Pasar al contenido principal
Inicio
  • Valores
  • Expertos
  • Áreas / sectores
    • Administrativo y sectores regulados
      Arbitraje
      Competencia
      Concursal
      Contratación comercial
      Financiación de proyectos
      Financiero y Bancario
      Fiscal
      Fusiones y adquisiciones
      Inmobiliario
      Laboral
      Mercado de Capitales
      Procesal Civil
      Procesal Penal
      Regulatorio financiero e IIC
      Societario y Gobierno Corporativo
      Tecnologías de la Información
      Urbanismo y medioambiente
      Agroalimentario
      Arte y Patrimonio Cultural
      Energía
      Infraestucturas
      Juego
      Salud
      Unidad de Fondos Europeos
  • Internacional
  • Talento
  • Actualidad
    • Noticias
    • Eventos
    • Newsletter
    • Sala de Prensa
  • Blogs
    • Blog Competencia y Agroalimentario
    • Blog Ramón y Cajal Digital
  • Contactar
  • linkedin
  • twitter
  • search
  • Aviso Legal
  • Política de Cookies
  • Política de Privacidad
  • Política de seguridad de la información
English
#SomosRyC
Boletín de noticias - Tecnologías de la información (noviembre 2022)
07 de Diciembre de 2022

Índice

1. Protección de datos

a. Noticias destacadas

b. Resoluciones y sentencias

c. Informes y guías

d. Otras noticias de interés

2. Propiedad intelectual

3. Juego

4. Otras noticias de interés

 


1. Protección de datos


a. Noticias destacadas

Las autoridades de protección de datos francesa y alemana denuncian graves problemas de privacidad en el uso de Office 365

Por una parte, en septiembre, la autoridad de protección de datos del Estado de Hesse (Alemania) prohibió el uso de Office 365 en colegios, puesto que detectó que el programa recogía datos de los usuarios contraviniendo la normativa de protección de datos. Ahora, un grupo de trabajo de las autoridades alemanas de protección de datos ha señalado que los diferentes productos que ofrece Office 365 basados en la nube de Microsoft incumplen lo dispuesto en el Reglamento General de Protección de Datos (en adelante, el “RGPD”). En concreto, el grupo de trabajo alemán ha señalado que este producto infringe las obligaciones de:

  1. Determinación de la base legitimadora – puesto que el término “fines comerciales legítimos” no es especialmente concreto y el interés legítimo no encajaría adecuadamente con clientes del sector público–.
  1. Transparencia, claridad y precisión del lenguaje de los contratos.
  1. Seguridad de los datos, dado que no ha aplicado medidas técnicas y organizativas apropiadas.
  1. Asunción de roles en los tratamientos, puesto que no queda claro cuando asume Microsoft el rol de responsable o el de encargado del tratamiento.
  1. La insuficiencia de la información que Microsoft proporciona a sus subencargados, dado que ni siquiera alcanzan con el mínimo establecido por las Cláusulas Contractuales Tipo diseñadas por la Comisión Europea.

Así, concluye el rrupo de trabajo alemán que el uso de Office 365 no cumple ahora mismo con el RGPD y, por ende, cualquiera que use el producto –al menos en la configuración estándar– está infringiendo la normativa europea.

Por otra parte, este mes de noviembre, la autoridad francesa de protección de datos (la “CNIL”) ha emitido una advertencia formal al Ministerio de Educación francés para que cese en el uso de versiones gratuitas de Office 365 y Google Workspace en los colegios y universidades. La CNIL tilda la oferta gratuita de estos servicios de un ejemplo extremo de dumping y competencia desleal, puesto que la normativa francesa establece que los contratos con el sector público deben ser onerosos y estos servicios son puramente gratuitos. Asimismo, la CNIL señala que esto plantea un grave problema de soberanía por la localización de los datos en un cloud americano y puede dar la impresión de que la administración francesa se ha vendido a Microsoft.

Puede encontrar el informe del grupo de trabajo alemán en este enlace (solo disponible en alemán), y el aviso formal de la CNIL al Ministerio de Educación francés aquí (únicamente disponible en francés).

 Volver al inicio

b. Resoluciones y sentencias

La AEPD emprende la batalla contra las páginas web de contenido para adultos

La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a Burwebs, SL, una empresa propietaria de una página web de contenido para adultos, con una multa de 70.000 euros. Esta sanción enlaza directamente con la multa de 525.000 euros impuesta a Techpump Solutions, SL, empresa propietaria de cinco páginas webs de contenido para adultos, a finales del pasado mes de octubre.

En ambos supuestos se aprecian múltiples infracciones del RGPD que la Agencia desgrana en las 76 y 122 páginas de sus resoluciones. Así, la Agencia enuncia, entre otros, los siguientes incumplimientos: la infracción de los principios de lealtad, transparencia, limitación de la finalidad, limitación en el plazo de conservación; la ausencia de comprobación de la edad real de los menores, si son o no menores de 14 años y, para el caso de que sean menores, la ausencia de comprobación del consentimiento de los titulares de la patria potestad; la exigencia de aportación del DNI o pasaporte en todo caso y previamente al ejercicio de derechos, independientemente de si hay o no dudas razonables sobre la identidad del interesado; la falta de información exigida en los registros de actividades del tratamiento; la falta de enfoque de la privacidad desde el diseño; y las irregularidades detectadas en las Políticas de Cookies.

Asimismo, la Agencia condena a ambas a implantar, en el plazo de 1 mes, las medidas correctoras necesarias para adecuar sus actuaciones a la normativa de protección de datos.

Puede encontrar el texto de la resolución de Burwebs, SL aquí y el de la resolución de Techpump Solutions, SL aquí.       

La autoridad de protección de datos irlandesa sanciona con 265 millones de euros a Meta por no evitar técnicas de data scraping

La autoridad de protección de datos irlandesa (en adelante, la “DPC”) ha concluido las investigaciones iniciadas en 2021 sobre Meta Platforms Ireland Limited (“Meta”), responsable del tratamiento de la red social Facebook. Estas investigaciones se iniciaron después de que se publicaran y pusieran a disposición del público en Internet datos personales de usuarios de Facebook.

La DPC entiende que Meta ha vulnerado las obligaciones de protección de datos desde el diseño y por defecto (artículo 25 del RGPD), por lo que le impone multas administrativas por un total de 265 millones de euros, y la obligación de adoptar una serie de medidas correctoras.

Puede encontrar más información aquí (únicamente disponible en inglés).

La AEPD sanciona con 70.000 euros a UPS por la entrega de un paquete a un vecino del destinatario sin el consentimiento de este último

La AEPD ha sancionado a United Parcel Service España Ltd. y compañía, SRC (“UPS”) por haber entregado a una vecina de la comunidad en la que reside el reclamante, el paquete que esta había solicitado, sin previo aviso y sin contar con su consentimiento expreso.

La entidad reclamada considera que ha actuado de conformidad con el contrato firmado con Media Mark Saturn Administración España, SA (“Media Markt”), siendo la propia Media Markt, quien, como responsable del tratamiento, tenía la obligación de informarle de que no podía proceder a la entrega del envío a un vecino, en ausencia del destinatario. Sin embargo, la AEPD precisa que los conceptos de encargado y responsable son funcionales, y se tienen que asignar teniendo en cuenta las actividades reales de cada uno. En este caso, UPS no ha acreditado que concurran los requisitos necesarios para ser considerada encargada del tratamiento, pues no ha suscrito con Media Markt el contrato que debe regir la relación entre el responsable y el encargado del tratamiento conforme el artículo 28.3 del RGPD.

