Facebook-f X-twitter Linkedin Instagram Rss
Buscar
Cerrar este cuadro de búsqueda.
Buscar
Cerrar este cuadro de búsqueda.

Entradas de la etiqueta: #Seguridad de la Información

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Publicado el 08-09-2025
Cumplimiento normativo

 

Protección de datos y seguridad de la información

 

 

 

 

CUMPLIMIENTO NORMATIVO

 

La Autoridad Independiente de Protección del Informante ya está operativa. 

Desde el 1 de septiembre de 2025 está en funcionamiento la Autoridad Independiente de Protección del Informante, AAI (en adelante AIPI), cuya puesta en marcha fue fijada por la Orden PJC/908/2025, de 8 de agosto (publicada en el BOE el 12 de agosto) en cumplimiento de la Ley 2/2023. Presidida por Manuel Villoria Mendieta, la AIPI nace como pilar institucional en la lucha contra la corrupción y para garantizar la protección efectiva de las personas que informen de infracciones, adaptando al ordenamiento español la Directiva (UE) 2019/1937. 

La nueva autoridad asume, entre otras, la gestión del canal externo de denuncias, la adopción de medidas de protección y apoyo a las personas informantes y la potestad sancionadora (con multas que pueden llegar hasta 300.000 € para personas físicas y 1.000.000 € para personas jurídicas, según la infracción). También emitirá circulares y recomendaciones, y supervisará el correcto funcionamiento de los sistemas internos de información de las organizaciones, en coordinación con otras autoridades nacionales y autonómicas. 

En este contexto, conviene destacar que las entidades obligadas por la Ley de Protección al Informante disponen de dos meses desde el inicio de actividad para designar y comunicar a la AIPI a la persona y/o Comité responsable de su Sistema interno de información, con fecha límite 1 de noviembre de 2025. 

 

Volver al índice

 

 

Canales de denuncia de la Autoridad Independiente de Protección del informante. 

Con motivo del inicio de su actividad, la Autoridad Independiente de Protección del Informante ha habilitado una web provisional (www.proteccioninformante.gob.es), mientras culmina el desarrollo de su Sede Electrónica y portal definitivo, que, según figura en nota informativa, estará operativo en breve y contará con las medidas de seguridad y confidencialidad legalmente exigidas. 

Mientras tanto, se puede contactar con la Autoridad Independiente de Protección del Informante a través de los siguientes correos habilitados: para asuntos generales o informativos y para comunicaciones del Responsable del Sistema de Información, aipi@proteccioninformante.es; para el Canal Externo de Información, canal.externo@proteccioninformante.es (omitiendo cualquier dato personal de terceros por razones de confidencialidad); y para el Canal Interno de Información, canal.interno@proteccioninformante.es (igualmente, sin datos personales de terceros). 

 

Volver al índice

 

 

Plan Estatal de Lucha contra la Corrupción. 

El pasado 9 de julio, el Gobierno presentó el Plan Estatal de lucha contra la corrupción, estructurado en cinco ejes y quince medidas para reforzar el marco legal existente en materia de integridad pública.  

Entre sus novedades destacan la creación de una Agencia Independiente de Integridad Pública, el uso de IA y big data en contratación para detectar irregularidades y la extensión de mapas de riesgos en la gestión de fondos. Asimismo, el Plan blinda el anonimato en los canales de denuncia, endurece las sanciones por represalias, obliga a las organizaciones que contraten con la Administración a contar con sistemas de cumplimiento anticorrupción y a someterse a auditorías externas de integridad. Además, crea una lista de inhabilitación que excluirá de la contratación pública, subvenciones y beneficios fiscales a las entidades condenadas en firme por corrupción. 

En este contexto, el 26 de agosto se aprobó el Real Decreto 711/2025, por el que se crea la Comisión Interministerial para el impulso del Plan Estatal de Lucha contra la Corrupción y se regula su composición y funcionamiento. Esta Comisión, concebida para la dirección estratégica, el fomento y la coordinación de las medidas a adoptar por la Administración General del Estado, tiene por objeto asegurar el cumplimiento efectivo de las actuaciones previstas en el Plan. 

 

Volver al índice

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Biometría ¿Cambio de criterio de la Agencia Española de Protección de Datos? 

La Agencia Española de Protección de Datos (AEPD) ha respondido a una consulta previa de las Fuerzas y Cuerpos de Seguridad del Estado sobre el uso de biometría para el control de accesos. A partir de una evaluación de impacto (EIPD), el informe distingue dos enfoques: la identificación, con mayores riesgos para la privacidad, y la autenticación, que bien diseñada y limitada al punto de acceso, puede resultar más proporcionada y menos intrusiva. La Agencia exige justificar necesidad y proporcionalidad, acreditar la mejora frente a sistemas previos y escoger, entre alternativas igual de eficaces, la menos gravosa. Entre las garantías técnicas que valora figuran el tratamiento local cuando sea posible, puntos de control aislados, la retención mínima, la ausencia de acceso externo y las opciones de respaldo. En línea con el Comité Europeo de Protección de Datos, se valoran positivamente modelos en los que la plantilla reside en el dispositivo del usuario o se almacena cifrada con una clave bajo su exclusivo control. 

En cuanto al marco jurídico, la Agencia considera que, para el supuesto analizado, existe base suficiente para la utilización del sistema biométrico: su finalidad principal es la prevención de delitos y amenazas contra la seguridad pública, y a tal efecto el informe se apoya en la Ley Orgánica 7/2021 y, como norma específica, en la Ley Orgánica 2/1986. No obstante, aun reconociendo dicha cobertura, el propio informe subraya la conveniencia de que el legislador refuerce el marco con disposiciones más detalladas y garantías adicionales, acordes al impacto real de estos tratamientos. 

 

Volver al índice

 

 

Data Act: entrada en aplicación el 12 de septiembre de 2025. 

El Reglamento (UE) 2023/2854, conocido como Data Act, establece el marco para el acceso y la utilización de los datos generados por productos conectados y servicios relacionados en la Unión Europea, abarcando tanto datos personales como no personales. Su aplicación general comienza el 12 de septiembre de 2025, aunque se han previsto plazos adicionales para determinadas obligaciones, como las de diseño y fabricación, que se aplicarán de forma escalonada en 2026 y 2027. 

Entre las disposiciones más relevantes de la norma se pueden destacar las siguientes: 

    • Derecho de los usuarios de productos conectados a solicitar el acceso a los datos generados por el uso, incluyendo información sobre consumo, funcionamiento u operaciones de mantenimiento, y a compartirlos con terceros de su elección. 
    • Prohibición de cláusulas contractuales abusivas que limiten el acceso legítimo a dichos datos, especialmente en contratos B2B, con un régimen específico para contratos celebrados antes de la fecha de aplicación general. 
    • Obligaciones de interoperabilidad y portabilidad para facilitar el cambio entre proveedores de servicios de tratamiento de datos (por ejemplo, servicios en la nube) y mejorar la interoperabilidad técnica. 

 

Volver al índice

 

 

Sentencia del Tribunal Supremo sobre mirillas digitales. 

El Tribunal Supremo, en su Sentencia 1166/2025 de 17 de julio, ha confirmado la condena por intromisión ilegítima en el derecho a la intimidad derivada de la instalación de una mirilla digital. En el caso analizado, la instalación no superó a juicio del Tribunal el juicio de proporcionalidad ya que “no respondió a problemas de seguridad (…) sino a la simple comodidad de los demandados, que estaban ausentes durante temporadas y tenían interés por saber si iba alguien a entregar algún paquete a su vivienda”. La mirilla digital se activaba “sin necesidad de que hayan llamado al timbre de la vivienda de los demandados o intentado abrir su puerta” por lo que dada “la situación enfrentada de ambas puertas, a una distancia mínima, supone que cuando se abre la puerta de la vivienda de los demandantes el dispositivo permite ver el interior de esa vivienda; no existen garantías de limitación al acceso de esas imágenes”. 

 

Volver al índice

 

 

Transferencias internacionales de datos a USA: el Tribunal General de la UE confirma el Data Privacy Framework. 

El 3 de septiembre de 2025 el Tribunal General de la Unión Europea desestimó una acción que cuestionaba el Data Privacy Framework, que recordemos constituye el principal mecanismo para las transferencias internacionales de datos de carácter personal entre la UE y USA. 

La Agencia Española de Protección de Datos (AEPD) ha emitido un nota valorativa en la que subraya que “considera que la sentencia aporta estabilidad y refuerza la seguridad jurídica y la continuidad de las transferencias internacionales de datos entre la UE y EEUU”. 

 

Volver al índice

 

 

La Comisión Europea abre consulta sobre la futura Ley de Equidad Digital. 

La Comisión Europea ha puesto en marcha una consulta pública y una convocatoria de datos sobre la futura Ley de Equidad Digital, cuyo objetivo es reforzar la protección de los consumidores frente a prácticas digitales desleales. La iniciativa, abierta a ciudadanos, autoridades y partes interesadas, busca recoger aportaciones que permitan reforzar la protección de los consumidores en el entorno digital, así como establecer condiciones de competencia claras y equilibradas para las empresas en la Unión Europea. 

La propuesta pretende hacer frente a fenómenos cada vez más extendidos en el ámbito digital, como el uso de patrones oscuros en interfaces, el marketing engañoso de influencers en redes sociales, el diseño adictivo de productos y servicios digitales o la elaboración de perfiles que explotan las vulnerabilidades de los usuarios. La consulta estará abierta hasta el 24 de octubre de 2025. 

 

Volver al índice

 

 

Publicado en Circulares, Cumplimiento Normativo, Protección de Datos | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 7 – 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5- 2025

Publicado el 30-05-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

Navarra crea el Comité de Ética de la Oficina del Datos para regular el uso de la IA 

El Gobierno de Navarra ha constituido el Comité de Ética de la Oficina del Dato mediante la Orden Foral 129E/2024, con el propósito de asegurar un uso transparente y responsable de la Inteligencia Artificial en la Administración Pública. Este órgano consultivo analizará las implicaciones éticas del uso de datos personales y públicos, así como de algoritmos de IA, actuando como garante del cumplimiento del Manifiesto ético del Gobierno en esta materia. Entre sus funciones destacan la elaboración de protocolos de actuación para resolver conflictos éticos, la emisión de recomendaciones y el asesoramiento en la elaboración de planes estratégicos relacionados con el uso de datos. 

