienta para conocer la ejecución de las inversiones del Plan de Recuperación, Transformación y Resiliencia.

El Gobierno ha lanzado una herramienta llamada ELISA, que permite hacer un seguimiento de las convocatorias de licitaciones y subvenciones que ejecuten inversiones del PRTR, así como su resolución, poniendo dicha información a disposición de todos los interesados. En concreto, la aplicación, que será actualizada mensualmente, muestra datos como el número de empresas y hogares que han recibido financiación, el tamaño de dichas empresas, o las inversiones realizadas en determinados sectores.

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

El nombre Pablo Escobar no podrá ser registrado como marca.

El Tribunal General de la Unión Europea (TGUE) ha refrendado la decisión de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) de denegar el registro del signo denominativo “Pablo Escobar” como marca. La empresa puertorriqueña Escobar Inc., solicitó en 2021 el registro, que fue denegado por la EUIPO al considerar que se trataba de una marca contraria al orden público y a las buenas costumbres. Ante esto, la sociedad puertorriqueña decidió impugnar la decisión ante el TGUE, que ha confirmado la decisión de la EUIPO, basada en la percepción que tiene el público objetivo sobre Pablo Escobar, considerando que se encuentra asociado con el tráfico de drogas y con el narcoterrorismo, así como con los crímenes y el sufrimiento derivados de ellos. De este modo, el TGUE ha establecido que la marca será percibida como contraria a los valores y a las normas morales fundamentales de la sociedad.

 

Volver al índice

 

Fin de la batalla entre Inditex y Buongiorno. El caso Zara.

El pasado 10 de abril de 2024, tras once años en los Tribunales, concluyó la batalla legal entre Inditex y la empresa italiana Buongiorno Myalert, con una sentencia del Tribunal Supremo, tras la respuesta del  TJUE a la Cuestión Prejudicial planteada. El Supremo ha condenado a Buongiorno por infracción de marca, al considerar que el uso que hacía de la marca Zara no podía ampararse en el límite alegado que se limita a permitir el mismo únicamente cuando resulta necesario “a efectos de designar productos o servicios como correspondientes al titular de esa marca o de hacer referencia a los mismos solamente cuando tal uso de la marca sea necesario para indicar el destino de un producto comercializado o de un servicio ofrecido por ese tercero».

Por ende, se ha condenado a la compañía italiana a pagar una indemnización de 2.215,60 euros a la textil española, así como a publicar un comunicado donde se reproduzca el fallo de la sentencia en las páginas blinko.es y blinkogold.es, con un enlace a la sentencia completa.

 

Volver al índice

 

NORMATIVA AL DÍA

 

La ONU aprueba la primera resolución global para regular la Inteligencia Artificial.

El pasado 21 de marzo, la Asamblea General de las Naciones Unidas aprobó la primera resolución relativa a la IA, con el objetivo de fomentar un desarrollo seguro, responsable y equitativo de dicha tecnología, a fin de evitar un uso malintencionado de la misma, e impedir desigualdades entre países.

 

Volver al índice

 

Nueva Guía STIC-892 publicada sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2.

El Centro Criptológico Nacional ha publicado su nueva guía sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2, que explica la forma de cumplir con los requisitos de la misma.

 

Volver al índice

 

Aprobada la Directiva de Debida Diligencia en las empresas.

El Parlamento Europeo ha aprobado el pasado 24 de abril la Directiva de Debida Diligencia, que tiene por objeto proteger los derechos humanos y el medioambiente en el ámbito empresarial, previendo sanciones para las empresas que incumplan la normativa.

 

Volver al índice

 

Factura electrónica.

La Comisión Nacional de los Mercados y la Competencia publica un Informe sobre el proyecto de Real Decreto por el que se desarrolla la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas en lo referido a la factura electrónica entre empresas y profesionales.

 

Volver al índice

 

Actualización de la regulación del Registro Central de Delincuentes Sexuales

Se publica el Real Decreto 407/2024 por el que se modifica el Real Decreto 1110/2015 que regula el Registro Central de Delincuentes Sexuales, resultando interesante la modificación del artículo 9 que regula la expedición de certificados de datos inscritos permitiéndose a las empresas, y organizaciones cuando sea necesaria para la contratación y ejercicio de la relación laboral o actividad solicitar, el certificado directamente siempre que cuenten con el consentimiento expreso del interesado.