Así, el hecho de tener firmado un contrato con Media Markt no deja exenta de responsabilidad a UPS, puesto que no se ha concretado si estamos ante un contrato de servicios o bien un contrato que vincule al encargado respecto del responsable. Por ello, la AEPD considera que UPS ha cedido los datos del reclamante a un tercero sin el debido consentimiento.

La AEPD ha impuesto a UPS una multa de 50.000 euros por la infracción del principio de integridad y confidencialidad (artículo 5.1 f. del RGPD), y una multa de 20.000 euros, por la vulneración del artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no son adecuadas y deben ser mejoradas.

Puede encontrar la resolución aquí.

La AEPD multa con 80.000 euros a BBVA por exponer los datos de un cliente a otro por un error humano

La AEPD ha sancionado al Banco Bilbao Vizcaya Argentaria, SA (“BBVA”) por haber facilitado el contrato de un tercero a un cliente, quien solicitaba un certificado de titularidad de su cuenta a través de la app de la entidad. El error, descrito como puntual y humano, supuso que los datos de un tercero estuvieran disponibles durante más de 4 meses por la imposibilidad informática de eliminarlos.

La Agencia entiende vulnerado el deber de confidencialidad de los datos personales (artículo 5.1.f. del RGPD) y quebrantadas las medidas técnicas y organizativas (artículo 32 del RGPD). Por la primera infracción, la AEPD impone a BBVA una multa de 50.000 euros y por la infracción del artículo 32.1 del RGPD le impone una multa de 30.000 euros. El total –80.000 euros– se ve reducido a 48.000 por la aplicación de las dos reducciones posibles de un 20% cada una, por pago en período voluntario y asunción de responsabilidad.

Puede encontrar la resolución aquí.

La AEPD sanciona a Bankinter con 100.000 euros por publicar datos de un tercero en el extracto mensual del titular de una cuenta

La AEPD ha sancionado a Bankinter, SA (“Bankinter”) por haber facilitado a un cliente los datos de un tercero en el apartado de visualización del extracto mensual de su cuenta en la web de Bankinter. Los datos personales del tercero incluyen datos económicos como el número de cuenta y los movimientos de la misma.

La Agencia entiende vulnerado el deber de confidencialidad de los datos personales (artículo 5.1.f. del RGPD) y quebrantadas las medidas técnicas y organizativas (artículo 32 del RGPD). Por la primera infracción, la AEPD impone a Bankinter una multa de 60.000 euros y por la infracción del artículo 32.1 del RGPD le impone una multa de 40.000 euros. El total –100.000 euros– se ve reducido a 80.000 por la aplicación de la reducción del 20% por pago en período voluntario.

Puede encontrar la resolución aquí.

La CNIL multa con 800.000 euros a Discord por el incumplimiento de varias obligaciones del RGPD

El pasado 10 de noviembre, la CNIL anunció una sanción económica a la empresa Discord, Inc. (“Discord”) por el incumplimiento de varias obligaciones de la normativa de protección de datos. En concreto, la CNIL concluye que el conocido servicio de chat de voz y mensajería instantánea ha infringido:

  1. El principio de limitación del plazo de conservación: la CNIL halló en sus investigaciones cuentas de casi 2.500.000 usuarios franceses que no habían sido utilizadas durante más de 3 años y 58.000 inutilizadas durante más de 5 años.
  1. Las obligaciones de información, puesto que no se hacía referencia a los plazos de conservación de los datos ni a criterios que permitieran su determinación.
  1. La privacidad por defecto: al hacer click en la “X” en la parte superior derecha de Microsoft Windows, la mayoría de las aplicaciones se cierran. No obstante, en Discord solo se estaba poniendo la aplicación en un segundo plano y permanecía conectado al canal de voz. En el curso del procedimiento, Discord habilitó una ventana emergente que aparecía cuando el usuario hacía click en la “X” una primera vez, avisándole de que la aplicación permanecería en funcionamiento y cómo proceder para cambiar esta configuración.
  1. La obligación de garantizar la seguridad de los datos personales: al crear una cuenta en Discord, se crea también una contraseña de seis caracteres. La CNIL consideró que esta política de gestión de contraseñas no era lo suficientemente robusta y restrictiva, si bien durante el procedimiento Discord aumentó la contraseña a 8 caracteres intercambiando minúsculas, mayúsculas, números y caracteres especiales e impuso la resolución de un captcha tras 10 intentos fallidos.
  1. La obligación de realizar una evaluación de impacto de protección de datos (las conocidas como “EIPD” o “DPIA”, por sus siglas en inglés): la CNIL concluye que, en atención a la categoría de datos, el volumen de los mismos y el uso de los servicios por menores de edad, Discord debería haber realiza dicho análisis.

Puede consultar el texto completo de la resolución aquí (solo disponible en francés).

La CNIL sanciona a EDF con 600.000 euros por diversos incumplimientos del RGPD y la normativa de comunicaciones comerciales

Tras diversas quejas sobre las serias dificultades que encuentran los usuarios para hacer valer sus derechos frente a la compañía, la CNIL ha sancionado a Électricité de France, SA (“EDF”) con 600.000 euros por diversos incumplimientos del RGPD y de la normativa de comunicaciones comerciales postales y electrónicas. En concreto, la CNIL detectó las siguientes infracciones normativas:

  1. La falta de obtención de un consentimiento válido para el envío de prospección comercial por medios electrónicos (artículo 7 del RGPD).
  1. El incumplimiento de las obligaciones de información (artículos 13 y 14 del RGPD) y de ejercicio de derechos, especialmente en lo que al procedimiento de ejercicio de los derechos de acceso y oposición (artículos 12, 15 y 21 del RGPD) se refiere.
  1. La falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un adecuado nivel de seguridad de los datos personales (artículo 32 del RGPD), teniendo en consideración la gran cantidad de cuentas de clientes que se almacenaron de forma no segura hasta este año y la falta de cifrado adecuado de las contraseñas.

Puede encontrar la resolución aquí (solo disponible en francés).

La autoridad portuguesa de protección de datos sanciona a la ciudad de Setúbal con 170.000 euros por un tratamiento de datos personales de refugiados ucranianos

La autoridad portuguesa de protección de datos (en adelante, “CNPD”) ha sancionado con 170.000 euros a la ciudad de Setúbal por una serie de incumplimientos producidos durante el tratamiento de datos personales de refugiados ucranianos.

El municipio solicitó a los refugiados que rellenaran unos formularios con sus datos personales, entre los que se encontraban su nombre, dirección, fecha de nacimiento, estado civil y documentos de identificación. Entre los múltiples incumplimientos apreciados por el CNPD, se encuentran: la falta de realización de una evaluación de impacto, la carencia de medidas técnicas y organizativas suficientes, la falta de determinación de los plazos de conservación, el incumplimiento de los deberes de información a los interesados o la falta de designación de un Delegado de Protección de Datos.

Puede acceder a la resolución completa aquí.

La autoridad británica de protección de datos apercibe al Departamento de Educación por una brecha de seguridad que ha afectado a más de 28 millones de menores

La autoridad británica de protección de datos (en adelante, el “ICO”) ha apercibido al Departamento de Educación por haber facilitado indebidamente a Trustopia, una empresa de servicios de empleo, el acceso a una base de datos de estudiantes. Trustopia ofrecía el acceso a esta base de datos a diferentes proveedores del sector del juego para que comprobasen si las personas que abrían cuentas de juego online tenían más de 18 años. En total, el ICO estima comprometidos los datos de unos 28 millones de menores. Estas bases de datos, que son responsabilidad del Departamento de Educación, se usan para facilitar las calificaciones de los alumnos a centros educativos o verificar si son aptos para la concesión de becas.