El comité estará compuesto por un máximo de 20 personas con experiencia técnica, jurídica o humanista, procedentes de la Administración, universidades, empresas tecnológicas y organizaciones ciudadanas. Se velará por la paridad de género y la pluralidad de perfiles, incluyendo juristas, especialistas en ética aplicada, comunicación y ciencia de datos. Tendrá una presidencia elegida entre sus vocalías y una secretaría adscrita al Departamento de Universidad, Innovación y Transformación Digital. Sus integrantes tendrán un mandato de cuatro años, y se reunirán al menos dos veces al año, con posibilidad de convocar sesiones extraordinarias según lo requiera la situación. 

 

 

Volver al índice

 

Resolución sobre decisiones automatizadas: la AEPD analiza el sistema Bosco 

La Agencia Española de Protección de Datos (AEPD) ha emitido la resolución PS/00324/2023, en la que se analiza el uso del sistema Bosco por parte del Ministerio de Trabajo y Economía Social (MTERD). Este sistema, basado en algoritmos, se emplea para detectar posibles fraudes en la contratación laboral. La AEPD evaluó si dicho tratamiento de datos personales se ajusta al Reglamento General de Protección de Datos (RGPD), identificando varias infracciones y señalando la necesidad de realizar una EIPD, dado que el sistema Bosco implica un tratamiento de datos personales a gran escala y puede tener un impacto significativo en los derechos de los ciudadanos. Además, la AEPD enfatiza en el principio de transparencia y destaca la importancia de que los responsables del tratamiento informen de manera clara y accesible sobre los criterios utilizados en los sistemas automatizados y las garantías implementadas para proteger los derechos de los interesados. 

 

 

Volver al índice

 

La Autoridad Italiana de protección de datos multa al chatbot Replika  

La Autoridad Italiana de Protección de Datos ha sancionado con 5 millones de euros a la empresa desarrolladora del chatbot de inteligencia artificial Replika, tras detectar varias infracciones del Reglamento General de Protección de Datos (RGPD). La investigación reveló que Replika carecía de una base legal adecuada para el tratamiento de datos personales, no implementaba mecanismos efectivos de verificación de edad, a pesar de excluir a menores como usuarios, y proporcionaba una política de privacidad deficiente.  

Además de la sanción económica, la Autoridad italiana ha ordenado a la empresa que adapte sus prácticas de tratamiento de datos a las disposiciones del RGPD, particularmente en lo que respecta a la transparencia y protección de datos desde el diseño y por defecto. Asimismo, la Autoridad italiana ha anunciado la posibilidad de realizar una investigación adicional para evaluar la legalidad del tratamiento de datos a lo largo de todo el ciclo de vida del sistema de inteligencia artificial de Replika. 

 

 

Volver al índice

 

 

Nuevas Directrices sobre el tratamiento de datos personales en Blockchain 

El Comité Europeo de Protección de Datos (EDPB) ha publicado recientemente nuevas directrices sobre el tratamiento de datos personales mediante tecnologías blockchain. Estas directrices buscan ayudar a las organizaciones a cumplir con el Reglamento General de Protección de Datos (RGPD) al utilizar esta tecnología. Se enfatiza la necesidad de implementar medidas técnicas y organizativas desde las primeras etapas del diseño, realizar evaluaciones de impacto en la protección de datos cuando sea probable que el tratamiento conlleve un alto riesgo para los derechos y libertades de las personas, y evitar almacenar datos personales directamente en la cadena de bloques si esto entra en conflicto con los principios de protección de datos.  

Las directrices también destacan la importancia de definir claramente los roles y responsabilidades de los diferentes actores involucrados en el tratamiento de datos personales mediante blockchain. Además, se subraya la necesidad de garantizar los derechos de los individuos, como la transparencia, rectificación y supresión de datos personales. Dado que la naturaleza inmutable de la blockchain puede dificultar la eliminación de datos, se recomienda diseñar sistemas que permitan anonimizar eficazmente los datos personales si se solicita su supresión.  

Las directrices serán objeto de consulta pública hasta el 9 de junio de 2025, lo que brindará a las partes interesadas la oportunidad de presentar sus observaciones. 

 

 

Volver al índice

 

 

La AEPD publica su memoria 2024: la inteligencia artificial y los neurodatos, nuevos desafíos en protección de datos 

La Agencia Española de Protección de Datos (AEPD) ha publicado su memoria anual correspondiente al año 2024. Según el informe, la AEPD tramitó un total de 18.885 reclamaciones, una cifra ligeramente inferior a la de 2023, aunque sigue siendo la segunda cifra más alta registrada hasta la fecha. Las principales quejas de los ciudadanos se centraron en la videovigilancia (19%), los servicios de internet (8%) y sectores como el comercio, transporte y hostelería (7%). Además, la AEPD impuso 281 sanciones, destacando multas significativas a formaciones políticas y grandes entidades por el uso indebido de datos personales. 

Entre los retos prioritarios señalados por la AEPD en esta memoria se encuentran el avance de la inteligencia artificial, el desarrollo de espacios de datos compartidos y el uso emergente de neurodatos. La agencia advierte del riesgo creciente que suponen estas tecnologías para la privacidad, especialmente cuando se trata de datos especialmente sensibles como los sanitarios o los que pueden revelar información cerebral o cognitiva. En este contexto, la AEPD plantea la necesidad de establecer garantías reforzadas, incluyendo la posible creación de “neuroderechos” para proteger la libertad y la intimidad de las personas frente a usos invasivos de las nuevas tecnologías. 

 

 

Volver al índice

 

La UE adopta el Espacio Europeo de Datos de Salud 

El Consejo de la Unión Europea ha adoptado recientemente el Reglamento (UE) 2025/327 que establece el Espacio Europeo de Datos de Salud (EEDS). Esta iniciativa busca mejorar el acceso y el intercambio de datos sanitarios electrónicos en toda la UE. Este marco legal tiene como finalidad otorgar mayor control a los ciudadanos, permitiéndoles acceder y controlar sus datos de salud personales desde cualquier Estado miembro, al tiempo que facilita la reutilización segura de información anonimizada con fines de investigación, innovación y formulación de políticas públicas. Además, los países de la UE deberán crear autoridades de salud digital para implementar estas disposiciones, promoviendo así la transformación digital del sector sanitario europeo. 

El Reglamento también establece requisitos para garantizar la interoperabilidad de los sistemas de historia clínica electrónica, exigiendo que todos cumplan con el formato europeo de intercambio de historias clínicas electrónicas. Esto permitirá un acceso transfronterizo eficiente y seguro a los servicios y productos sanitarios digitales dentro de la UE. El Reglamento entró en vigor el 26 de marzo de 2025, iniciando una fase de implementación gradual que culminará en 2031. 

 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

 

Manuel Villoria toma posesión como presidente de la Autoridad Independiente de Protección del Informante 

El pasado 9 de mayo, Manuel Villoria Mendieta asumió oficialmente el cargo de presidente de la Autoridad Independiente de Protección del Informante (AIPI), en un acto presidido por el ministro de la Presidencia, Justicia y Relaciones con las Cortes, Félix Bolaños. Este organismo, creado en el marco del Plan de Acción por la Democracia y conforme a la Ley 2/2023, tiene como objetivo proteger a quienes denuncien infracciones normativas y actos de corrupción, garantizando su anonimato y ofreciendo apoyo financiero y psicológico.  

Manuel Villoria, catedrático de Ciencia Política en la Universidad Rey Juan Carlos y experto en ética pública y lucha contra la corrupción, liderará una institución con autonomía funcional e independencia de cualquier entidad pública o privada. Entre sus funciones se incluyen la recepción de denuncias a través de un canal seguro, la verificación de su contenido y, en su caso, la remisión a la Fiscalía, la tramitación de procedimientos sancionadores y el asesoramiento al Gobierno. 

 

 

Volver al índice

 

 

Publicada la nueva UNE 19601:2025 sobre sistemas de gestión de Compliance penal 

La Asociación Española de Normalización (UNE) ha publicado la nueva versión de la norma UNE 19601:2025, que sustituye, actualiza y deja sin efecto a la edición anterior, vigente desde el año 2017. Esta norma establece los requisitos para implantar, mantener y mejorar sistemas de gestión de compliance penal en las organizaciones, y su actualización responde a la necesidad de adaptar el marco normativo a los cambios legislativos y a la evolución de las mejores prácticas en materia de cumplimiento. 

Entre las principales novedades se encuentra la clarificación de las obligaciones del órgano de gobierno, diferenciando con mayor precisión aquellas que son de su responsabilidad directa de las que implican únicamente una labor de supervisión y vigilancia. Además, se distingue entre «formación» y «toma de conciencia», adaptando cada una según el nivel de exposición al riesgo del personal implicado. Asimismo, se integran los requisitos de la Ley 2/2023 sobre protección de informantes, fortaleciendo los canales internos de denuncia como pilares esenciales del sistema de compliance. 

 

 

Volver al índice

 

El Congreso impulsa la transparencia con su I Plan de Parlamento Abierto 

El Congreso de los Diputados ha aprobado el I Plan de Parlamento Abierto (2025–2027), una iniciativa que busca fortalecer la transparencia, la participación ciudadana y la rendición de cuentas en la Cámara Baja, con el objetivo de hacer de esta una institución más accesible y cercana a los ciudadanos. Este Plan, que incluye una treintena de medidas, se desarrollará en torno a cuatro grandes ejes: transparencia, participación, rendición de cuentas, y formación y sensibilización. 

Entre las medidas destacadas se encuentra la promoción del uso del lenguaje claro, permitiendo que los grupos parlamentarios y otros actores con capacidad de presentar iniciativas legislativas elaboren resúmenes comprensibles de sus propuestas, los cuales estarán disponibles en la web del Congreso. Además, se prevé la creación de guías en lenguaje claro sobre el procedimiento legislativo, elaboradas por la Secretaría General del Congreso. 

