La Agencia Española de Protección de Datos ha sancionado a Amazon (Amazon Road Transport Spain, S.L) por solicitar un certificado negativo de antecedentes penales a los transportistas autónomos que querían trabajar con la entidad.

La resolución señala la imposibilidad de Amazon de crear registros de personas sin antecedentes al ser una materia reservada a las autoridades públicas. La solicitud de Amazon a los transportistas no puede basarse en un supuesto interés legítimo de la entidad o en el consentimiento solicitado a los transportistas.

Más información

Adelantábamos en la newsletter anterior, que se habían iniciado procedimientos administrativos ante distintas autoridades de control de diferentes países, cuestionando la legalidad de la transferencia internacional de datos que se produce con el empleo de “Google Analytics”.   Hace pocos días, ha sido el turno de la Autoridad de Protección de Datos de Francia (CNIL), quien ha concluido que la transferencia es ilegal y debe cesarse en el uso de dicho servicio en los términos en los que viene produciéndose (indicar que por el momento si bien no se conoce ninguna resolución de la Agencia Española de Protección de Datos al respecto el propio Comité Europeo de Protección de Datos ha fijado en su agenda de la reunión del próximo día 22 de febrero abordar la cuestión).          
 
En el fondo de la cuestión está el fallido marco de transferencias internacionales de datos con USA, a raíz de la sentencia del Tribunal de Justicia de la Unión Europea en el caso Schrems II, por lo que es posible que otros servicios que impliquen transferencias internacionales de datos a este territorio puedan verse afectados por nuevas resoluciones.
 
Más información:

• • Comunicado de prensa de la Autoridad de control francesa (inglés).
  • Resumen de la resolución de la autoridad de control austriaca (alemán).

En el curso de un procedimiento sancionador, la Agencia Española de Protección de Datos comprobó que al entrar en el sitio web de la reclamada, las cookies se cargaban antes de que el visitante hubiera consentido su instalación. Adicionalmente, constató que el banner informativo no facilitaba información clara y completa sobre las cookies y en particular, sobre los fines del tratamiento de los datos, suponiendo esta falta de información asimismo una infracción.

La conducta descrita, supone una infracción del artículo 22.2 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, la cual, atendiendo a las circunstancias del caso, ha sido sancionada con una multa de 20.000€.

Más información: resolución completa de la Agencia Española de Protección de Datos

Recientemente ha sido aprobada la nueva norma ISO 27002. En esta norma se recogen los controles en materia de seguridad de la información que sirven como referencia a la norma ISO 27001 (norma referente para cualquier organización en materia de gestión de seguridad de la información) y que se incluyen como Anexo A de la misma.
A día de hoy, y en vistas de los grandes avances tecnológicos que se han producido en los últimos años, ha sido necesario realizar un ajuste a esos controles (cuya última actualización se produjo en 2013), adaptándolos a las necesidades y riesgos actuales, mucho más centrados en el ámbito de la ciberseguridad.

¿Qué cambios importantes se han incluido?
Especialmente importante es cambio en la propia estructura de los dominios en 4 grandes temas: (i) Controles Organizativos (37), (ii) De personas (8), físicos (14) y tecnológicos (34). Se trata de una clasificación sencilla y que orienta en cuanto al contexto en el que se aplica el control.
Además, se otorga a cada control un total de cinco (5) atributos para poder caracterizar el control, estos atributos son: (i) Tipo de Control, (ii) Propiedades de Seguridad de la Información, (iii) Conceptos de Ciberseguridad, (iv) Capacidades operacionales y (v) Dominios de Seguridad.

Otros cambios: Adicionalmente, se ha procedido a cambiar el nombre de la propia norma (ahora su nombre es: ISO/IEC DIS 27002 Information security, Cybersecurity and privacy protection – Information security controls), se han incorporado algunos términos y definiciones (como: endpoint; información sensitiva o punto objetivo de recuperación) y se han restructurado los controles lo que ha supuesto una reducción en su número (pasan de 114 a 93), a pesar de la adición 11 nuevos controles. Así se han fusionado varios controles y se ha eliminado el control 11.2.5. Retirada de materiales propiedad de la empresa.