El ICO concluye que se han infringido los artículos 5.1.a y 5.1.f del RGPD, puesto que los datos fueron compartidos con terceros sin una base de legitimación apropiada ni conocimiento del interesado, además de que el Departamento debía disponer de medidas que previnieran estos accesos indebidos. De no haber sido por el carácter de ente público del Departamento de Educación, la multa podría haber alcanzado los 10 millones de libras esterlinas.

Puede consultar más información aquí.

 Volver al inicio

c. Informes y guías

El Comité Europeo de Protección de Datos publica las Recomendaciones 1/2022, sobre los elementos, principios y aprobación de las Normas Corporativas Vinculantes

El Comité Europeo de Protección de Datos (en adelante, “CEPD”) publicó el pasado 17 de noviembre sus Recomendaciones 1/2022, sobre la Solicitud de Aprobación y sobre los elementos y principios de las Normas Corporativas Vinculantes del Responsable del tratamiento (“NCV-R”). Las Recomendaciones buscan estandarizar las solicitudes de aprobación de las NCV-R, determinar el contenido necesario de las mismas, distinguir la información que debe aparecer en las NCV-R de aquella que debe presentarse a la autoridad supervisora principal junto a la solicitud de aprobación, y clarificar y ampliar conceptos.

No obstante, conviene señalar que las Recomendaciones se encuentran aún en fase de consulta pública hasta el 10 de enero de 2023.

Puede encontrar más información aquí.

El Supervisor Europeo de Protección de Datos publica su Opinión 24/2022, acerca la Propuesta de Reglamento sobre la libertad de los medios de comunicación

El Supervisor Europeo de Protección de Datos (en adelante, el “SEPD”) ha publicado su Opinión 24/2022, sobre la Propuesta de Reglamento de Libertad de los Medios (la “Propuesta”). La Propuesta persigue establecer un marco regulatorio común que mejore el funcionamiento del mercado interior de los medios de comunicación, fomentando la actividad transfronteriza, la inversión en estos servicios y la asignación transparente y justa de los recursos económicos.

El SEPD recomienda aclarar, en primer lugar, el ámbito de aplicación de la Propuesta para que ampare a todos los periodistas y el hecho de que todo lo dispuesto en la Propuesta de Reglamento se entenderá sin perjuicio de lo que se derive de otras normas como el RGPD o la Directiva e-Privacy.

En segundo lugar, el SEPD cuestiona la eficacia de las medidas propuestas para garantizar la debida protección a los medios de comunicación, delimitando los términos con claridad y evitando conceptos jurídicos indeterminados como el interés general o la seguridad nacional. Lo mismo predica respecto de la publicación de información relativa a los proveedores de servicios de medios de comunicación: delimitación del interés general perseguido y claridad en la redacción.

En tercer lugar, con respecto a la autoridad u organismo nacional encargado de tramitar las denuncias en relación con las infracciones de la libertad editorial efectiva, el SEPD recomienda establecer garantías específicas de independencia de las autoridades competentes y determinar la base legal para la cooperación entre las autoridades de control.

Por último, el SEPD puntualiza que conviene aclarar si se tratarán datos personales en el marco de la cooperación o asistencia mutua entre las autoridades reguladoras nacionales o los organismos establecidos en la Propuesta y, en caso afirmativo, establecer los fines del tratamiento, las categorías específicas de datos personales que se procesarán, el período de retención de datos y la identificación de las funciones y responsabilidades de las autoridades y organismos reguladores nacionales en el sentido de la Ley de protección de datos.

Puede encontrar más información aquí.

La AEPD publica una traducción de la guía sobre anonimización elaborada por la Autoridad de Protección de Datos de Singapur

La AEPD publicó el pasado 2 de octubre la Guía Básica de Anonimización de la Autoridad de Protección de Datos de Singapur por su valor didáctico y especial interés para responsables, encargados del tratamiento y delegados de protección de datos. Esta guía se complementa con una herramienta de anonimización, que puede descargarse también de forma gratuita. El objetivo de ambos instrumentos es introducir la anonimización en aquellas organizaciones que carezcan de experiencia previa en el campo.

Puede acceder a la Guía básica de Anonimización en este enlace, y a la herramienta gratuita de anonimización aquí.

El ICO lanza una herramienta de evaluación del riesgo de transferencias internacionales de datos a terceros países

De acuerdo con el RGPD británico, si se desea realizar una transferencia de datos personales a receptores ubicados en terceros países, debe instrumentarse mediante alguna de las garantías adecuadas. El uso de esas garantías requiere la realización de una evaluación del riesgo de la transferencia o “transfer risk assessment” para determinar si las garantías otorgadas son o no suficientes.

La herramienta consiste en un documento modelo con preguntas y orientaciones para llevar a cabo la transferencia. El documento contiene preguntas sobre las circunstancias específicas de la transferencia, el nivel de riesgo para los interesados o si la transferencia aumenta el riesgo de que los interesados sufran una violación de sus derechos humanos en el país de destino de los datos.

Puede descargar la herramienta completa aquí en formato Word.

La autoridad de protección de datos alemana de Baden-Württemberg lanza un código de conducta para encargados del tratamiento

La autoridad de protección de datos alemana del Estado de Baden-Württemberg ha publicado un código de conducta para ayudar a los encargados del tratamiento a cumplir con el RGPD. Aquellos que sigan el código –autorregulándose– aceptan someterse a un control regular por parte de la autoridad alemana.

Puede encontrar más información aquí (únicamente disponible en alemán).

 

 Volver al inicio

d. Otras noticias de interés

El Tribunal Superior de Justicia de la Unión Europea concluye que la obligación de garantizar la información sobre la titularidad de las sociedades en materia de prevención del blanqueo de capitales vulnera la protección de datos

El pasado 22 de noviembre, el Tribunal Superior de Justicia de la Unión Europea (“TJUE”) determinó que la redacción de un apartado de la Quinta Directiva Antiblanqueo vulneraba el derecho a la protección de datos.

Concretamente, el TJUE invalida el deber de los Estados de poner a disposición del público en general la información sobre la titularidad real de las sociedades y otras entidades jurídicas constituidas en su territorio a través de los denominados Registros de la Titularidad Real. Esta puesta a disposición, diseñada en el marco de la prevención del blanqueo de capitales y financiación del terrorismo, resulta innecesaria y desproporcionada, puesto que autoriza a cualquier persona y no solo a las autoridades competentes a una serie de datos personales, como el nombre, la fecha de nacimiento o el país de residencia y el de nacionalidad. Así, el Alto Tribunal califica la obligación como una injerencia grave en los derechos fundamentales al respeto a la vida privada y a la protección de los datos personales, y procede a anularla.

Puede encontrar la sentencia completa aquí.

La autoridad holandesa de protección de datos advierte de los riesgos de la utilización de los cloud de Amazon, Google o Microsoft por la Administración Pública nacional

El Gobierno holandés ha anunciado recientemente su intención de almacenar datos en servicios cloud de proveedores comerciales externos. Hasta ahora, el Gobierno venía usando sus propios servicios de almacenamiento en la nube. No obstante, la Secretaría de Estado de Digitalización ha comunicado que los potenciales beneficios superan a los posibles riesgos, por lo que estarían dispuestos a almacenar información en empresas de cloud como Amazon, Google o Microsoft.