Otra medida significativa es la creación de un registro obligatorio y público de grupos de interés o ‘lobbies’ que deseen influir en la actividad parlamentaria. Este registro, junto con un código de conducta, busca garantizar la transparencia y la integridad en la toma de decisiones. Asimismo, se establecerá un régimen sancionador para quienes incumplan las obligaciones de transparencia, como no publicar las reuniones mantenidas con diputados. 

 

 

Volver al índice

 

Publicado en Circulares | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 5- 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2025

Publicado el 14-04-2025
Protección de datos y seguridad de la información

 

Cumplimiento normativo

 

Charlas, eventos y novedades

 

 

 

PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

 

200.000 euros de multa por vulnerar la confidencialidad en un procedimiento de acoso laboral. 

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una empresa con una multa de 200.000 euros tras recibir dos reclamaciones por la vulneración de la confidencialidad en un procedimiento interno por acoso laboral. La empresa divulgó de forma indebida las identidades de los denunciantes y denunciados al remitir por correo electrónico las resoluciones del protocolo de acoso a múltiples destinatarios, incluyendo a personas ajenas al proceso. Esta actuación expuso datos personales, como nombres, apellidos y puestos de trabajo, lo cual fue considerado una infracción del artículo 5.1.f) del RGPD, que obliga a garantizar la integridad y confidencialidad de los datos personales. 

La AEPD concluyó que la empresa no aplicó medidas adecuadas para proteger dichos datos y mostró una alta negligencia, permitiendo el acceso indiscriminado a datos personales entre las partes. Esta circunstancia reviste especial gravedad dada la naturaleza del procedimiento y la obligación de preservar la confidencialidad en este tipo de casos. 

Como parte de la sanción, que se redujo a 120.000 euros tras el reconocimiento de responsabilidad y el pago voluntario por parte de la empresa, la AEPD también ha exigido la adopción de medidas correctoras en un plazo de tres meses, recordando que la confidencialidad en protocolos de acoso debe aplicarse de manera efectiva. 

 

 

Volver al índice

 

 

Nueva ley para proteger a los menores en el entorno digital. 

El Consejo de Ministros ha remitido recientemente a las Cortes el proyecto de Ley Orgánica para proteger a los menores de edad en los entornos digitales, incorporando medidas como la obligatoriedad de controles parentales efectivos en dispositivos móviles, la regulación del uso de tecnologías en el ámbito educativo y la lucha contra contenidos perjudiciales como la pornografía, los ‘deepfakes’ vejatorios y los mecanismos adictivos en videojuegos. El proyecto Ley reconoce el derecho de los menores a una navegación segura, a la información veraz y al acceso equitativo a dispositivos, además de promover el aprendizaje de competencias digitales desde edades tempranas. Además, se eleva a 16 años la edad mínima para otorgar consentimiento en el tratamiento de datos personales en redes sociales. 

Por otro lado, el proyecto contempla importantes reformas legales, como la modificación del Código Penal para tipificar como delito la difusión de pornografía a menores, los ‘deepfakes’ sexuales y la creación de perfiles falsos por adultos con fines delictivos. Se habilita la intervención judicial para bloquear o retirar contenidos inapropiados y se modifica la Ley General de Comunicación Audiovisual, imponiendo a los grandes operadores y creadores de contenido la obligación de establecer canales de denuncia y mecanismos de verificación de edad.  

 

 

Volver al índice

 

 

España impulsa la IA responsable con un Sandbox pionero en Europa. 

El Gobierno de España ha puesto en marcha el primer Sandbox de Inteligencia Artificial (IA) de la Unión Europea, una iniciativa pionera orientada a facilitar la adaptación de sistemas de IA a las exigencias del nuevo Reglamento de IA. A través de este entorno de pruebas, se pretende apoyar a empresas, especialmente PYMES y startups, en la implementación de sistemas de IA seguros, éticos y alineados con las normativas europeas.  

Entre los 12 proyectos seleccionados se encuentran soluciones aplicadas a sectores como servicios esenciales, empleo, infraestructuras críticas y salud. En el ámbito de la biometría, destaca la participación de Veridas con su sistema para verificar la edad de usuarios en máquinas de vending, asegurando el cumplimiento normativo en la venta de productos regulados como tabaco o también normativa pendiente de regular para vapeadores.  

Durante abril de 2025 se dará inicio al proyecto, en colaboración con la Oficina Europea de IA, ofreciendo formación y consultoría de alto nivel para adaptar los sistemas seleccionados a las obligaciones del Reglamento de IA. Como resultado de esta experiencia, se desarrollarán las guías técnicas de implementación del Reglamento que se publicarán para uso de todos los desarrolladores IA en España. 

 

Volver al índice

 

Actualizada la guía sobre criterios Generales de Auditoría y Certificación del ENS (Esquema Nacional de Seguridad). 

El Centro Criptológico Nacional (CCN) ha publicado una versión actualizada de la guía CCN-CERT IC 01/19, que establece los criterios generales de auditoría y certificación del Esquema Nacional de Seguridad (ENS). Esta revisión, elaborada por el Consejo de Certificación del Esquema Nacional de Seguridad (CoCNS), está dirigida a las entidades de certificación acreditadas por ENAC o reconocidas por el propio Centro Criptológico Nacional (CCN). La guía se alinea con lo establecido en el artículo 31 del Real Decreto 311/2022, que regula la auditoría de seguridad en el marco del Esquema Nacional de Seguridad. 

 

 

Volver al índice

 

 

CUMPLIMIENTO NORMATIVO

 

 

Designado presidente de la Autoridad Independiente de Protección del Informante. 

El Congreso de los Diputados ha aprobado por mayoría absoluta la propuesta del Consejo de Ministros para designar al catedrático Manuel Villoria Mendieta como presidente de la Autoridad Independiente de Protección del Informante, A.A.I. Este organismo clave en la aplicación de la Ley 2/2023 de protección al informante, desempeña un papel fundamental en la prevención de la corrupción y en la salvaguarda de quienes informan sobre irregularidades, garantizando su confidencialidad y seguridad. Tras la ratificación parlamentaria, el nombramiento deberá ser formalizado por el Consejo de Ministros mediante Real Decreto, lo que supondrá un avance significativo en el fortalecimiento institucional del sistema de alertas internas en España. 

Manuel Villoria Mendieta es catedrático de Ciencia Política y de la Administración en la Universidad Rey Juan Carlos y figura destacada en el ámbito de la transparencia, ética pública y buen gobierno. Miembro de Transparencia Internacional España, cuenta con una amplia trayectoria académica y profesional vinculada al estudio de la gobernanza democrática y la lucha contra la corrupción. 

 

Volver al índice

 

El Parlamento Europeo aplaza la entrada en vigor de las directivas sobre Sostenibilidad (CSRD y CSDDD). 

El Parlamento Europeo ha respaldado la propuesta de aplazar la entrada en vigor de la Directiva de Información Corporativa en materia de Sostenibilidad (CSRD) y de la Directiva sobre Diligencia Debida en materia de Sostenibilidad Corporativa (CSDDD). Con una amplia mayoría de votos, los eurodiputados aprobaron esta iniciativa en el marco del paquete legislativo Omnibus I, orientado a la simplificación normativa y al fortalecimiento de la competitividad de la Unión Europea. 

En lo que respecta a la Directiva sobre Diligencia Debida (CSDDD), la decisión adoptada concede un año adicional a los Estados miembros para transponer sus disposiciones a los ordenamientos jurídicos nacionales, y difiere la aplicación de las obligaciones para las empresas, en función de su tamaño y volumen de facturación. De este modo, las grandes entidades empresariales comenzarán a implementar los nuevos requisitos a partir de 2028. Por su parte, la entrada en vigor de Directiva de Información Corporativa en materia de Sostenibilidad (CSRD) también se prorrogará dos años.  

Con el objetivo de acelerar la adopción de estas medidas, el Parlamento ha acordado recurrir al procedimiento de urgencia. Para su entrada en vigor, el proyecto de ley requiere ahora la aprobación formal del Consejo de la Unión Europea. 

 

Volver al índice

 

 

Nuevos catálogos de indicadores de riesgo de blanqueo de capitales 

Se han publicado recientemente los nuevos catálogos de indicadores de riesgo de blanqueo de capitales por parte del Tesoro Público. Estos documentos actualizados ofrecen una guía más precisa para la identificación temprana de operaciones sospechosas, incorporando tipologías delictivas emergentes y criterios adaptados a la evolución de los riesgos. Especial atención reciben sectores como el financiero, los proveedores de servicios de criptoactivos y ámbitos no financieros, incluyendo arte, joyería, inmobiliario y servicios jurídicos, cada uno con indicadores ajustados a sus particularidades y niveles de exposición. 

Esta actualización fortalece el enfoque basado en el riesgo y dota a los sujetos obligados de herramientas más efectivas para adaptarse a un entorno delictivo en constante transformación, contribuyendo así a una mayor solidez en el sistema de prevención del blanqueo de capitales y la financiación del terrorismo. 

 

Volver al índice

 

 

CHARLAS, EVENTOS Y NOVEDADES

 

Jornada anual del Colegio Oficial de Enfermeras de Navarra sobre inteligencia artificial y enfermería. 

El próximo 8 de mayor se celebra la Jornada anual del Colegio Oficial de Enfermeras de Navarra (COENAV,) bajo el título “Inteligencia Artificial y Enfermería:  una alianza para un cuidado más humano/Adimen Artifiziala eta Erizaintza: aliantza bat zaintza gizatiarrago bat izateko”. 

En el marco de esta jornada, Álvaro Abáigar, Socio- director del Departamento de Nuevas Tecnologías y Cumplimiento Normativo en ARPA Abogados Consultores, participará en una mesa redonda dedicada a las “Aplicaciones tecnológicas de apoyo para el cuidado del paciente”.  