 

Volver al índice

 

Transferencias internacionales a EEUU

Se han publicado por parte del Comité Europeo de Protección de Datos diversos materiales y guías en relación con la decisión de adecuación relativa a Estados Unidos, los cuales pueden ser consultados a través del siguiente enlace.

 

Volver al índice

 

Publicación del eIDAS2

Finalmente, se ha publicado la modificación del Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, conocido como eIDAS2 (Reglamento – UE – 2024/1183 – EN – EUR-Lex (europa.eu).

 

Volver al índice

 

Publicado en Blog, Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2 – 2024

Publicado el 29-02-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Propiedad Intelectual e Industrial

 

Normativa al día

 

Charlas y eventos

  • El pasado 9 de febrero, el director del departamento Álvaro Abáigar junto a Leire Arbona, directora de Legal y Cumplimiento en Veridas, impartieron una sesión sobre Inteligencia Artificial y su reglamentación europea e internacional en el foro del Club Cámara.  

  • El pasado 19 de febrero, Candela Martínez impartió una sesión formativa sobre protección de activos intangibles en el «Curso sobre emprendimiento en industrias culturales y creativas» organizado por Carlos Mangado.  

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el acceso a centros deportivos. 

La Agencia Española de Protección de Datos publicaba a comienzos del mes de febrero, una resolución firmada en mayo de 2023, en la que se sancionaba a un gimnasio por no disponer de una base legal habilitante para el tratamiento de los datos biométricos de sus socios. Entendía la AEPD que la ejecución del contrato no suponía una base suficiente.  

Así, la AEPD sanciona al centro deportivo por no informar correctamente a los usuarios del tratamiento (infracción del artículo 13 RGPD) y por no disponer de base legal habilitante (artículos 9 – por tratarse de categorías especiales de datos- y 6 RGPD)  

 

Volver al índice

 

¿Cuál es el “establecimiento principal” del responsable de tratamiento? El CEPD lo aclara. 

El concepto de establecimiento principal es uno de los ejes del sistema de ventanilla única de la Unión Europea. Se trata del concepto que determinará cual será la autoridad supervisora en los casos transfronterizos de protección de datos. En este sentido, la Autoridad Francesa de Protección de Datos solicitó la aclaración del concepto, ante lo cual, el CEPD ha aclarado que el establecimiento principal será el “lugar de administración central” del responsable del tratamiento, siempre que tome decisiones sobre los fines y medios del procesamiento de datos personales y tenga el poder de implementar dichas decisiones. 

 

Volver al índice

 

Tan solo unos días de resultar aplicable el Reglamento de Servicios Digitales, comienzan las primeras investigaciones. 

El pasado 17 de febrero resultaba aplicable en parte el Reglamento de Servicios Digitales, que entró en vigor el 16 de noviembre de 2022 y tan solo dos días después se abría por la Comisión Europea el primer procedimiento formal frente a la red social TikTok a los efectos de determinar si TikTok ha infringido el Reglamento, analizando entre otros aspectos si la aplicación tiene un diseño adictivo, o si asegura la privacidad de los menores y la transparencia publicitaria. 

 

Volver al índice

 

Representantes de los trabajadores y políticas de uso de dispositivos digitales. 

La reciente Sentencia del Tribunal Supremo número 566/2024, de 6 de febrero, ha analizado un caso en el que se impugnaba la actualización de una política de empresa sobre uso de correo electrónico, internet, almacenamiento de información en discos duros, y sobre conexión de ordenadores para el teletrabajo. En la elaboración de dicha política no había participado la Representación de los Trabajadores, de acuerdo con el artículo 87.3 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, lo que motivó su impugnación. 

En este sentido, el Supremo recalca que, aunque el mandato incluido en el artículo 87.3 LOPDGDD no tiene efectos retroactivos, cualquier modificación de los criterios previamente establecidos a la entrada en vigor de la LOPD, o cualquier especificación de los mismos, ampliación o restricción debe seguir las normas establecidas en la ley por lo que debe permitirse la participación de la Representación de los Trabajadores.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Tratamiento de datos personales incluidos en los sistemas Internos de Información. 

La Agencia Española de Protección de Datos ha emitido un informe en el que analiza la base legal aplicable al tratamiento de datos personales obtenidos mediante el Sistema Interno de Información de la empresa, para fines no recogidos en el ámbito de aplicación de la Ley 2/2023 de protección al informante. En ese caso, al tratarse de datos que exceden el alcance de dicha ley, indica la AEPD que no podría basarse dicho tratamiento en el cumplimiento de una obligación legal ni en el interés legítimo del responsable.  