La autoridad holandesa de protección de datos aconseja cautela y recuerda al Gobierno el deber de salvaguardar la protección de los datos de los ciudadanos. También recomienda la realización de una Evaluación de Impacto de Protección de Datos y señala la importancia de revisar que el proveedor cloud esté dentro de la Unión Europea u ofrezca un nivel de protección similar, pues ya son conocidos los riesgos para la privacidad en países como Estados Unidos.

Puede consultar más información aquí (únicamente disponible en holandés).

Volver al inicio

 


2. Propiedad Intelectual


La Audiencia Provincial de Barcelona determina que El Rosco de Pasapalabra infringe los derechos de propiedad intelectual y ordena el cese de su emisión

MC&F Broadcasting Production and Distribution, CV (“MC&F”) demandó a Atresmedia Corporación de Medios de Comunicación, SA (“Atresmedia”) ante los Juzgados de Barcelona por infracción de sus derechos de propiedad intelectual y, subsidiariamente, por imitación desleal de la prueba final –conocida como “El Rosco”– de Pasapalabra. ITV Studios Global Distribution, LTD (“ITV”), en tanto que licenciante de los derechos de Atresmedia, compareció con esta y se opusieron a la demanda alegando la excepción de cosa juzgada por un litigio entre Mediaset España Comunicación, SA (“Mediaset”) e ITV, en el que se reconoció a ITV la titularidad de los derechos de propiedad intelectual de “El Rosco”. No obstante, la Audiencia Provincial de Barcelona entiende que ese litigio era sobre la relación contractual vigente entre Mediaset e ITV, y que la ahora demandante MC&F, no intervino en aquel procedimiento.

En su resolución, la Audiencia explica cómo los creadores de “El Rosco” cedieron sus derechos a MC&F, y esta licenció a una compañía italiana para incluir “El Rosco” en el concurso “Passaparola”, concurso que fue creado con base en una licencia de ITV a la misma compañía italiana por una obra conocida como “The Alphabet Game”. De este entramado de derechos, la Audiencia extrae que “El Rosco” es un formato televisivo protegible como obra por la propiedad intelectual y, dado que los autores cedieron sus derechos a MC&F, Atresmedia infringe los derechos de aquella al emitirlo.

Por todo ello, la Audiencia de Barcelona condena a Atresmedia a cesar en la emisión de “El Rosco” y a indemnizar a la demandante con 50.000 euros por los daños y perjuicios causados, así como a dar publicidad a esta resolución.

Puede encontrar la resolución de la Audiencia Provincial de Barcelona aquí.

El Tribunal Supremo concluye que Rojadirecta ha vulnerado los derechos de propiedad intelectual al facilitar enlaces para ver partidos de fútbol de forma gratuita

El Tribunal Supremo (en adelante, “TS”) se pronuncia en el litigio sobre Rojadirecta, el conocido portal de visualización en directo o en retransmisión ligeramente diferida de partidos cuyos derechos correspondían a Mediapro.

La Sala de lo Civil del TS ha estimado el recurso de Mediapro frente a la sentencia de la Audiencia de La Coruña y concluye que infringían los derechos de propiedad intelectual no solo la empresa explotadora de Rojadirecta –Puerto 80–, sino también su administrador –Igor Seoane–, a través de la figura de la infracción indirecta. La infracción indirecta permite extender la responsabilidad a quien coopere con las conductas infractoras y a quien tenga un interés económico directo en el resultado de la infracción y capacidad de control. El Alto Tribunal entiende que, en tanto que socio único de la compañía y conocedor de las claves de acceso, su interés económico y su capacidad de control eran innegables, más aún cuando se ha probado que obtenía por ello unos beneficios anuales de entre 1 y 2 millones de euros.

Puede encontrar el texto íntegro de la resolución aquí.

El Tribunal Supremo avala el sistema de compensación equitativa por copia privada

Tras la resolución por parte del TJUE sobre las cuestiones planteadas en materia del sistema de compensación por copia privada –ya comentada en nuestro Boletín de septiembre–, el TS en su sentencia 1498/2022, de 16 de noviembre, resuelve sobre el resto de cuestiones planteadas por las diferentes asociaciones y entidades partes del litigio.

El TS comienza desechando la posible falta de legitimación de la Asociación Multisectorial de Empresas TIC (“AMETIC”), dado el claro interés que tienen las empresas que la conforman en la regulación del sistema de compensación, puesto que es más que probable que les afecte. Estima también que la asimilación que realiza el sistema de compensación entre las publicaciones periódicas en formato digital y los libros no infringe la Ley de Propiedad Intelectual; y es que únicamente asimila aquellas de contenido cultural, científico o técnico de menos de 48 páginas, las cuales considera el TS que, por sus rasgos distintivos, se encuentran más próximas a los libros que a publicaciones dirigidas al público general.

Tampoco infringe la Ley de Propiedad Intelectual el modo de distribuir la compensación, pues, pese a que la citada Ley habilita al Gobierno para dictar la normativa de desarrollo, actualmente se hace por las entidades de gestión de derechos de autor. El TS entiende que el Gobierno no está obligado a agotar la habilitación, amén de que en el sistema previo ya existía una regla similar.

Continúa así el Alto Tribunal examinando diversos motivos argumentados por las recurrentes en los Fundamentos Jurídicos sexto y séptimo de la resolución, si bien desestima todos ellos.

Puede encontrar la sentencia completa aquí.

La Oficina de Propiedad Intelectual de la Unión Europea valida el registro de una obra de Banksy como marca

En 2018, la empresa encargada de gestionar los derechos del artista urbano Banksy solicitó el registro de la marca figurativa de un mono con el título “Laugh now, but one day we’ll be in charge” para una serie de bienes y servicios, como prendas de vestir, juegos, productos de imprenta y otros productos artísticos, educativos y culturales. Tras su registro, otra empresa solicitó su anulación, alegando que la marca fue creada por encargo en 2002 y vendida en subasta pública. No obstante, como bien señala la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, “EUIPO”), el dibujo de Banksy es distinto tanto en las formas del animal como en las del cartel que este sujeta. También recalca la EUIPO que, si bien Banksy permite en su web la libre descarga de su obra por parte de los usuarios, solicita que esta no se use con fines comerciales.

Uno de los principales problemas que tiene Banksy en la protección de sus obras es su anonimato. Al haber optado por ser anónimo, no puede acceder a la protección por derechos de autor, pues estos exigirían identificarle y perdería así la personalidad reservada que tanto impulsa su fama y éxito. Es por eso que acude a la protección marcaria, algo difícil de plantear puesto que no desea usar el dibujo como marca comercial. La decisión de cancelación, entre otras razones, fundamenta la anulación en una supuesta mala fe de Banksy, pues consideran que se sirve de su anonimato para pintar obras de otros autores y que nunca tuvo intención de usar la obra con fines comerciales.

El Tribunal de Apelación de la EUIPO determina que no existe tal mala fe, puesto que no se ha conseguido probar que Banksy no tuviera intención de usar la marca y ni siquiera ha transcurrido el período de gracia de la solicitud. Por todo ello, anula la cancelación y valida la marca.

Puede encontrar el texto íntegro de la resolución aquí.