Inscripciones en: Abierta la inscripción a la jornada anual del Colegio sobre inteligencia artificial y enfermería 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2025

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2024

Publicado el 02-05-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Propiedad Intelectual e Industrial

 

Normativa al día

 

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría y protección de datos.  Últimas novedades nacionales e internacionales

Desde la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos por la Agencia Española de protección de datos (AEPD) cualquier resolución, guía o recomendación que trate sobre biometría suscita un gran interés A continuación recogemos algunas novedades sobre la cuestión:

    • En el plano internacional, destacar que CNIL, la autoridad de protección de datos de Francia, ha abierto una consulta sobre la autenticación multifactor hasta el próximo 31 de mayo que hace una referencia concreta a las soluciones de identificación basadas en tecnologías biométricas. Por lo que se indica en el citado documento, en el contexto de la consulta se puede utilizar una solución basada en biometría con el objetivo de identificar a un sujeto siempre que se ofrezca una alternativa, lo que deja como válido el consentimiento para levantar la excepción del artículo 9 que tantos quebraderos de cabeza está trayendo en nuestro país. Esto parece alinearse con la guía sobre biometría de ICO (la autoridad de protección de datos de Reino Unido).
    • En clave nacional, se han conocido varias sanciones principalmente basadas en el incumplimiento por parte de los responsables de tratamiento de las exigencias normativas en cuanto a defectos o inexistencia de evaluación de impacto previa al inicio del tratamiento, por no informar correctamente a los interesados y no establecer medidas de seguridad suficientes. A destacar al respecto la sanción impuesta al Burgos CF que, si bien había realizado una evaluación de impacto, la misma era posterior al inicio del tratamiento por lo que incumplía el Reglamento. Adicionalmente en cuanto a la base legal necesaria para levantar la prohibición del tratamiento de datos biométricos el propio club manifestó que no disponía de la misma ya que el consentimiento no se recabó siguiendo las exigencias del Reglamento ni en relación con los mayores de edad ni con los menores.
Volver al índice

 

El Modelo de “Consent or Pay” deberá ofrecer una alternativa real.

El Comité Europeo de Protección de Datos se ha pronunciado en abril de 2024 acerca del modelo “Consent or Pay” que ofrecen actualmente las grandes plataformas en línea. En este sentido, el organismo ha considerado que ofrecer únicamente una alternativa de pago al consentimiento no debería ser el camino por defecto para los responsables del tratamiento. Por ello, señala que el modelo deberá proporcionar una verdadera opción para los usuarios, evitando la coerción o la discriminación, que garantice que el consentimiento sea informado, específico, inequívoco y otorgado a través de una acción clara.

Sobre este asunto puedes consultar más información en el artículo publicado en nuestro sitio web escrito por nuestra compañera Candela Martínez Arellano.

 

Volver al índice

 

Las brechas de seguridad, errores que pueden costar muy caros.

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción al Servicio Público de Empleo Estatal (SEPE) a consecuencia de una brecha de seguridad producida por un ransomware en 2021. Se notificó por parte del SEPE a la AEPD una brecha de seguridad que impedía el acceso a los interesados a los servicios telemáticos de la administración. En este sentido, la AEPD ha señalado que el SEPE no disponía de las medidas de seguridad adecuadas a los posibles riesgos, y que tardó más tiempo del requerido legalmente en notificar la brecha, por lo que se le ha apercibido.

No es la única sanción por este motivo, 3 millones y 3.5 millones de euros han sido los importes de las multas impuestas por la AEPD a un importante grupo empresarial nacional del sector energético, tras notificar una brecha de seguridad en sus sistemas causado por  un ataque informático. La brecha implicó el acceso de terceros a datos personales de usuarios, almacenados en una base de datos compartida por distintas sociedades del grupo. De este modo, quedó en evidencia la falta de separación de las bases de datos de las distintas sociedades, así como la falta de un análisis de riesgos sobre las actividades de tratamiento. Es por esto que se imponen las sanciones por la falta de cumplimiento de la obligación de implantar medidas adecuadas para garantizar confidencialidad e integridad, así como a la falta de medidas adecuadas de seguridad.

No obstante los ejemplos anteriores, resulta preciso señalar que la notificación de la brecha no supone necesariamente la apertura de un procedimiento sancionador debiendo cumplirse con la obligación de notificar en cualquier caso.

Volver al índice

 

La comunicación oral se considera tratamiento de datos personales.

El pasado 7 de marzo de 2024, el TJUE dictó una sentencia en la cual decretó que la divulgación oral de datos personales constituye un tratamiento de los mismos, de acuerdo con el artículo 4.2 del Reglamento General de Protección de Datos. En este sentido, establece el TJUE que, al regular el concepto de tratamiento en el artículo señalado, el legislador pretendía dar una interpretación amplia, lo que incluiría la divulgación oral. En caso contrario, existiría la posibilidad de eludir el RGPD utilizando la divulgación oral en vez de escrita, lo que sería manifiestamente incompatible con el fin perseguido por la norma.

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

El Comité Económico y Social Europeo emite un Dictamen sobre la corrupción en la contratación pública y el mercado interior.

El Comité Económico y Social Europeo (CESE) ha emitido un dictamen estudiando el impacto de la corrupción de la contratación pública en el mercado interior. El informe concluye que el marco normativo relativo a la corrupción en el ámbito europeo se encuentra disperso en diferentes regulaciones que no guardan relación entre sí, afectando a la contratación pública. Del mismo modo, se proponen diversas medidas, tales como mejorar los procedimientos previstos en las directivas de contratación, implantar una digitalización real que permita la transparencia y rapidez en todo el ciclo de la contratación pública, o crear instrumentos que respalden la integridad del procedimiento, entre otras.

 

Volver al índice

 

ELISA, la nueva herramienta para conocer la ejecución de las inversiones del Plan de Recuperación, Transformación y Resiliencia.

El Gobierno ha lanzado una herramienta llamada ELISA, que permite hacer un seguimiento de las convocatorias de licitaciones y subvenciones que ejecuten inversiones del PRTR, así como su resolución, poniendo dicha información a disposición de todos los interesados. En concreto, la aplicación, que será actualizada mensualmente, muestra datos como el número de empresas y hogares que han recibido financiación, el tamaño de dichas empresas, o las inversiones realizadas en determinados sectores.

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

El nombre Pablo Escobar no podrá ser registrado como marca.

El Tribunal General de la Unión Europea (TGUE) ha refrendado la decisión de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) de denegar el registro del signo denominativo “Pablo Escobar” como marca. La empresa puertorriqueña Escobar Inc., solicitó en 2021 el registro, que fue denegado por la EUIPO al considerar que se trataba de una marca contraria al orden público y a las buenas costumbres. Ante esto, la sociedad puertorriqueña decidió impugnar la decisión ante el TGUE, que ha confirmado la decisión de la EUIPO, basada en la percepción que tiene el público objetivo sobre Pablo Escobar, considerando que se encuentra asociado con el tráfico de drogas y con el narcoterrorismo, así como con los crímenes y el sufrimiento derivados de ellos. De este modo, el TGUE ha establecido que la marca será percibida como contraria a los valores y a las normas morales fundamentales de la sociedad.

 

Volver al índice

 

Fin de la batalla entre Inditex y Buongiorno. El caso Zara.

El pasado 10 de abril de 2024, tras once años en los Tribunales, concluyó la batalla legal entre Inditex y la empresa italiana Buongiorno Myalert, con una sentencia del Tribunal Supremo, tras la respuesta del  TJUE a la Cuestión Prejudicial planteada. El Supremo ha condenado a Buongiorno por infracción de marca, al considerar que el uso que hacía de la marca Zara no podía ampararse en el límite alegado que se limita a permitir el mismo únicamente cuando resulta necesario “a efectos de designar productos o servicios como correspondientes al titular de esa marca o de hacer referencia a los mismos solamente cuando tal uso de la marca sea necesario para indicar el destino de un producto comercializado o de un servicio ofrecido por ese tercero».

Por ende, se ha condenado a la compañía italiana a pagar una indemnización de 2.215,60 euros a la textil española, así como a publicar un comunicado donde se reproduzca el fallo de la sentencia en las páginas blinko.es y blinkogold.es, con un enlace a la sentencia completa.

 

Volver al índice

 

NORMATIVA AL DÍA

 

La ONU aprueba la primera resolución global para regular la Inteligencia Artificial.

El pasado 21 de marzo, la Asamblea General de las Naciones Unidas aprobó la primera resolución relativa a la IA, con el objetivo de fomentar un desarrollo seguro, responsable y equitativo de dicha tecnología, a fin de evitar un uso malintencionado de la misma, e impedir desigualdades entre países.

 

Volver al índice

 

Nueva Guía STIC-892 publicada sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2.

El Centro Criptológico Nacional ha publicado su nueva guía sobre el Perfil de Cumplimiento Especifico para organizaciones en el ámbito de aplicación de la Directiva NIS2, que explica la forma de cumplir con los requisitos de la misma.

 

Volver al índice

 

Aprobada la Directiva de Debida Diligencia en las empresas.

El Parlamento Europeo ha aprobado el pasado 24 de abril la Directiva de Debida Diligencia, que tiene por objeto proteger los derechos humanos y el medioambiente en el ámbito empresarial, previendo sanciones para las empresas que incumplan la normativa.

 

Volver al índice

 

Factura electrónica.

La Comisión Nacional de los Mercados y la Competencia publica un Informe sobre el proyecto de Real Decreto por el que se desarrolla la Ley 18/2022, de 28 de septiembre, de creación y crecimiento de empresas en lo referido a la factura electrónica entre empresas y profesionales.

 

Volver al índice

 

Actualización de la regulación del Registro Central de Delincuentes Sexuales

Se publica el Real Decreto 407/2024 por el que se modifica el Real Decreto 1110/2015 que regula el Registro Central de Delincuentes Sexuales, resultando interesante la modificación del artículo 9 que regula la expedición de certificados de datos inscritos permitiéndose a las empresas, y organizaciones cuando sea necesaria para la contratación y ejercicio de la relación laboral o actividad solicitar, el certificado directamente siempre que cuenten con el consentimiento expreso del interesado.

 

Volver al índice

 

Transferencias internacionales a EEUU

Se han publicado por parte del Comité Europeo de Protección de Datos diversos materiales y guías en relación con la decisión de adecuación relativa a Estados Unidos, los cuales pueden ser consultados a través del siguiente enlace.

 

Volver al índice

 

Publicación del eIDAS2

Finalmente, se ha publicado la modificación del Reglamento (UE) n.o 910/2014 en lo que respecta al establecimiento del marco europeo de identidad digital, conocido como eIDAS2 (Reglamento – UE – 2024/1183 – EN – EUR-Lex (europa.eu).