Así las cosas, debe extremarse la precaución en cuanto al tratamiento de datos personales a través del sistema interno de información para garantizar en cumplimiento de las exigencias en materia de protección de datos. Se recomienda en este sentido analizar en detalle el tratamiento para garantizar que está alineado con la normativa de protección de datos especialmente si el mismo se ha venido empleando como canal de entrada de informaciones que se encuentren fuera del alcance de la Ley 2/2023.  

 

Volver al índice

 

Nueva norma sobre gestión de Compliance en materia de libre competencia. 

El pasado mes de noviembre, se publicó la norma UNE 19603:2023, sobre Sistemas de Gestión de Compliance en materia de Libre Competencia. Dicha norma permitirá a las empresas, certificar sus sistemas de Compliance en relación con la competencia, y sirve de complemento a la Guía de la Comisión Nacional de los Mercados y de la Competencia sobre programas de cumplimiento en relación con las normas de defensa de la competencia. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Los escritos procesales como obras de propiedad intelectual.  

El pasado 9 de enero de 2024, la Audiencia Provincial de Valencia estimó la demanda de una abogada que se dirigía contra un compañero de profesión por copiar casi íntegramente un escrito suyo de contestación a la demanda. La autora del escrito, considerando que el escrito procesal tenía el carácter de obra original, y estaba, por tanto, comprendido dentro del artículo 10.1 a) de la Ley de Propiedad Intelectual inició acciones contra el compañero que había empleado el mismo como propio. La demanda interpuesta por la abogada se estimó al considerarse que el escrito procesal tenía la consideración de obra de propiedad intelectual.   

 

Volver al índice

 

Los fabricantes de automóviles pueden prohibir vender piezas de recambio con sus logos. 

El pasado 25 de enero, se publicó una Sentencia del Tribunal de Justicia de la Unión Europea que conoce un caso en que el demandado vendía rejillas de radiadores diseñadas para modelos antiguos de la marca Audi en las que se incluía un espacio moldeado con la forma del logotipo de la marca, lo que a juicio de Audi infringía sus derechos marcarios.  

En relación con ese asunto se plantea una cuestión prejudicial al TJUE quien determina que en cuanto al uso de la marca de un tercero en piezas de recambio pueden darse dos situaciones: una en la que la “empresa no vinculada económicamente al titular de la marca coloca un signo idéntico o similar a esa marca en las piezas de recambio que comercializa y que están destinadas a ser incorporadas a los productos de dicho titular”  y otra en la que la “empresa, sin colocar un signo idéntico o similar a la marca sobre esas piezas de recambio, hace uso de esa marca para indicar que tales piezas de recambio están destinadas a incorporarse a los productos del titular de dicha marca”. Así, determina el TJUE que la segunda de estas situaciones se ajusta a la normativa mientras que la primera excede el uso en concepto de referencia al que alude el artículo 14, apartado 1, letra c), del Reglamento 2017/1001 y, por tanto, no está comprendido en ninguno de los supuestos contemplados por esta disposición. 

De este modo, aunque el troquelado de la marca se incluyera con la finalidad de incorporar de manera sencilla el logo de la marca una vez instalada la rejilla, dicho uso se entendió que menoscababa las funciones de la marca, en concreto, garantizar la calidad o la procedencia de un determinado producto.

 

Volver al índice

 

NORMATIVA AL DÍA

 

La Comisión Europea avanza en la creación de la Oficina Europea de Inteligencia Artificial. 

El pasado 21 de febrero entró en vigor la decisión por la que se crea la Oficina Europea de Inteligencia Artificial, que formará parte de la Dirección General de Redes de Comunicación, Contenido y Tecnologías. El objetivo del organismo será asegurar la correcta aplicación y ejecución del futuro Reglamento IA, así como el fomento del uso y de la comprensión de las herramientas de Inteligencia Artificial. Para asegurar sus objetivos, se prevé que trabaje en colaboración con los estados miembro, así como con expertos de la comunidad científica y desarrolladoras de IA.  

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Publicado el 30-01-2024
Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

Compliance

 

Normativa al día

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Límites al uso de marcas de terceros con motivo de una acción promocional. 