  Volver al inicio


3. Juego


Publicación y entrada en vigor de la reforma de la Ley de Juego

El pasado 2 de noviembre se publicó en el Boletín Oficial del Estado (“BOE”) la Ley 23/2022, por la que se modifica la Ley de Regulación del Juego. La reforma, que entró en vigor al día siguiente de su publicación, va dirigida a la prevención de adicciones y a la promoción del juego responsable y seguro. En su artículo único, la reforma introduce una serie de modificaciones como la aplicación del principio de responsabilidad social, la creación de un Registro General de Interdicciones de Acceso al Juego o el respaldo legal al Servicio de Investigación Global del Mercado de Apuestas (“SIGMA”), puesto en marcha por la DGOJ en 2017.

Nuestro equipo de Tecnologías de la Información ha preparado un documento con las últimas novedades en materia de Juego, en el que incluimos un breve análisis de esta reforma y de las recientes resoluciones de interés en el sector. El documento se encuentra disponible, tanto en español como en inglés, en nuestro Blog de Tecnologías de la Información (disponible aquí).

Puede encontrar el texto íntegro de la norma aquí.

  Volver al inicio

 

4. Otras noticias de interés


La Comisión Europea adopta la Propuesta de Reglamento de alto nivel de interoperabilidad del sector público en toda la Unión

La Comisión Europea adoptó el pasado 18 de noviembre la Propuesta de Reglamento de medidas alto nivel de interoperabilidad del sector público en toda la Unión (“Propuesta de Reglamento de Europa Interoperable”). Mediante la Propuesta se creará una red de administraciones públicas digitales soberanas e interconectadas y se acelerará la transformación digital del sector público europeo. Esta Propuesta ayuda al diseño de un marco transfronterizo de intercambio de datos seguro y a acordar soluciones digitales compartidas.

Puede consultar más información aquí.

Volver al inicio

 

Madrid

Almagro, 16-18
Madrid 28010
T: (+34) 91 576 19 00

Barcelona

Avenida Diagonal 615, 8ª planta.
08028
T (+34) 93 494 74 82

Ramón y Cajalabogados
#SomosRyC
Boletín de noticias - Tecnologías de la información (noviembre 2022)
07 de Diciembre de 2022

Índice

1. Protección de datos

a. Noticias destacadas

b. Resoluciones y sentencias

c. Informes y guías

d. Otras noticias de interés

2. Propiedad intelectual

3. Juego

4. Otras noticias de interés

 


1. Protección de datos


a. Noticias destacadas

Las autoridades de protección de datos francesa y alemana denuncian graves problemas de privacidad en el uso de Office 365

Por una parte, en septiembre, la autoridad de protección de datos del Estado de Hesse (Alemania) prohibió el uso de Office 365 en colegios, puesto que detectó que el programa recogía datos de los usuarios contraviniendo la normativa de protección de datos. Ahora, un grupo de trabajo de las autoridades alemanas de protección de datos ha señalado que los diferentes productos que ofrece Office 365 basados en la nube de Microsoft incumplen lo dispuesto en el Reglamento General de Protección de Datos (en adelante, el “RGPD”). En concreto, el grupo de trabajo alemán ha señalado que este producto infringe las obligaciones de:

  1. Determinación de la base legitimadora – puesto que el término “fines comerciales legítimos” no es especialmente concreto y el interés legítimo no encajaría adecuadamente con clientes del sector público–.
  1. Transparencia, claridad y precisión del lenguaje de los contratos.
  1. Seguridad de los datos, dado que no ha aplicado medidas técnicas y organizativas apropiadas.
  1. Asunción de roles en los tratamientos, puesto que no queda claro cuando asume Microsoft el rol de responsable o el de encargado del tratamiento.
  1. La insuficiencia de la información que Microsoft proporciona a sus subencargados, dado que ni siquiera alcanzan con el mínimo establecido por las Cláusulas Contractuales Tipo diseñadas por la Comisión Europea.

Así, concluye el rrupo de trabajo alemán que el uso de Office 365 no cumple ahora mismo con el RGPD y, por ende, cualquiera que use el producto –al menos en la configuración estándar– está infringiendo la normativa europea.

Por otra parte, este mes de noviembre, la autoridad francesa de protección de datos (la “CNIL”) ha emitido una advertencia formal al Ministerio de Educación francés para que cese en el uso de versiones gratuitas de Office 365 y Google Workspace en los colegios y universidades. La CNIL tilda la oferta gratuita de estos servicios de un ejemplo extremo de dumping y competencia desleal, puesto que la normativa francesa establece que los contratos con el sector público deben ser onerosos y estos servicios son puramente gratuitos. Asimismo, la CNIL señala que esto plantea un grave problema de soberanía por la localización de los datos en un cloud americano y puede dar la impresión de que la administración francesa se ha vendido a Microsoft.

Puede encontrar el informe del grupo de trabajo alemán en este enlace (solo disponible en alemán), y el aviso formal de la CNIL al Ministerio de Educación francés aquí (únicamente disponible en francés).

 Volver al inicio

b. Resoluciones y sentencias

La AEPD emprende la batalla contra las páginas web de contenido para adultos

La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a Burwebs, SL, una empresa propietaria de una página web de contenido para adultos, con una multa de 70.000 euros. Esta sanción enlaza directamente con la multa de 525.000 euros impuesta a Techpump Solutions, SL, empresa propietaria de cinco páginas webs de contenido para adultos, a finales del pasado mes de octubre.

En ambos supuestos se aprecian múltiples infracciones del RGPD que la Agencia desgrana en las 76 y 122 páginas de sus resoluciones. Así, la Agencia enuncia, entre otros, los siguientes incumplimientos: la infracción de los principios de lealtad, transparencia, limitación de la finalidad, limitación en el plazo de conservación; la ausencia de comprobación de la edad real de los menores, si son o no menores de 14 años y, para el caso de que sean menores, la ausencia de comprobación del consentimiento de los titulares de la patria potestad; la exigencia de aportación del DNI o pasaporte en todo caso y previamente al ejercicio de derechos, independientemente de si hay o no dudas razonables sobre la identidad del interesado; la falta de información exigida en los registros de actividades del tratamiento; la falta de enfoque de la privacidad desde el diseño; y las irregularidades detectadas en las Políticas de Cookies.

Asimismo, la Agencia condena a ambas a implantar, en el plazo de 1 mes, las medidas correctoras necesarias para adecuar sus actuaciones a la normativa de protección de datos.

Puede encontrar el texto de la resolución de Burwebs, SL aquí y el de la resolución de Techpump Solutions, SL aquí.       

La autoridad de protección de datos irlandesa sanciona con 265 millones de euros a Meta por no evitar técnicas de data scraping

La autoridad de protección de datos irlandesa (en adelante, la “DPC”) ha concluido las investigaciones iniciadas en 2021 sobre Meta Platforms Ireland Limited (“Meta”), responsable del tratamiento de la red social Facebook. Estas investigaciones se iniciaron después de que se publicaran y pusieran a disposición del público en Internet datos personales de usuarios de Facebook.

La DPC entiende que Meta ha vulnerado las obligaciones de protección de datos desde el diseño y por defecto (artículo 25 del RGPD), por lo que le impone multas administrativas por un total de 265 millones de euros, y la obligación de adoptar una serie de medidas correctoras.

Puede encontrar más información aquí (únicamente disponible en inglés).

La AEPD sanciona con 70.000 euros a UPS por la entrega de un paquete a un vecino del destinatario sin el consentimiento de este último

La AEPD ha sancionado a United Parcel Service España Ltd. y compañía, SRC (“UPS”) por haber entregado a una vecina de la comunidad en la que reside el reclamante, el paquete que esta había solicitado, sin previo aviso y sin contar con su consentimiento expreso.