Un empleado de Mcdonalds se ha hecho viral en la aplicación TikTok mostrando al mundo cuál es el proceso de preparación de la hamburguesa más famosa de la cadena de comida rápida, el Big Mac. En el vídeo, de apenas un minuto de duración, se desglosa de forma detallada el proceso completo de preparación del Big Mac.
Dice la Ley de Secretos Empresariales (LSE) que un secreto empresarial permite proteger “cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero”, siempre que ésta sea: (i) secreta, (ii) tenga valor empresarial (real o potencial) por ser secreta, y (iii) se hayan tomado medidas razonables por su titular para conservarla como secreta.
Teniendo esta definición presente, un proceso de producción como el del Big Mac puede ser uno de los secretos mejor guardados para una cadena de comida rápida como Mcdonalds, al igual que lo puede ser una fórmula para un laboratorio químico o una lista de clientes para un bufete de abogados.
Toda esta información, procesos o fórmulas son secretos empresariales que aportan valor a la empresa, les brindan una ventaja competitiva frente a sus competidores y por ello, será esencial su protección, evitando así que sean desvelados.
Para garantizar la protección de la información sensible como secreto empresarial resulta necesario que la empresa disponga de un sistema de clasificación, identificación y gestión de secretos empresariales maduro. Le indicamos en este sentido que nuestros profesionales del departamento de Nuevas Tecnologías podrán asesorarle tanto en el desarrollo como en el mantenimiento de este tipo de sistemas.

Más información: enlace a la noticia.

Un grupo descentralizado de fans ha adquirido una de las copias originales del libro “Dune” de Jodorowsky por 2,66 millones de euros, con la intención de liberar los derechos sobre la obra y producir una serie animada. Sin embargo, sus aspiraciones se vieron truncadas cuando descubrieron que ser dueños de un ejemplar de la obra (aunque sea la original) no supone que ostenten los derechos de propiedad intelectual sobre la misma.
La normativa de propiedad intelectual otorga al autor de la obra una serie de derechos sobre su creación. Estos derechos pueden agruparse en dos categorías, los derechos morales (intransferibles) y los de explotación (transferibles). Los derechos de explotación son, en esencia, los derechos que permiten, por ejemplo, autorizar que un libro se convierta en una película.
Los derechos de explotación, no se transfieren con la compra de un ejemplar físico, el hecho de comprar un libro no nos autoriza a hacer una película sobre el mismo ni a vender copias del mismo. A pesar de la enajenación del ejemplar físico, los derechos no se transfieren con el mismo, algo que debe tenerse especialmente en cuenta si se adquieren obras de terceros con la intención de darles una finalidad comercial o vincularlas a nuestra actividad empresarial o campaña de comunicación.

Más información: enlace a la noticia.

Si eres seguidor del sector del videojuego y en particular de la franquicia HALO, probablemente hayas escuchado o leído sobre una vieja disputa sobre los derechos de autor relacionados con la música del juego. Parece que finalmente van a ser los tribunales los que decidan sobre la cuestión y se pronuncien sobre quien es el titular de los derechos sobre la música.  En concreto, los compositores originales Marty O’Donnell y Mike Salvatori, reclaman entre otras cuestiones royalties por espacio de 20 años al entender que son los titulares de las obras y lo que ha mediado es un acuerdo de licencia y no una transmisión de derechos bajo la figura “work for hire”.
 
Más información: enlace a la noticia

Laboratorios ERN registró en 2017 la marca “Apiretal” ante Oficina de Propiedad Intelectual de la Unión Europea en relación con distintos productos, entre los que se encontraban además de los “productos farmacéuticos” otros productos como, por ejemplo, productos veterinarios o productos para la destrucción de animales dañinos como fungicidas o herbicidas. Productos para los que la compañía no tenía autorización de comercialización.
En este contexto, otro laboratorio inició contra la marca Apiretal una acción de caducidad por falta de uso encaminada a romper el monopolio del uso de la denominación “Apiretal” en relación con productos distintos de los farmacéuticos. Dicha acción prosperó en el seno de la mencionada Oficina de Propiedad Intelectual y recientemente ha sido confirmada por el Tribunal General de la Unión Europea reduciéndose el registro marcario “Apiretal” únicamente a productos farmacéuticos.
Esta resolución sirve como recordatorio de la importancia de no sobrestimar el alcance de la marca y ser realista a la hora de describir los productos y servicios que se van a identificar con ésta ya que en caso contrario podría perderse el registro en relación con aquellos productos o servicios cuyo uso no se pueda probar.
Señalar, asimismo, que antes de iniciar un procedimiento de oposición se deberá revisar que puede acreditarse el uso del signo distintivo que se opone frente a la solicitud de registro de un tercero ya que dicho tercero puede solicitar dicha acreditación. En el caso de no poder acreditarse el uso del signo distintivo opuesto, además de decaer la oposición podría iniciarse una acción de caducidad frente al mismo.

Más información: puede consultar la sentencia completa.