Tras conocerse la opinión del Abogado General de Justicia de la Unión Europea, el Tribunal de Justicia de la Unión Europea ha resuelto la cuestión prejudicial planteada por el Tribunal Supremo en el caso de uso de la marca Zara por Buongiorno Myalert en relación con una acción promocional en la que esta última regalaba tarjetas regalo de Zara. Acto que Inditex entendía, constituía un acto de competencia desleal. 

Tras ser desestimadas las pretensiones de Inditex por parte de un Juzgado de lo Mercantil de Madrid, así como por la Audiencia Nacional, se recurrió ante el Tribunal Supremo, que planteó cuestión prejudicial al TJUE solicitando aclaración sobre si el concepto de “límite referencial” previsto por el artículo 6.1.c) de la Directiva 2008/95 aplicable en el momento de los hechos, es más o menos amplio que el de la Directiva 2015/2436, aplicable en la actualidad. 

En este contexto, el TJUE aclara que el límite solo se refiere al uso en el tráfico económico de la marca, cuando la misma sea requerida para determinar el destino de un producto. Aclarado el alcance, corresponde al Tribunal Supremo determinar si la campaña que lanzó Buongiorno se adecua o no a derecho. 

 

Volver al índice

 

El Tribunal Supremo pone punto final a la guerra entre Kukuxumuxu y sus antiguos dibujantes. 

La Sala de lo Civil del Tribunal Supremo ha desestimado el recurso planteado por la entidad Kukuxumusu Ideas, S.L a la sentencia de segunda instancia.  La sentencia analiza si la cesión de derechos de explotación sobre los dibujos acordada entre la mercantil y los autores de los mismos alcanza cualquier nuevo dibujo en el que puedan aparecer los personajes representados en los dibujos cedidos o si, por el contrario, los personajes pueden ser reproducidos en otras escenas, situaciones o peripecias.  

El Supremo, ha determinado, que los autores podrán realizar nuevos dibujos de los personajes, siempre que sean lo suficientemente distintos para no poder considerarse plagio de los dibujos cedidos a Kukuxumusu Ideas, S.L y siempre que la transformación que se pueda hacer de los mismo esté dentro del marco contractual acordado, en su momento, entre las partes.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva Guía sobre el Uso de cookies para herramientas de medición de audiencia. 

La Agencia Española de Protección de Datos ha publicado la “Guía sobre el uso de cookies para herramientas de medición de audiencia”.  

En dicha guía se establece la posibilidad de usar cookies estadísticas de tráfico o rendimiento sin consentimiento, siempre y cuando se limite únicamente a medir la audiencia, de manera anónima. En este sentido, dichas cookies no deberán permitir el seguimiento agregado a través de diferentes páginas web, y no se deberán compartir con terceros.  

No obstante, se permitirá recoger datos como el tipo de dispositivo, o el navegador mediante el que se accede a la página, siempre que se informe en la política de privacidad, y se limite la duración de las cookies a 13 meses, y la conservación de los datos a 25 meses.  

 

Volver al índice

 

Sanción en Francia en materia de cookies. 

Recientemente se ha conocido una sanción de 10 millones de euros impuesta por parte de la Autoridad de control francesa (CNIL) a la empresa Yahoo por distintos incumplimientos en materia de cookies. En concreto, la sanción impuesta el pasado 29 de diciembre de 2023, se basa en dos infracciones:  

    • La persistencia en la instalación de cookies publicitarias una vez el usuario desactivaba las mismas en el panel de configuración.   
    • Las consecuencias derivadas de la retirada del consentimiento a la instalación de cookies: se detecta que al retirarse el consentimiento dado en el panel de configuración de la página “Yahoo! Mail”, se informaba al interesado de que ya no podría acceder a los servicios ofrecidos por la empresa, y que se le negaría el acceso a mensajería, lo cual se opone al derecho de libertad de retirada del consentimiento.  

 

Volver al índice

 

El coche como dato identificativo 

Nos hacemos eco de una resolución de la Agencia Española de Protección de datos (AEPD), en la que se ha apercibido a la Policía Foral de Navarra por publicar en RRSS una imagen de un coche en un control rutinario de drogas, en agosto de 2023.  En la imagen aparecía: el coche de la infractora, el rostro de la infractora reflejado en el retrovisor derecho y a su perro asomado por la ventanilla, todo ello junto a las drogas y armas blancas incautadas en el control. La imagen se hizo viral e implicó que la dueña del coche perdiera su puesto de trabajo.  