La entidad reclamada considera que ha actuado de conformidad con el contrato firmado con Media Mark Saturn Administración España, SA (“Media Markt”), siendo la propia Media Markt, quien, como responsable del tratamiento, tenía la obligación de informarle de que no podía proceder a la entrega del envío a un vecino, en ausencia del destinatario. Sin embargo, la AEPD precisa que los conceptos de encargado y responsable son funcionales, y se tienen que asignar teniendo en cuenta las actividades reales de cada uno. En este caso, UPS no ha acreditado que concurran los requisitos necesarios para ser considerada encargada del tratamiento, pues no ha suscrito con Media Markt el contrato que debe regir la relación entre el responsable y el encargado del tratamiento conforme el artículo 28.3 del RGPD.

Así, el hecho de tener firmado un contrato con Media Markt no deja exenta de responsabilidad a UPS, puesto que no se ha concretado si estamos ante un contrato de servicios o bien un contrato que vincule al encargado respecto del responsable. Por ello, la AEPD considera que UPS ha cedido los datos del reclamante a un tercero sin el debido consentimiento.

La AEPD ha impuesto a UPS una multa de 50.000 euros por la infracción del principio de integridad y confidencialidad (artículo 5.1 f. del RGPD), y una multa de 20.000 euros, por la vulneración del artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no son adecuadas y deben ser mejoradas.

Puede encontrar la resolución aquí.

La AEPD multa con 80.000 euros a BBVA por exponer los datos de un cliente a otro por un error humano

La AEPD ha sancionado al Banco Bilbao Vizcaya Argentaria, SA (“BBVA”) por haber facilitado el contrato de un tercero a un cliente, quien solicitaba un certificado de titularidad de su cuenta a través de la app de la entidad. El error, descrito como puntual y humano, supuso que los datos de un tercero estuvieran disponibles durante más de 4 meses por la imposibilidad informática de eliminarlos.

La Agencia entiende vulnerado el deber de confidencialidad de los datos personales (artículo 5.1.f. del RGPD) y quebrantadas las medidas técnicas y organizativas (artículo 32 del RGPD). Por la primera infracción, la AEPD impone a BBVA una multa de 50.000 euros y por la infracción del artículo 32.1 del RGPD le impone una multa de 30.000 euros. El total –80.000 euros– se ve reducido a 48.000 por la aplicación de las dos reducciones posibles de un 20% cada una, por pago en período voluntario y asunción de responsabilidad.

Puede encontrar la resolución aquí.

La AEPD sanciona a Bankinter con 100.000 euros por publicar datos de un tercero en el extracto mensual del titular de una cuenta

La AEPD ha sancionado a Bankinter, SA (“Bankinter”) por haber facilitado a un cliente los datos de un tercero en el apartado de visualización del extracto mensual de su cuenta en la web de Bankinter. Los datos personales del tercero incluyen datos económicos como el número de cuenta y los movimientos de la misma.

La Agencia entiende vulnerado el deber de confidencialidad de los datos personales (artículo 5.1.f. del RGPD) y quebrantadas las medidas técnicas y organizativas (artículo 32 del RGPD). Por la primera infracción, la AEPD impone a Bankinter una multa de 60.000 euros y por la infracción del artículo 32.1 del RGPD le impone una multa de 40.000 euros. El total –100.000 euros– se ve reducido a 80.000 por la aplicación de la reducción del 20% por pago en período voluntario.

Puede encontrar la resolución aquí.

La CNIL multa con 800.000 euros a Discord por el incumplimiento de varias obligaciones del RGPD

El pasado 10 de noviembre, la CNIL anunció una sanción económica a la empresa Discord, Inc. (“Discord”) por el incumplimiento de varias obligaciones de la normativa de protección de datos. En concreto, la CNIL concluye que el conocido servicio de chat de voz y mensajería instantánea ha infringido:

  1. El principio de limitación del plazo de conservación: la CNIL halló en sus investigaciones cuentas de casi 2.500.000 usuarios franceses que no habían sido utilizadas durante más de 3 años y 58.000 inutilizadas durante más de 5 años.
  1. Las obligaciones de información, puesto que no se hacía referencia a los plazos de conservación de los datos ni a criterios que permitieran su determinación.
  1. La privacidad por defecto: al hacer click en la “X” en la parte superior derecha de Microsoft Windows, la mayoría de las aplicaciones se cierran. No obstante, en Discord solo se estaba poniendo la aplicación en un segundo plano y permanecía conectado al canal de voz. En el curso del procedimiento, Discord habilitó una ventana emergente que aparecía cuando el usuario hacía click en la “X” una primera vez, avisándole de que la aplicación permanecería en funcionamiento y cómo proceder para cambiar esta configuración.
  1. La obligación de garantizar la seguridad de los datos personales: al crear una cuenta en Discord, se crea también una contraseña de seis caracteres. La CNIL consideró que esta política de gestión de contraseñas no era lo suficientemente robusta y restrictiva, si bien durante el procedimiento Discord aumentó la contraseña a 8 caracteres intercambiando minúsculas, mayúsculas, números y caracteres especiales e impuso la resolución de un captcha tras 10 intentos fallidos.
  1. La obligación de realizar una evaluación de impacto de protección de datos (las conocidas como “EIPD” o “DPIA”, por sus siglas en inglés): la CNIL concluye que, en atención a la categoría de datos, el volumen de los mismos y el uso de los servicios por menores de edad, Discord debería haber realiza dicho análisis.

Puede consultar el texto completo de la resolución aquí (solo disponible en francés).

La CNIL sanciona a EDF con 600.000 euros por diversos incumplimientos del RGPD y la normativa de comunicaciones comerciales

Tras diversas quejas sobre las serias dificultades que encuentran los usuarios para hacer valer sus derechos frente a la compañía, la CNIL ha sancionado a Électricité de France, SA (“EDF”) con 600.000 euros por diversos incumplimientos del RGPD y de la normativa de comunicaciones comerciales postales y electrónicas. En concreto, la CNIL detectó las siguientes infracciones normativas:

  1. La falta de obtención de un consentimiento válido para el envío de prospección comercial por medios electrónicos (artículo 7 del RGPD).
  1. El incumplimiento de las obligaciones de información (artículos 13 y 14 del RGPD) y de ejercicio de derechos, especialmente en lo que al procedimiento de ejercicio de los derechos de acceso y oposición (artículos 12, 15 y 21 del RGPD) se refiere.
  1. La falta de adopción de medidas técnicas y organizativas apropiadas para garantizar un adecuado nivel de seguridad de los datos personales (artículo 32 del RGPD), teniendo en consideración la gran cantidad de cuentas de clientes que se almacenaron de forma no segura hasta este año y la falta de cifrado adecuado de las contraseñas.

Puede encontrar la resolución aquí (solo disponible en francés).

La autoridad portuguesa de protección de datos sanciona a la ciudad de Setúbal con 170.000 euros por un tratamiento de datos personales de refugiados ucranianos

La autoridad portuguesa de protección de datos (en adelante, “CNPD”) ha sancionado con 170.000 euros a la ciudad de Setúbal por una serie de incumplimientos producidos durante el tratamiento de datos personales de refugiados ucranianos.

El municipio solicitó a los refugiados que rellenaran unos formularios con sus datos personales, entre los que se encontraban su nombre, dirección, fecha de nacimiento, estado civil y documentos de identificación. Entre los múltiples incumplimientos apreciados por el CNPD, se encuentran: la falta de realización de una evaluación de impacto, la carencia de medidas técnicas y organizativas suficientes, la falta de determinación de los plazos de conservación, el incumplimiento de los deberes de información a los interesados o la falta de designación de un Delegado de Protección de Datos.