 

Volver al índice

 

Publicado en Blog, Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos, Sede-Madrid, Sede-Pamplona, Sede-San Sebastián | Etiquetado como , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 4 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2 – 2024

Publicado el 29-02-2024
Protección de datos – Seguridad de la Información

 

Cumplimiento normativo

 

Propiedad Intelectual e Industrial

 

Normativa al día

 

Charlas y eventos

  • El pasado 9 de febrero, el director del departamento Álvaro Abáigar junto a Leire Arbona, directora de Legal y Cumplimiento en Veridas, impartieron una sesión sobre Inteligencia Artificial y su reglamentación europea e internacional en el foro del Club Cámara.  

  • El pasado 19 de febrero, Candela Martínez impartió una sesión formativa sobre protección de activos intangibles en el «Curso sobre emprendimiento en industrias culturales y creativas» organizado por Carlos Mangado.  

 

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Biometría para el acceso a centros deportivos. 

La Agencia Española de Protección de Datos publicaba a comienzos del mes de febrero, una resolución firmada en mayo de 2023, en la que se sancionaba a un gimnasio por no disponer de una base legal habilitante para el tratamiento de los datos biométricos de sus socios. Entendía la AEPD que la ejecución del contrato no suponía una base suficiente.  

Así, la AEPD sanciona al centro deportivo por no informar correctamente a los usuarios del tratamiento (infracción del artículo 13 RGPD) y por no disponer de base legal habilitante (artículos 9 – por tratarse de categorías especiales de datos- y 6 RGPD)  

 

Volver al índice

 

¿Cuál es el “establecimiento principal” del responsable de tratamiento? El CEPD lo aclara. 

El concepto de establecimiento principal es uno de los ejes del sistema de ventanilla única de la Unión Europea. Se trata del concepto que determinará cual será la autoridad supervisora en los casos transfronterizos de protección de datos. En este sentido, la Autoridad Francesa de Protección de Datos solicitó la aclaración del concepto, ante lo cual, el CEPD ha aclarado que el establecimiento principal será el “lugar de administración central” del responsable del tratamiento, siempre que tome decisiones sobre los fines y medios del procesamiento de datos personales y tenga el poder de implementar dichas decisiones. 

 

Volver al índice

 

Tan solo unos días de resultar aplicable el Reglamento de Servicios Digitales, comienzan las primeras investigaciones. 

El pasado 17 de febrero resultaba aplicable en parte el Reglamento de Servicios Digitales, que entró en vigor el 16 de noviembre de 2022 y tan solo dos días después se abría por la Comisión Europea el primer procedimiento formal frente a la red social TikTok a los efectos de determinar si TikTok ha infringido el Reglamento, analizando entre otros aspectos si la aplicación tiene un diseño adictivo, o si asegura la privacidad de los menores y la transparencia publicitaria. 

 

Volver al índice

 

Representantes de los trabajadores y políticas de uso de dispositivos digitales. 

La reciente Sentencia del Tribunal Supremo número 566/2024, de 6 de febrero, ha analizado un caso en el que se impugnaba la actualización de una política de empresa sobre uso de correo electrónico, internet, almacenamiento de información en discos duros, y sobre conexión de ordenadores para el teletrabajo. En la elaboración de dicha política no había participado la Representación de los Trabajadores, de acuerdo con el artículo 87.3 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales, lo que motivó su impugnación. 

En este sentido, el Supremo recalca que, aunque el mandato incluido en el artículo 87.3 LOPDGDD no tiene efectos retroactivos, cualquier modificación de los criterios previamente establecidos a la entrada en vigor de la LOPD, o cualquier especificación de los mismos, ampliación o restricción debe seguir las normas establecidas en la ley por lo que debe permitirse la participación de la Representación de los Trabajadores.  

 

Volver al índice

 

CUMPLIMIENTO NORMATIVO

 

Tratamiento de datos personales incluidos en los sistemas Internos de Información. 

La Agencia Española de Protección de Datos ha emitido un informe en el que analiza la base legal aplicable al tratamiento de datos personales obtenidos mediante el Sistema Interno de Información de la empresa, para fines no recogidos en el ámbito de aplicación de la Ley 2/2023 de protección al informante. En ese caso, al tratarse de datos que exceden el alcance de dicha ley, indica la AEPD que no podría basarse dicho tratamiento en el cumplimiento de una obligación legal ni en el interés legítimo del responsable.  

Así las cosas, debe extremarse la precaución en cuanto al tratamiento de datos personales a través del sistema interno de información para garantizar en cumplimiento de las exigencias en materia de protección de datos. Se recomienda en este sentido analizar en detalle el tratamiento para garantizar que está alineado con la normativa de protección de datos especialmente si el mismo se ha venido empleando como canal de entrada de informaciones que se encuentren fuera del alcance de la Ley 2/2023.  

 

Volver al índice

 

Nueva norma sobre gestión de Compliance en materia de libre competencia. 

El pasado mes de noviembre, se publicó la norma UNE 19603:2023, sobre Sistemas de Gestión de Compliance en materia de Libre Competencia. Dicha norma permitirá a las empresas, certificar sus sistemas de Compliance en relación con la competencia, y sirve de complemento a la Guía de la Comisión Nacional de los Mercados y de la Competencia sobre programas de cumplimiento en relación con las normas de defensa de la competencia. 

 

Volver al índice

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Los escritos procesales como obras de propiedad intelectual.  

El pasado 9 de enero de 2024, la Audiencia Provincial de Valencia estimó la demanda de una abogada que se dirigía contra un compañero de profesión por copiar casi íntegramente un escrito suyo de contestación a la demanda. La autora del escrito, considerando que el escrito procesal tenía el carácter de obra original, y estaba, por tanto, comprendido dentro del artículo 10.1 a) de la Ley de Propiedad Intelectual inició acciones contra el compañero que había empleado el mismo como propio. La demanda interpuesta por la abogada se estimó al considerarse que el escrito procesal tenía la consideración de obra de propiedad intelectual.   

 

Volver al índice

 

Los fabricantes de automóviles pueden prohibir vender piezas de recambio con sus logos. 

El pasado 25 de enero, se publicó una Sentencia del Tribunal de Justicia de la Unión Europea que conoce un caso en que el demandado vendía rejillas de radiadores diseñadas para modelos antiguos de la marca Audi en las que se incluía un espacio moldeado con la forma del logotipo de la marca, lo que a juicio de Audi infringía sus derechos marcarios.  

En relación con ese asunto se plantea una cuestión prejudicial al TJUE quien determina que en cuanto al uso de la marca de un tercero en piezas de recambio pueden darse dos situaciones: una en la que la “empresa no vinculada económicamente al titular de la marca coloca un signo idéntico o similar a esa marca en las piezas de recambio que comercializa y que están destinadas a ser incorporadas a los productos de dicho titular”  y otra en la que la “empresa, sin colocar un signo idéntico o similar a la marca sobre esas piezas de recambio, hace uso de esa marca para indicar que tales piezas de recambio están destinadas a incorporarse a los productos del titular de dicha marca”. Así, determina el TJUE que la segunda de estas situaciones se ajusta a la normativa mientras que la primera excede el uso en concepto de referencia al que alude el artículo 14, apartado 1, letra c), del Reglamento 2017/1001 y, por tanto, no está comprendido en ninguno de los supuestos contemplados por esta disposición. 

De este modo, aunque el troquelado de la marca se incluyera con la finalidad de incorporar de manera sencilla el logo de la marca una vez instalada la rejilla, dicho uso se entendió que menoscababa las funciones de la marca, en concreto, garantizar la calidad o la procedencia de un determinado producto.

 

Volver al índice

 

NORMATIVA AL DÍA

 

La Comisión Europea avanza en la creación de la Oficina Europea de Inteligencia Artificial. 

El pasado 21 de febrero entró en vigor la decisión por la que se crea la Oficina Europea de Inteligencia Artificial, que formará parte de la Dirección General de Redes de Comunicación, Contenido y Tecnologías. El objetivo del organismo será asegurar la correcta aplicación y ejecución del futuro Reglamento IA, así como el fomento del uso y de la comprensión de las herramientas de Inteligencia Artificial. Para asegurar sus objetivos, se prevé que trabaje en colaboración con los estados miembro, así como con expertos de la comunidad científica y desarrolladoras de IA.  

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial | Etiquetado como , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 2 – 2024

Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Publicado el 30-01-2024
Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

Compliance

 

Normativa al día

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

Límites al uso de marcas de terceros con motivo de una acción promocional. 

Tras conocerse la opinión del Abogado General de Justicia de la Unión Europea, el Tribunal de Justicia de la Unión Europea ha resuelto la cuestión prejudicial planteada por el Tribunal Supremo en el caso de uso de la marca Zara por Buongiorno Myalert en relación con una acción promocional en la que esta última regalaba tarjetas regalo de Zara. Acto que Inditex entendía, constituía un acto de competencia desleal. 

Tras ser desestimadas las pretensiones de Inditex por parte de un Juzgado de lo Mercantil de Madrid, así como por la Audiencia Nacional, se recurrió ante el Tribunal Supremo, que planteó cuestión prejudicial al TJUE solicitando aclaración sobre si el concepto de “límite referencial” previsto por el artículo 6.1.c) de la Directiva 2008/95 aplicable en el momento de los hechos, es más o menos amplio que el de la Directiva 2015/2436, aplicable en la actualidad. 

En este contexto, el TJUE aclara que el límite solo se refiere al uso en el tráfico económico de la marca, cuando la misma sea requerida para determinar el destino de un producto. Aclarado el alcance, corresponde al Tribunal Supremo determinar si la campaña que lanzó Buongiorno se adecua o no a derecho. 

 

Volver al índice

 

El Tribunal Supremo pone punto final a la guerra entre Kukuxumuxu y sus antiguos dibujantes. 

La Sala de lo Civil del Tribunal Supremo ha desestimado el recurso planteado por la entidad Kukuxumusu Ideas, S.L a la sentencia de segunda instancia.  La sentencia analiza si la cesión de derechos de explotación sobre los dibujos acordada entre la mercantil y los autores de los mismos alcanza cualquier nuevo dibujo en el que puedan aparecer los personajes representados en los dibujos cedidos o si, por el contrario, los personajes pueden ser reproducidos en otras escenas, situaciones o peripecias.  