La AEPD señala que la Policía Foral de Navarra no utilizó los medios corporativos, ni los mecanismos suficientes para no hacer identificable a la persona de la fotografía publicada por lo que apercibe a dicha institución.  

 

Volver al índice

 

La autoridad de protección de datos de Reino Unido analiza la legalidad de las pruebas de IA generativa. 

Ante una serie de consultas, la ICO -homólogo a la Agencia Española de Protección de Datos en Reino Unido- se ha pronunciado a cerca de las bases legales para realizar el web scraping con la finalidad de entrenar modelos de IA generativa. La consulta se centra en la base legal para extraer o procesar datos de la web para este propósito, y ha entendido que, para cumplir con el principio de licitud de protección de los datos, los desarrolladores deberán asegurarse que los tratamientos no infringen ninguna ley y que disponen de interés legítimo para realizar el tratamiento. De cara a poder concluir que efectivamente se dispone de interés legítimo recuerda la ICO la necesidad de realizar el análisis de la existencia del mismo.  

 

Volver al índice

 

La Comisión Europea permite el flujo de datos con once terceros países. 

La Comisión Europea concluyó el pasado 15 de enero de 2024, que la transferencia de datos personales desde la Unión Europea a once terceros países, sigue siendo adecuada. En concreto, dichos países son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos podrán continuar fluyendo libremente a dichos terceros países, por cuanto han fortalecido la protección de datos en sus jurisdicciones, convergiendo dentro del marco de la Unión Europea.  

 

Volver al índice

 

COMPLIANCE

Nuevo Registro de Responsables del Sistema Interno de Información Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA). 

El pasado 2 de diciembre de 2023 entró en vigor la Resolución por la que se creó el Registro de Responsables del Sistema Interno de Información, de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA).  

De acuerdo con dicha resolución, se deberán inscribir en el Registro tanto los nombramientos, como los ceses de los Responsables de los Sistemas de Información de las entidades que se encuentren comprendidas dentro del ámbito de actuación de la OANA, tales como Empresas públicas, Fundaciones, o partidos políticos, entre otros. Si bien en principio las Sociedades privadas no tienen la obligación de registrar a sus responsables, se ha tenido conocimiento de sociedades que lo han hecho. 

 

Volver al índice

 

 NORMATIVA AL DÍA  

 

Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos  

El pasado día 4 de enero de 2024, entró en vigor la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, que reemplaza el régimen contenido en la normativa anterior, de 2004. Dicha Ley supone el cambio de la institución vasca de Agencia a Autoridad, y tiene por objeto actualizar la normativa autonómica.  

 

Volver al índice

 

Nuevo sistema de verificación de edad propuesto por la AEPD.  

El pasado 14 de diciembre de 2023 la Agencia Española de Protección de Datos presentó una propuesta de sistema de verificación de edad en internet, ante el acceso de menores de edad a contenidos para adultos.   

Dicha propuesta se compone de un Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, todo ello complementado por un gráfico que recoge los riesgos de los sistemas utilizados en la actualidad. Con ello, todas las páginas que se encuentren obligadas o voluntariamente verifiquen la edad de sus usuarios deberán cumplir con las condiciones mínimas establecidas en el sistema, protegiendo el interés superior del menor y los derechos fundamentales de todos los ciudadanos. 

 

Volver al índice

 

Nuevo informe de Comité Europeo de Protección de Datos sobre los Delegados de Protección de Datos. 

El Comité Europeo de Protección de Datos ha emitido un informe sobre la designación y cargo de los delegados de protección de datos. Dicho informe, publicado el pasado 17 de enero de 2024, supone la conclusión de una acción coordinada de refuerzo con las autoridades nacionales, que ha analizado en profundidad los desafíos a los que se enfrentan los delegados de protección de datos y las organizaciones. En concreto, se ha evaluado si los DPD tienen, en sus organizaciones, el cargo requerido en los artículos 37 a 39 del RGPD, y los recursos para llevar a cabo sus tareas.  

Del informe se obtiene que, si bien los DPD desempeñan papeles importantes a la hora de proteger los datos de los interesados, existen riesgos relativos a la falta de recursos asignados a esta figura, a conocimientos insuficientes en la materia y a riesgos de conflictos de interés. Del mismo modo, el informe describe el trabajo realizado por las autoridades supervisoras a efectos de abordar los incumplimientos normativos. 