Puede acceder a la resolución completa aquí.

La autoridad británica de protección de datos apercibe al Departamento de Educación por una brecha de seguridad que ha afectado a más de 28 millones de menores

La autoridad británica de protección de datos (en adelante, el “ICO”) ha apercibido al Departamento de Educación por haber facilitado indebidamente a Trustopia, una empresa de servicios de empleo, el acceso a una base de datos de estudiantes. Trustopia ofrecía el acceso a esta base de datos a diferentes proveedores del sector del juego para que comprobasen si las personas que abrían cuentas de juego online tenían más de 18 años. En total, el ICO estima comprometidos los datos de unos 28 millones de menores. Estas bases de datos, que son responsabilidad del Departamento de Educación, se usan para facilitar las calificaciones de los alumnos a centros educativos o verificar si son aptos para la concesión de becas.

El ICO concluye que se han infringido los artículos 5.1.a y 5.1.f del RGPD, puesto que los datos fueron compartidos con terceros sin una base de legitimación apropiada ni conocimiento del interesado, además de que el Departamento debía disponer de medidas que previnieran estos accesos indebidos. De no haber sido por el carácter de ente público del Departamento de Educación, la multa podría haber alcanzado los 10 millones de libras esterlinas.

Puede consultar más información aquí.

 Volver al inicio

c. Informes y guías

El Comité Europeo de Protección de Datos publica las Recomendaciones 1/2022, sobre los elementos, principios y aprobación de las Normas Corporativas Vinculantes

El Comité Europeo de Protección de Datos (en adelante, “CEPD”) publicó el pasado 17 de noviembre sus Recomendaciones 1/2022, sobre la Solicitud de Aprobación y sobre los elementos y principios de las Normas Corporativas Vinculantes del Responsable del tratamiento (“NCV-R”). Las Recomendaciones buscan estandarizar las solicitudes de aprobación de las NCV-R, determinar el contenido necesario de las mismas, distinguir la información que debe aparecer en las NCV-R de aquella que debe presentarse a la autoridad supervisora principal junto a la solicitud de aprobación, y clarificar y ampliar conceptos.

No obstante, conviene señalar que las Recomendaciones se encuentran aún en fase de consulta pública hasta el 10 de enero de 2023.

Puede encontrar más información aquí.

El Supervisor Europeo de Protección de Datos publica su Opinión 24/2022, acerca la Propuesta de Reglamento sobre la libertad de los medios de comunicación

El Supervisor Europeo de Protección de Datos (en adelante, el “SEPD”) ha publicado su Opinión 24/2022, sobre la Propuesta de Reglamento de Libertad de los Medios (la “Propuesta”). La Propuesta persigue establecer un marco regulatorio común que mejore el funcionamiento del mercado interior de los medios de comunicación, fomentando la actividad transfronteriza, la inversión en estos servicios y la asignación transparente y justa de los recursos económicos.

El SEPD recomienda aclarar, en primer lugar, el ámbito de aplicación de la Propuesta para que ampare a todos los periodistas y el hecho de que todo lo dispuesto en la Propuesta de Reglamento se entenderá sin perjuicio de lo que se derive de otras normas como el RGPD o la Directiva e-Privacy.

En segundo lugar, el SEPD cuestiona la eficacia de las medidas propuestas para garantizar la debida protección a los medios de comunicación, delimitando los términos con claridad y evitando conceptos jurídicos indeterminados como el interés general o la seguridad nacional. Lo mismo predica respecto de la publicación de información relativa a los proveedores de servicios de medios de comunicación: delimitación del interés general perseguido y claridad en la redacción.

En tercer lugar, con respecto a la autoridad u organismo nacional encargado de tramitar las denuncias en relación con las infracciones de la libertad editorial efectiva, el SEPD recomienda establecer garantías específicas de independencia de las autoridades competentes y determinar la base legal para la cooperación entre las autoridades de control.

Por último, el SEPD puntualiza que conviene aclarar si se tratarán datos personales en el marco de la cooperación o asistencia mutua entre las autoridades reguladoras nacionales o los organismos establecidos en la Propuesta y, en caso afirmativo, establecer los fines del tratamiento, las categorías específicas de datos personales que se procesarán, el período de retención de datos y la identificación de las funciones y responsabilidades de las autoridades y organismos reguladores nacionales en el sentido de la Ley de protección de datos.

Puede encontrar más información aquí.

La AEPD publica una traducción de la guía sobre anonimización elaborada por la Autoridad de Protección de Datos de Singapur

La AEPD publicó el pasado 2 de octubre la Guía Básica de Anonimización de la Autoridad de Protección de Datos de Singapur por su valor didáctico y especial interés para responsables, encargados del tratamiento y delegados de protección de datos. Esta guía se complementa con una herramienta de anonimización, que puede descargarse también de forma gratuita. El objetivo de ambos instrumentos es introducir la anonimización en aquellas organizaciones que carezcan de experiencia previa en el campo.

Puede acceder a la Guía básica de Anonimización en este enlace, y a la herramienta gratuita de anonimización aquí.

El ICO lanza una herramienta de evaluación del riesgo de transferencias internacionales de datos a terceros países

De acuerdo con el RGPD británico, si se desea realizar una transferencia de datos personales a receptores ubicados en terceros países, debe instrumentarse mediante alguna de las garantías adecuadas. El uso de esas garantías requiere la realización de una evaluación del riesgo de la transferencia o “transfer risk assessment” para determinar si las garantías otorgadas son o no suficientes.

La herramienta consiste en un documento modelo con preguntas y orientaciones para llevar a cabo la transferencia. El documento contiene preguntas sobre las circunstancias específicas de la transferencia, el nivel de riesgo para los interesados o si la transferencia aumenta el riesgo de que los interesados sufran una violación de sus derechos humanos en el país de destino de los datos.

Puede descargar la herramienta completa aquí en formato Word.

La autoridad de protección de datos alemana de Baden-Württemberg lanza un código de conducta para encargados del tratamiento

La autoridad de protección de datos alemana del Estado de Baden-Württemberg ha publicado un código de conducta para ayudar a los encargados del tratamiento a cumplir con el RGPD. Aquellos que sigan el código –autorregulándose– aceptan someterse a un control regular por parte de la autoridad alemana.

Puede encontrar más información aquí (únicamente disponible en alemán).

 

 Volver al inicio

d. Otras noticias de interés

El Tribunal Superior de Justicia de la Unión Europea concluye que la obligación de garantizar la información sobre la titularidad de las sociedades en materia de prevención del blanqueo de capitales vulnera la protección de datos

El pasado 22 de noviembre, el Tribunal Superior de Justicia de la Unión Europea (“TJUE”) determinó que la redacción de un apartado de la Quinta Directiva Antiblanqueo vulneraba el derecho a la protección de datos.

Concretamente, el TJUE invalida el deber de los Estados de poner a disposición del público en general la información sobre la titularidad real de las sociedades y otras entidades jurídicas constituidas en su territorio a través de los denominados Registros de la Titularidad Real. Esta puesta a disposición, diseñada en el marco de la prevención del blanqueo de capitales y financiación del terrorismo, resulta innecesaria y desproporcionada, puesto que autoriza a cualquier persona y no solo a las autoridades competentes a una serie de datos personales, como el nombre, la fecha de nacimiento o el país de residencia y el de nacionalidad. Así, el Alto Tribunal califica la obligación como una injerencia grave en los derechos fundamentales al respeto a la vida privada y a la protección de los datos personales, y procede a anularla.