El Supremo, ha determinado, que los autores podrán realizar nuevos dibujos de los personajes, siempre que sean lo suficientemente distintos para no poder considerarse plagio de los dibujos cedidos a Kukuxumusu Ideas, S.L y siempre que la transformación que se pueda hacer de los mismo esté dentro del marco contractual acordado, en su momento, entre las partes.  

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Nueva Guía sobre el Uso de cookies para herramientas de medición de audiencia. 

La Agencia Española de Protección de Datos ha publicado la “Guía sobre el uso de cookies para herramientas de medición de audiencia”.  

En dicha guía se establece la posibilidad de usar cookies estadísticas de tráfico o rendimiento sin consentimiento, siempre y cuando se limite únicamente a medir la audiencia, de manera anónima. En este sentido, dichas cookies no deberán permitir el seguimiento agregado a través de diferentes páginas web, y no se deberán compartir con terceros.  

No obstante, se permitirá recoger datos como el tipo de dispositivo, o el navegador mediante el que se accede a la página, siempre que se informe en la política de privacidad, y se limite la duración de las cookies a 13 meses, y la conservación de los datos a 25 meses.  

 

Volver al índice

 

Sanción en Francia en materia de cookies. 

Recientemente se ha conocido una sanción de 10 millones de euros impuesta por parte de la Autoridad de control francesa (CNIL) a la empresa Yahoo por distintos incumplimientos en materia de cookies. En concreto, la sanción impuesta el pasado 29 de diciembre de 2023, se basa en dos infracciones:  

    • La persistencia en la instalación de cookies publicitarias una vez el usuario desactivaba las mismas en el panel de configuración.   
    • Las consecuencias derivadas de la retirada del consentimiento a la instalación de cookies: se detecta que al retirarse el consentimiento dado en el panel de configuración de la página “Yahoo! Mail”, se informaba al interesado de que ya no podría acceder a los servicios ofrecidos por la empresa, y que se le negaría el acceso a mensajería, lo cual se opone al derecho de libertad de retirada del consentimiento.  

 

Volver al índice

 

El coche como dato identificativo 

Nos hacemos eco de una resolución de la Agencia Española de Protección de datos (AEPD), en la que se ha apercibido a la Policía Foral de Navarra por publicar en RRSS una imagen de un coche en un control rutinario de drogas, en agosto de 2023.  En la imagen aparecía: el coche de la infractora, el rostro de la infractora reflejado en el retrovisor derecho y a su perro asomado por la ventanilla, todo ello junto a las drogas y armas blancas incautadas en el control. La imagen se hizo viral e implicó que la dueña del coche perdiera su puesto de trabajo.  

La AEPD señala que la Policía Foral de Navarra no utilizó los medios corporativos, ni los mecanismos suficientes para no hacer identificable a la persona de la fotografía publicada por lo que apercibe a dicha institución.  

 

Volver al índice

 

La autoridad de protección de datos de Reino Unido analiza la legalidad de las pruebas de IA generativa. 

Ante una serie de consultas, la ICO -homólogo a la Agencia Española de Protección de Datos en Reino Unido- se ha pronunciado a cerca de las bases legales para realizar el web scraping con la finalidad de entrenar modelos de IA generativa. La consulta se centra en la base legal para extraer o procesar datos de la web para este propósito, y ha entendido que, para cumplir con el principio de licitud de protección de los datos, los desarrolladores deberán asegurarse que los tratamientos no infringen ninguna ley y que disponen de interés legítimo para realizar el tratamiento. De cara a poder concluir que efectivamente se dispone de interés legítimo recuerda la ICO la necesidad de realizar el análisis de la existencia del mismo.  

 

Volver al índice

 

La Comisión Europea permite el flujo de datos con once terceros países. 

La Comisión Europea concluyó el pasado 15 de enero de 2024, que la transferencia de datos personales desde la Unión Europea a once terceros países, sigue siendo adecuada. En concreto, dichos países son Andorra, Argentina, Canadá, Islas Feroe, Guernsey, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay. Por tanto, los datos podrán continuar fluyendo libremente a dichos terceros países, por cuanto han fortalecido la protección de datos en sus jurisdicciones, convergiendo dentro del marco de la Unión Europea.  

 

Volver al índice

 

COMPLIANCE

Nuevo Registro de Responsables del Sistema Interno de Información Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA). 

El pasado 2 de diciembre de 2023 entró en vigor la Resolución por la que se creó el Registro de Responsables del Sistema Interno de Información, de la Oficina de Buenas Prácticas y Anticorrupción de la Comunidad Foral de Navarra (OANA).  

De acuerdo con dicha resolución, se deberán inscribir en el Registro tanto los nombramientos, como los ceses de los Responsables de los Sistemas de Información de las entidades que se encuentren comprendidas dentro del ámbito de actuación de la OANA, tales como Empresas públicas, Fundaciones, o partidos políticos, entre otros. Si bien en principio las Sociedades privadas no tienen la obligación de registrar a sus responsables, se ha tenido conocimiento de sociedades que lo han hecho. 

 

Volver al índice

 

 NORMATIVA AL DÍA  

 

Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos  

El pasado día 4 de enero de 2024, entró en vigor la Ley 16/2023, de 21 de diciembre, de la Autoridad Vasca de Protección de Datos, que reemplaza el régimen contenido en la normativa anterior, de 2004. Dicha Ley supone el cambio de la institución vasca de Agencia a Autoridad, y tiene por objeto actualizar la normativa autonómica.  

 

Volver al índice

 

Nuevo sistema de verificación de edad propuesto por la AEPD.  

El pasado 14 de diciembre de 2023 la Agencia Española de Protección de Datos presentó una propuesta de sistema de verificación de edad en internet, ante el acceso de menores de edad a contenidos para adultos.   

Dicha propuesta se compone de un Decálogo que recoge los principios que debe cumplir un sistema de verificación de edad, una nota técnica con los detalles del proyecto y tres vídeos prácticos que demuestran cómo funciona el sistema en diferentes dispositivos, todo ello complementado por un gráfico que recoge los riesgos de los sistemas utilizados en la actualidad. Con ello, todas las páginas que se encuentren obligadas o voluntariamente verifiquen la edad de sus usuarios deberán cumplir con las condiciones mínimas establecidas en el sistema, protegiendo el interés superior del menor y los derechos fundamentales de todos los ciudadanos. 

 

Volver al índice

 

Nuevo informe de Comité Europeo de Protección de Datos sobre los Delegados de Protección de Datos. 

El Comité Europeo de Protección de Datos ha emitido un informe sobre la designación y cargo de los delegados de protección de datos. Dicho informe, publicado el pasado 17 de enero de 2024, supone la conclusión de una acción coordinada de refuerzo con las autoridades nacionales, que ha analizado en profundidad los desafíos a los que se enfrentan los delegados de protección de datos y las organizaciones. En concreto, se ha evaluado si los DPD tienen, en sus organizaciones, el cargo requerido en los artículos 37 a 39 del RGPD, y los recursos para llevar a cabo sus tareas.  

Del informe se obtiene que, si bien los DPD desempeñan papeles importantes a la hora de proteger los datos de los interesados, existen riesgos relativos a la falta de recursos asignados a esta figura, a conocimientos insuficientes en la materia y a riesgos de conflictos de interés. Del mismo modo, el informe describe el trabajo realizado por las autoridades supervisoras a efectos de abordar los incumplimientos normativos. 

 

Volver al índice

 

El procedimiento de nulidad y caducidad de signos distintivos cumple un año en la vía administrativa. 

Hasta el pasado 14 de enero de 2023, los procedimientos de nulidad y caducidad de signos distintivos españoles se realizaban en la vía judicial. No obstante, tal día entró en vigor la última modificación de la Ley de Marcas, que derivó dichos procedimientos a la vía administrativa. Desde entonces, la Oficina Española de Patentes y Marcas es el órgano encargado de declarar la nulidad y caducidad de los signos distintivos españoles, cumpliéndose el pasado 14 de enero, un año desde el inicio de dicho procedimiento. 

 

Volver al índice

 

Publicado en Circulares, Cumplimiento Normativo, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Cumplimiento Normativo. N.º 1 – 2024

Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 08 – 2023

Publicado el 04-10-2023
Propiedad Intelectual e Industrial

 

Protección de datos – Seguridad de la Información

 

Compliance

 

 

PROPIEDAD INTELECTUAL E INDUSTRIAL

 

¿Pueden establecerse bloqueos geográficos para la venta online de keys de videojuegos? El caso Valve. 

En una reciente sentencia el Tribunal General de Justicia de la Unión Europea rechaza tal posibilidad de emplear la protección de los derechos de autor para eliminar las importaciones paralelas y de esta manera lograr mayores beneficios. En el caso analizado, el Tribunal consideró probado la existencia de un acuerdo entre Valve y varios editores entre los que se encontraban editores Bandai y Capcom con la finalidad de restringir las importaciones paralelas mediante el bloqueo geográfico de las Steam keys o claves de videojuegos para ser utilizados en la conocida plataforma Steam. El objetivo de este bloqueo geográfico era impedir que un consumidor pudiera hacerse con una Steam key  más económica de otra región y activarla en la plataforma. 

 

Volver al índice

 

¿Es posible hacer promociones de tarjeta regalo con productos de terceros? El Caso Zara. 

 En julio de 2013, Inditex demandó a Buongiorno Myalert ante un Juzgado de lo mercantil de Madrid, reclamando que el uso de su marca Zara por esta compañía constituía un acto de competencia desleal, y que se le condenara a indemnizarla por daños y perjuicios.  

La demanda se basaba en la utilización, en el año 2010, del logotipo de Zara en una de las páginas web de la compañía italiana, dentro de un banner promocional de unas tarjetas regalo con premios de 1.000 euros para gastar en las tiendas de la marca Zara. Las pretensiones de Inditex fueron desestimadas, tanto en primera instancia por el Juzgado, como por la Audiencia Provincial de Madrid, así como finalmente por el Tribunal Supremo. Sin embargo, el Supremo planteó cuestión prejudicial al TJUE solicitando la interpretación del artículo 6.1.c) de la Directiva 89/104/CE (transposición al artículo 37 LM).  