 

Volver al índice

 

El procedimiento de nulidad y caducidad de signos distintivos cumple un año en la vía administrativa. 

Hasta el pasado 14 de enero de 2023, los procedimientos de nulidad y caducidad de signos distintivos españoles se realizaban en la vía judicial. No obstante, tal día entró en vigor la última modificación de la Ley de Marcas, que derivó dichos procedimientos a la vía administrativa. Desde entonces, la Oficina Española de Patentes y Marcas es el órgano encargado de declarar la nulidad y caducidad de los signos distintivos españoles, cumpliéndose el pasado 14 de enero, un año desde el inicio de dicho procedimiento. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 06 – 2023

Publicado el 18-07-2023
 
Propiedad Intelectual e Industrial
 
Protección de datos – Seguridad de la Información
 
NORMATIVA AL DÍA: Normas, guías y códigos  

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

El Tribunal Supremo analizará la autoría de más de 200 cuadros que habían sido divulgados bajo la firma del famoso artista Antonio de Felipe.

El 21 de mayo de 2021 la Audiencia Provincial de Madrid emitió sentencia en la que se determinaba que 221 obras que fueron publicadas bajo la firma de Antonio de Felipe, debían tener la consideración de obras en coautoría ya que habían sido fruto de la colaboración entre éste y la artista Fumiko Negishi.  Según se indica en los hechos probados, sería esta segunda artista quien bajo una relación de colaboración con el primero, habría ejecutado materialmente las obras bajo las indicaciones de Antonio de Felipe. Es por ello que el tribunal entiende que los cuadros son el resultado de una simbiosis artística de ambos profesionales y no una mera ejecución mecánica por parte de la segunda artista, lo que provoca que se concluya que ambos son autores por igual de las obras.  

La decisión ha sido recurrida y será revisada por el Tribunal Supremo por lo que habrá que ver la condición final que se otorga a ambas partes en relación con la creación.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva guía de cookies 

La AEPD acaba de actualizar su “Guía sobre el uso de las cookies”. Entre las novedades más destacables está la adaptación del documento a las directrices sobre patrones engañosos y criterios para los conocidos como muros de cookies. 

En cuanto al plazo de adaptación, la AEPD indica que “los criterios recogidos en la Guía deberán implementarse, a más tardar, el 11 de enero de 2024, estableciéndose así un periodo transitorio de seis meses para introducir los cambios necesarios para la utilización de cookies 

 

Volver al índice

 

Nuevo acuerdo entre Estados Unidos y Europa sobre la transferencia de datos personales. 

Tras dos intentos de establecer una regulación sobre la transferencia de datos personales entre la UE y EEUU, frustrados por el TJUE, la Comisión Europea emitió el pasado 10 de julio una decisión, en la que se concluye que los Estados Unidos garantizan un nivel de protección adecuado de los datos transferidos de la UE. 

En la nota de prensa publicada por la Comisión, se ataca al problema que pusieron de relieve las anteriores regulaciones y por lo cual fueron invalidadas por el TJUE: la no existencia de una ley federal que regule la gestión de los datos y que la CIA, el FBI o la NSA pudieran acceder a los mismos. En este contexto, la decisión introduce nuevas garantías vinculantes, tales como la limitación del acceso por parte de los servicios de inteligencia estadounidenses a los datos de la UE a lo necesario y proporcionado, o el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos al que todo ciudadano de la UE podrá acceder. 

El activista Max Schrems, quien consiguió tumbar las dos decisiones previas de transferencia de datos entre EEUU y la UE ante el TJUE, afirma que volverá a dirigirse al mismo con el objeto de impugnar esta decisión. 

 

 

Volver al índice

 

Tratamiento de datos con fines de marketing telefónico

El pasado 26 de junio, la Agencia Española de Protección de datos (AEPD) publicó una Circular, con el objetivo de fijar los criterios relativos a la aplicación de la normativa sobre protección de datos de carácter personal, sobre el derecho a no recibir llamadas no deseadas con fines comerciales introducido por la Ley General de Telecomunicaciones. Tal derecho, contemplado en el artículo 66.1.b) de la mencionada Ley, entró en vigor el pasado 29 de junio. 

El foco de la Circular es analiza las bases que legitimarían el tratamiento de los datos con finalidad de prospección comercial por vía telefónica, esto es, el consentimiento o el el interés legítimo. En cuanto al consentimiento, se establece que no se podrán realizar llamadas comerciales a números generados de forma aleatoria sin que el usuario haya otorgado consentimiento expreso previamente. En cuanto a los usuarios que figuren en guías de abonados, deberán prestar su consentimiento específico y expreso para que sus datos puedan ser utilizados con fines comerciales. 

Por otra parte, en relación con el interés legítimo señala que siempre que no prevalezcan los intereses o los derechos fundamentales de los usuarios también será lícito el tratamiento de los datos de los consumidores cuando dicho tratamiento sea necesario para la satisfacción de intereses de la empresa que los trata, o intereses de terceros. Del mismo modo, establece que, si existía una relación contractual previa entre el usuario y el responsable del tratamiento, (interactuación del interesado con el responsable en el último año)  éste le podrá llamar para ofrecerle productos o servicios similares a los que fueron objeto del contrato (en la línea de lo previsto en el artículo 21.1 de la LSSI) y matiza que esta presunción de concurrencia del interés legítimo no aplicaría a la comunicación de datos personales a otras entidades del mismo grupo empresarial con fines de comunicación comercial, para la que se requerirá el consentimiento.  

Asimismo, indica que en el caso de los números de teléfono de personas físicas que presten servicios en personas jurídicas o que tengan la consideración de empresarios individuales o profesionales liberales operará la presunción del artículo 19 de la Ley Orgánica 3/2018 siempre que la oferta de productos se refiera a su actividad profesional y no personal. 

Finalmente, la AEPD establece una serie de garantías adicionales con el objetivo de cumplir con los principios que rigen el tratamiento de datos personales: i) Al inicio de cada llamada, se deberá informar de la identidad del empresario, y si procede, de la identidad de la persona por cuenta de la que se efectúa la llamada; ii) se deberá indicar la finalidad comercial e informar sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas no deseadas; iii) cualquier manifestación contraria a la recepción de las llamadas debe entenderse como revocación del consentimiento o como el ejercicio del derecho de oposición del afectado; iv) la llamada deberá ser grabada, como medio de demostrar el cumplimiento de la normativa relativa a la protección de datos personales.   

 

Volver al índice

 

Meta y su batalla con la normativa de protección de datos. 

Meta no pasa por su mejor momento en cuanto a relaciones con la normativa de protección de datos europea ya que, además de las multas millonarias impuestas a dicha organización se ha conocido la decisión de la Autoridad de Control de Noruega de paralizar temporalmente los tratamientos de publicidad comportamental que realizan Facebook e Instagram sobre los datos de los usuarios noruegos. Esta decisión, viene a raíz de la reciente sentencia del Tribunal de Justicia de la Unión Europea en el que se indicaba que la forma en que Meta realizaba tipo de tratamientos (sin solicitar consentimiento del interesado) no cumplía con la normativa, de manera que la autoridad de control noruega prohíbe dicho tratamiento desde el 4 de agosto y durante 3 meses salvo que el tratamiento se ajuste a la normativa antes del transcurso de dicho periodo. Asimismo, señalan que en el caso de no adecuarse el tratamiento a la normativa impondrá una multa diaria de hasta 1 millón de NOK al día. Habrá que esperar para ver cómo reaccionan el resto de autoridades de control y si esto se extiende a otros países. 

Por otro lado, se ha conocido que la normativa de protección de datos estaría siendo la razón por la cual en la Unión Europea no puede emplearse la aplicación Threads, una red social creada por Meta basada en textos cortos, que trata de competir con Twitter. La compañía manifiesta estar estudiando como regular el intercambio de datos entre esta nueva plataforma e Instagram y Facebook para introducir la aplicación en la Unión Europea, de forma ajustada a las exigencias normativas.  

 

Volver al índice

El Centro criptológico nacional actualiza la Guía CCN-STIC 825 sobre el Esquema Nacional de Seguridad y la Certificación 27001

La guía ofrece las medidas compatibles entre el Esquema Nacional de Seguridad con el estándar ISO/ IEC 27001:2022.  Este documento resulta útil tanto para aquellas organizaciones que tienen un SGSI basado en la ISO 21001 y desean dar el salto al ENS como viceversa.  

 

Volver al índice

 

 

 

Publicado en Blog, Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- n.º 06 – 2023
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X