A la espera de la resolución de la cuestión prejudicial, el Abogado General de Justicia de la Unión Europea, ha dado su opinión sobre el caso, favorable a los intereses de la Textil. Afirma en un dictamen que el uso del logotipo de Zara en este caso no era meramente referencial, puesto que promovía el gasto de 1.000 euros en sus tiendas, y que no puede considerarse que tuviera por objeto proporcionar una indicación relativa a una característica del servicio prestado por Buongiorno. Si bien la opinión del Abogado no es vinculante, es la primera que favorece a la Textil española. 

 

Volver al índice

 

PROTECCIÓN DE DATOS – SEGURIDAD DE LA INFORMACIÓN

 

Se declara improcedente un despido por supervisar los correos de una trabajadora sin establecer las normas de uso.

En una reciente sentencia del Tribunal Superior de Justicia de Madrid, se ha declarado improcedente el despido de una trabajadora que se basaba en una serie de conversaciones privadas que supuestamente había mantenido por WhatsApp. El motivo por el cual se declara improcedente es por vulneración del derecho fundamental al secreto de las comunicaciones, ya que la empresa, si bien le había proporcionado a la trabajadora los terminales que revisó para basar el despido y le había informado de que se reservaba el derecho a supervisar el trabajo mediante medios electrónicos, no había establecido los criterios de utilización ni las normas de uso de los dispositivos, por lo que la trabajadora tenía una expectativa razonable de intimidad. 

 

Volver al índice

 

Sanción por colocar una mirilla digital en la puerta de su piso. 

La Agencia Española de Protección de datos ha impuesto a un hombre una sanción de 300 euros por instalar una mirilla electrónica en la puerta de su piso, con la obligación de retirar la misma. La mirilla captaba el descansillo, así como la entrada al domicilio del vecino. Recuerda la Agencia que las imágenes generadas por un sistema de cámaras o videocámaras son datos de carácter personal, y, por tanto, sometidas a la normativa de protección de datos.  

Lo relevante del pronunciamiento es que se sanciona al usuario debido a que afirma que la mirilla es “Susceptible de estar grabando el descansillo común”, ya que tal y como establece la AEPD en su guía sobre videovigilancia, ni a las mirillas digitales ni a los videoporteros les son de aplicación la normativa sobre protección de datos, siempre que no graben imágenes, y su uso se limite a verificar la identidad de la persona que llamó al timbre.  

De acuerdo con el artículo 6.1 del Reglamento General de Protección de Datos, la grabación de las zonas comunes no es un tratamiento lícito, debido a que los usuarios no han prestado su consentimiento. Por su parte, la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales establece en su artículo 22 la prohibición de grabar espacios privativos de terceros y/o espacios públicos sin causa justificada. En caso de desear instalar una mirilla que grabe zonas comunes, se requerirá con el voto favorable de 3/5 partes de la comunidad de propietarios.  

 

Volver al índice

 

Las teleoperadoras deberán dar los datos de geolocalización de teléfonos móviles si los solicitan sus usuarios.

La AEPD ha conocido recientemente una reclamación ejercitada por un usuario frente a una reconocida empresa teleoperadora, en la cual solicitaba ejercer el derecho de acceso a la ubicación de 7 líneas móviles contratadas a su nombre. Vodafone rechazó proporcionarle esta información, afirmando que solo se facilitaría la misma en el marco de una investigación penal, previa autorización judicial.  

 No obstante, la Agencia ha concluido que los datos de ubicación de la línea telefónica sí que pueden ser objeto de petición de derecho de acceso, regulado en el artículo 15 del Reglamento General de Protección de Datos. No obstante, únicamente se facilitarán los datos de la línea móvil de la parte reclamante, y no la de las otras líneas que de las que sea titular pero no usuaria.  

 

Volver al índice

 

Los clientes de los parkings tienen derecho a acceder a las grabaciones de seguridad para saber si le han rayado el coche. 

En una reciente resolución, la AEPD ha concluido que la matrícula de un vehículo es un dato personal, y que solicitar las grabaciones de seguridad de un parking con el objetivo de cerciorarse de que el vehículo no ha sido dañado mientras se encontraba aparcado forma parte del derecho de acceso. No obstante, la empresa que gestiona el parking deberá tomar las medidas necesarias para anonimizar los datos de los otros usuarios, como el rostro, la matrícula o cualquier otro dato de carácter personal. 

 

Volver al índice

 

Sanción de 140.000 euros a una empresa de mensajería por entregar dos paquetes a otros sujetos sin permiso de los compradores.

La AEPD ha sancionado a una empresa de mensajería instantánea por la entrega de dos paquetes a dos personas diferentes a los compradores sin consentimiento de éstos. Los compradores habían adquirido los productos en una tienda online, solicitando su envío al domicilio, sin embargo, un desconocido se hizo pasar por los propietarios legítimos en la sede de la entidad, recogiendo los mismos.   

 En concreto se han impuesto a la empresa dos sanciones de 70.000 euros, una por cada uno de los sujetos afectados, por aceptar la documentación falsa aportada por el suplantador, modificar el método de entrega sin el consentimiento de los compradores, y dar acceso, con la entrega del paquete, a los datos personales de los compradores legítimos. 

Volver al índice

 

COMPLIANCE

 

Los avances de la ley de protección al informante. 

El pasado 13 de marzo de 2023 entró en vigor la nueva Ley 2/2023, de 20 de febrero, reguladora de la protección de denunciantes e informadores sobre infracciones normativas y de lucha contra la corrupción. Esta ley preveía dos plazos clave, por un lado, el 13 de junio de 2023, fecha en la que las empresas de mayor tamaño (más de 250 trabajadores), deberían tener implantado un Sistema interno de información, mientras que, para las empresas de menor tamaño (más de 50 trabajadores) disponían de plazo hasta el próximo 1 de diciembre de 2023. Como consecuencia, muchas empresas ya se han adaptado, o se encuentra en proceso de adaptarse a las exigencias de la Ley 2/2023. Como es sabido, esta ley no sólo obligaba a las entidades (ya sea del sector público o privado) a contar con sistemas internos de información, si no que, además, se introducían dos (tres) novedades muy importantes: la habilitación de canales externos de información y la creación de la Autoridad Independiente de Protección al Informante, A.A.I.[1]  

 Han transcurrido unos meses desde la entrada en vigor de la Ley, y vemos como, de forma paulatina, las autoridades competentes en sus respectivos ámbitos van creando ya canales externos de información, sirva de ejemplo el canal de la Agencia Española de Protección de Datos, la Agencia Tributaria, o el canal habilitado por la Oficina de Buenas Prácticas y Anticorrupción de Navarra. Por su parte, aun no disponemos de información sobre la creación la Autoridad Independiente de Protección al Informante, A.A.I., la cual será una autoridad administrativa con atribuciones en materias tanto consultivas como sancionadora de la ley. Sin perjuicio de lo anterior, sí que vamos teniendo noticias de varias comunidades autónomas, que, en virtud de lo dispuesto por la disposición adicional segunda de la Ley han procedido ya ha crear sus propios canales externos y Autoridades independientes de protección al informante, como son el caso de las Oficina Catalana, Andaluza, Balear y Valenciana de Lucha Contra el Fraude.   

 Por tanto, y sin perjuicio de que aún no contemos con una Autoridad Independiente de Protección al Informante, y que todavía quede camino por andar, podemos apreciar como, de forma continuada se van dando más pasos en la aplicación práctica de la Ley 2/2023 de Protección al Informante, por lo que es mejor estar preparados. 
 

[1] La tercera novedad sería la posibilidad de realizar revelaciones públicas 

 

Volver al índice

 

Imputado el FC Barcelona por un delito de cohecho. 

Recientemente se ha conocido que el FC Barcelona ha sido imputado por un delito de cohecho, por unos supuestos pagos realizados durante dos décadas al exvicepresidente del Comité Técnico de Árbitros, que ascienden a la cuantía de 7 millones de euros. Si bien el cohecho es un delito de soborno a autoridades o funcionarios públicos, el Juez ha afirmado que el CTA desempeñaba funciones públicas.  

 Según afirma el Juez en el Auto, los pagos realizados por el equipo a los árbitros satisfacían los intereses del club, cumpliendo el requisito del beneficio de la Persona Jurídica recogido en el artículo 31. Bis del Código Penal, por lo que el club puede ser responsable del delito.

 

Volver al índice

 

 

Publicado en Circulares, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Protección de Datos | Etiquetado como , , , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías, Propiedad Intelectual e Industrial y Compliance. N.º 08 – 2023

Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- N.º 9

Publicado el 14-11-2022

Protección de datos y seguridad de la información

 

Servicios de la sociedad de la información 

 

Propiedad Industrial

 

NORMATIVA AL DÍA: Normas, guías y códigos  

 

EVENTOS Y CHARLAS

Novedades legislativas de la normativa de residuos: 

Candela Martínez abogada del Departamento de Nuevas Tecnologías, ha intervenido junto con Pelayo Piedra, Nerea Carmona y Diego Ortigosa en una formación sobre “Novedades legislativas de la normativa de residuos” organizada por la APD.  

 

Experto Universitario en Derecho Digital: 

Álvaro Abáigar y Jorge Arellano participan en el “Experto Universitario en Derecho Digital” que se imparte en la Universidad Pública de Navarra durante los meses de octubre a junio. La primera participación de nuestros compañeros tuvo lugar el pasado 4 de noviembre con el módulo de análisis de riesgos y evaluación de impacto. En las próximas sesiones de Álvaro Abáigar se abordarán cuestiones relativas a la propiedad intelectual e industrial tales como: protección de activos intangibles (patentes, marcas, secreto empresarial, registro de obras de propiedad intelectual) con especial foco en las patentes tecnológicas y la protección del software o la transferencia de tecnología. Por su parte Jorge Arellano impartirá los módulos específicos de compliance en los que abordará cuestiones sobre la ISO37301 entre otras.  

    

 

Protección de datos y seguridad de la información

  • Representantes de los trabajadores y política de uso de medios digitales.

Interesante sentencia de la Audiencia Nacional sobre los requisitos que tienen que tener las comúnmente denominadas “políticas de uso de medios digitales” para resultar efectivas a la luz del artículo 87.3 de la Ley Orgánica de Protección de datos y Garantía de derechos digitales. El mencionado artículo establece que “los empleadores deberán establecer criterios de utilización de los dispositivos digitales (…)” y señala que “En su elaboración deberán participar los representantes de los trabajadores” siendo este último punto el que fue objeto de análisis por parte de la Sala de lo social de la Audiencia Nacional en sentencia 114/2022. 

Así la Audiencia Nacional reconoce que, si bien corresponde al empresario fijar los criterios en relación con el uso de medios digitales por los trabajadores, recuerda que en su adopción debe participar la representación legal de los trabajadores, algo que no sucedió en el caso objeto de controversia siendo esta la razón por la que se declaran nula las directrices trasladadas por la empresa a sus trabajadores.  

 

 Ir al índice

 

  • El sistema de videovigilancia como medio de prueba en el entorno laboral. 

El Tribunal Constitucional falla en favor de una empresa al entender que en virtud del artículo 89.1 de la Ley Orgánica 3/2018 estaba legitimado el acceso a las imágenes grabadas por el sistema de videovigilancia al existir sospecha de comisión de un ilícito por parte de un trabajador. Así, en dichas circunstancias (sospechas de robo) y siempre que el tratamiento se entienda justificado el Tribunal Constitucional considera suficiente información el distintivo colocado en las instalaciones no siendo necesario facilitar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores y/o, en su caso, a sus representantes, la finalidad de control laboral de dicha tecnología.  

No obstante el fallo emitido por el Tribunal Constitucional, resulta preciso señalar el voto particular emitido por varios magistrados en el que manifiestan que, a su juicio, teniendo presente la literalidad del artículo 89.1 de la Ley Orgánica 3/2018 y la jurisprudencia existente hasta la fecha en la materia, no puede entenderse justificada “desde la perspectiva del art. 18.4 CE la captación y uso de imágenes de hechos ilícitos flagrantes de los trabajadores con el mero cumplimiento del deber general de instalar carteles avisando de la existencia de un sistema de videovigilancia, sin dar cumplida explicación de las razones por las que se ha omitido el deber específico de información a los trabajadores y/o sus representantes.”. Asimismo, añade que tampoco entienden que el art. 89.1 de la Ley Orgánica 3/2018 habilite el acceso y uso con fines disciplinarios de las imágenes captadas a partir de meras sospechas. 

Se pone de manifiesto por tanto el hecho de que el uso e implementación de este tipo de medidas de control por parte de los empleadores no es una cuestión pacífica. La recomendación es por tanto facilitar la mayor información posible de forma que los tratamientos de datos sean previamente conocidos por los sujetos objeto de los mismos.  

 

 Ir al índice

 

  • Nuevas versiones de la ISO 27001 y 27005 ya disponibles  

Este año la familia de la ISO 27000 ha tenido una importante actualización de varias de sus normas. Si a comienzos de año la ISO 27002 referida a los controles de seguridad, este mes de octubre ha sido el turno de la ISO 27001, que resulta la norma certificable del estándar y de la ISO 27005 referida a la gestión de riesgos. 

https://www.iso.org/standard/82875.html

https://www.iso.org/standard/80585.html 

 

 Ir al índice

 

Servicios de la sociedad de la información 

  • ¿Puede la Administración ordenar la interrupción de un sitio web sin autorización judicial? 

El Tribunal Supremo ha sentado un criterio sobre la capacidad de la Administración para acordar por si sola la interrupción de un sitio web sin mediar autorización judicial. En este sentido señala el tribunal que la administración podrá acordar dicha interrupción “siempre que concurra alguno de los supuestos legalmente habilitantes para ello, únicamente cuando el contenido de aquél no consista en ninguna información ni expresión. Debe tenerse en cuenta, además, que la ilegalidad de las informaciones o expresiones contenidas en un sitio web no excluye la exigencia de autorización judicial para acordar la interrupción de acceso al mismo.” Así en el caso objeto de controversia se entiende que la Agencia Española del Medicamento estaba legitimada para solicitar la interrupción del apartado del sitio web WOW donde se ofrecía la venta de medicamentos cuya comercialización no está permitida en España; tanto por la forma de venta (electrónica) como por el hecho de que no disponen del sello de la Unión Europea.  

Sin embargo, no entiende proporcional ni ajustado a derecho que se hubiera acordado la interrupción del sitio web al completo en la medida en que no estaba legitimada para realizar dicha solicitud que requeriría de autorización judicial en virtud de la interpretación que se hace del artículo 20.5 de la Constitución. 

 

 Ir al índice

 

Propiedad Industrial

  • El secreto como elemento clave en la estrategia de protección de activos

Recientemente se conocía que la Oficina Europea de Propiedad Intelectual (EUIPO) ha denegado a Puma el registro como diseño de un nuevo modelo de suela de zapatillas por entender que no se cumplían los requisitos para acceder al registro. La denegación del registro se debía a que la suela en cuestión había aparecido en unas zapatillas mostradas por la cantante Rihanna a través de su perfil en Instagram antes del inicio del periodo de gracia lo que supone a juicio de la EUIPO, una promoción del diseño que impediría sostener su carácter novedoso. 

No es la primera vez que este tipo de despistes afectan a la posibilidad de registro de los activos intangibles, pero sirven como recordatorio de la necesidad de implementar estrategias coordinadas de protección que tengan presentes las obligaciones previas al propio registro, obligaciones que deben tenerse presentes también a la hora de negociar acuerdos de transferencia de tecnología, licencias o cesiones de activos en proceso de registro. 

 

 Ir al índice

 

  • Marcas, realidades extendidas y NFT´s

La Oficina Europea de Propiedad Intelectual (EUIPO) ha manifestado que en la 12.ª edición de la Clasificación de Niza incorporará referencias a los bienes y servicios virtuales, así como a los NFT para dar así respuesta armonizada a la necesidad de protección de marcas de productos o servicios que se comercialicen en ecosistemas virtuales. Por el momento, a falta de versión final, puede consultarse la versión con los comentarios al proyecto de Directrices de 2023 en el que se recogen estos y otros aspectos. 

 

 Ir al índice

 

NORMATIVA AL DÍA: Normas, guías y códigos  

  • Publicación del Reglamento de Mercados Digitales (DMA) y el de Servicios Digitales (DSA).

El pasado 12 de octubre de 2022 se publicaba en el Diario Oficial de la Unión Europea, el Reglamento (UE) 2022/1925 de Mercados Digitales, comúnmente conocido por sus siglas en inglés “DMA” cuyo contenido, se aplicará a partir del 2 de mayo de 2023, salvo excepciones (artículo 3, apartados 6 y 7, y los artículos 40, 46, 47, 48, 49 y 50) que se aplican desde el 1 de noviembre y los artículos 42 y 43 que se aplicarán a partir del 25 de junio de 2023. 

Por su parte el Reglamento 2022/2065 de Servicios Digitales, también conocido como “DSA”, se publicaba el 27 de octubre en el Diario Oficial de la Unión Europea y resultará de aplicación a partir del 17 de febrero de 2024. No obstante, el artículo 24, apartados 2, 3 y 6, el artículo 33, apartados 3 a 6, el artículo 37, apartado 7, el artículo 40, apartado 13, el artículo 43 y las secciones 4, 5 y 6 del capítulo IV, serán de aplicación a partir del 16 de noviembre de 2022. 

 

 Ir al índice

 

  • Modificación del Código Penal por la Ley Orgánica 10/2022. 

La Ley Orgánica de garantía integral de la libertad sexual ha introducido en sus Disposiciones Adicionales modificaciones en la modalidad del delito de coacciones contenido en el art.172 ter del Código Penal (CP), conocido como delito de acoso ilegítimo u hostigamiento.  

El delito es tipificado como una serie de conductas que efectuadas “de forma insistente y reiterada”, impliquen la alteración “normal” en el devenir cotidiano de la víctima, frente a la previa regulación que exigía una alteración “grave” de la vida cotidiana. 

Así mismo se introduce una modificación en el art. 197.7 CP, relativo al delito de descubrimiento y revelación de secretos. Añade un párrafo, penando con multa de 1 a 3 meses a quien, habiendo recibido de una persona imágenes o grabaciones realizadas en la intimidad (“en un domicilio o en cualquier otro lugar fuera del alcance la mirada de terceros”), proceda a difundirla, revelarla o ceder a terceros sin contar con el consentimiento de la persona afectada. 

 

 Ir al índice

 

  • Publicación de Guías, directrices, herramientas y recomendaciones en materia de protección de datos.

El Comité Europeo de Protección de Datos ha emitido las siguientes guías, las cuales se encuentran aún en proceso de consulta previa:  

Directriz 9/2022 sobre la comunicación de brechas en materia de protección de datos.  

Directriz 8/2022 sobre la identificación de la autoridad de control correspondiente al responsable o el encargado del tratamiento.  

Por su parte la Agencia Española de Protección de datos ha publicado una “Guía básica de anonimización” elaborada por la Autoridad Nacional de Protección de Datos de Singapur, que se complementa con una herramienta gratuita de anonimización. 

Asimismo, la Agencia Española de Protección de datos ha lanzado la herramienta “Asesora Brecha” por la cual se facilita la labor de los responsables de decidir si tienen o no que comunicar una brecha a la autoridad de control. 

 

 Ir al índice

 

Publicado en Blog, Circulares, Derecho del Entretenimiento, Nuevas Tecnologías, Propiedad Intelectual e Industrial, Sector Agroalimentario | Etiquetado como , , , , Comentarios desactivados en Actualidad de Nuevas Tecnologías y Propiedad Intelectual e Industrial- N.º 9
Suscríbete a nuestra newsletter

Información sobre protección de datos: ARPA tratará tus datos con el fin de remitirte periódicamente nuestro boletín, con información tanto de ARPA A&C S.L. como de Fundación ARPA y ARPA Accounting S.L. Tienes la posibilidad de ejercitar los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición del tratamiento de tus datos. Puedes consultar una versión ampliada de esta política aquí.
He leído y acepto la Política de Privacidad
X