Puede encontrar la sentencia completa aquí.

La autoridad holandesa de protección de datos advierte de los riesgos de la utilización de los cloud de Amazon, Google o Microsoft por la Administración Pública nacional

El Gobierno holandés ha anunciado recientemente su intención de almacenar datos en servicios cloud de proveedores comerciales externos. Hasta ahora, el Gobierno venía usando sus propios servicios de almacenamiento en la nube. No obstante, la Secretaría de Estado de Digitalización ha comunicado que los potenciales beneficios superan a los posibles riesgos, por lo que estarían dispuestos a almacenar información en empresas de cloud como Amazon, Google o Microsoft.

La autoridad holandesa de protección de datos aconseja cautela y recuerda al Gobierno el deber de salvaguardar la protección de los datos de los ciudadanos. También recomienda la realización de una Evaluación de Impacto de Protección de Datos y señala la importancia de revisar que el proveedor cloud esté dentro de la Unión Europea u ofrezca un nivel de protección similar, pues ya son conocidos los riesgos para la privacidad en países como Estados Unidos.

Puede consultar más información aquí (únicamente disponible en holandés).

Volver al inicio

 


2. Propiedad Intelectual


La Audiencia Provincial de Barcelona determina que El Rosco de Pasapalabra infringe los derechos de propiedad intelectual y ordena el cese de su emisión

MC&F Broadcasting Production and Distribution, CV (“MC&F”) demandó a Atresmedia Corporación de Medios de Comunicación, SA (“Atresmedia”) ante los Juzgados de Barcelona por infracción de sus derechos de propiedad intelectual y, subsidiariamente, por imitación desleal de la prueba final –conocida como “El Rosco”– de Pasapalabra. ITV Studios Global Distribution, LTD (“ITV”), en tanto que licenciante de los derechos de Atresmedia, compareció con esta y se opusieron a la demanda alegando la excepción de cosa juzgada por un litigio entre Mediaset España Comunicación, SA (“Mediaset”) e ITV, en el que se reconoció a ITV la titularidad de los derechos de propiedad intelectual de “El Rosco”. No obstante, la Audiencia Provincial de Barcelona entiende que ese litigio era sobre la relación contractual vigente entre Mediaset e ITV, y que la ahora demandante MC&F, no intervino en aquel procedimiento.

En su resolución, la Audiencia explica cómo los creadores de “El Rosco” cedieron sus derechos a MC&F, y esta licenció a una compañía italiana para incluir “El Rosco” en el concurso “Passaparola”, concurso que fue creado con base en una licencia de ITV a la misma compañía italiana por una obra conocida como “The Alphabet Game”. De este entramado de derechos, la Audiencia extrae que “El Rosco” es un formato televisivo protegible como obra por la propiedad intelectual y, dado que los autores cedieron sus derechos a MC&F, Atresmedia infringe los derechos de aquella al emitirlo.

Por todo ello, la Audiencia de Barcelona condena a Atresmedia a cesar en la emisión de “El Rosco” y a indemnizar a la demandante con 50.000 euros por los daños y perjuicios causados, así como a dar publicidad a esta resolución.

Puede encontrar la resolución de la Audiencia Provincial de Barcelona aquí.

El Tribunal Supremo concluye que Rojadirecta ha vulnerado los derechos de propiedad intelectual al facilitar enlaces para ver partidos de fútbol de forma gratuita

El Tribunal Supremo (en adelante, “TS”) se pronuncia en el litigio sobre Rojadirecta, el conocido portal de visualización en directo o en retransmisión ligeramente diferida de partidos cuyos derechos correspondían a Mediapro.

La Sala de lo Civil del TS ha estimado el recurso de Mediapro frente a la sentencia de la Audiencia de La Coruña y concluye que infringían los derechos de propiedad intelectual no solo la empresa explotadora de Rojadirecta –Puerto 80–, sino también su administrador –Igor Seoane–, a través de la figura de la infracción indirecta. La infracción indirecta permite extender la responsabilidad a quien coopere con las conductas infractoras y a quien tenga un interés económico directo en el resultado de la infracción y capacidad de control. El Alto Tribunal entiende que, en tanto que socio único de la compañía y conocedor de las claves de acceso, su interés económico y su capacidad de control eran innegables, más aún cuando se ha probado que obtenía por ello unos beneficios anuales de entre 1 y 2 millones de euros.

Puede encontrar el texto íntegro de la resolución aquí.

El Tribunal Supremo avala el sistema de compensación equitativa por copia privada

Tras la resolución por parte del TJUE sobre las cuestiones planteadas en materia del sistema de compensación por copia privada –ya comentada en nuestro Boletín de septiembre–, el TS en su sentencia 1498/2022, de 16 de noviembre, resuelve sobre el resto de cuestiones planteadas por las diferentes asociaciones y entidades partes del litigio.

El TS comienza desechando la posible falta de legitimación de la Asociación Multisectorial de Empresas TIC (“AMETIC”), dado el claro interés que tienen las empresas que la conforman en la regulación del sistema de compensación, puesto que es más que probable que les afecte. Estima también que la asimilación que realiza el sistema de compensación entre las publicaciones periódicas en formato digital y los libros no infringe la Ley de Propiedad Intelectual; y es que únicamente asimila aquellas de contenido cultural, científico o técnico de menos de 48 páginas, las cuales considera el TS que, por sus rasgos distintivos, se encuentran más próximas a los libros que a publicaciones dirigidas al público general.

Tampoco infringe la Ley de Propiedad Intelectual el modo de distribuir la compensación, pues, pese a que la citada Ley habilita al Gobierno para dictar la normativa de desarrollo, actualmente se hace por las entidades de gestión de derechos de autor. El TS entiende que el Gobierno no está obligado a agotar la habilitación, amén de que en el sistema previo ya existía una regla similar.

Continúa así el Alto Tribunal examinando diversos motivos argumentados por las recurrentes en los Fundamentos Jurídicos sexto y séptimo de la resolución, si bien desestima todos ellos.

Puede encontrar la sentencia completa aquí.

La Oficina de Propiedad Intelectual de la Unión Europea valida el registro de una obra de Banksy como marca

En 2018, la empresa encargada de gestionar los derechos del artista urbano Banksy solicitó el registro de la marca figurativa de un mono con el título “Laugh now, but one day we’ll be in charge” para una serie de bienes y servicios, como prendas de vestir, juegos, productos de imprenta y otros productos artísticos, educativos y culturales. Tras su registro, otra empresa solicitó su anulación, alegando que la marca fue creada por encargo en 2002 y vendida en subasta pública. No obstante, como bien señala la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, “EUIPO”), el dibujo de Banksy es distinto tanto en las formas del animal como en las del cartel que este sujeta. También recalca la EUIPO que, si bien Banksy permite en su web la libre descarga de su obra por parte de los usuarios, solicita que esta no se use con fines comerciales.

Uno de los principales problemas que tiene Banksy en la protección de sus obras es su anonimato. Al haber optado por ser anónimo, no puede acceder a la protección por derechos de autor, pues estos exigirían identificarle y perdería así la personalidad reservada que tanto impulsa su fama y éxito. Es por eso que acude a la protección marcaria, algo difícil de plantear puesto que no desea usar el dibujo como marca comercial. La decisión de cancelación, entre otras razones, fundamenta la anulación en una supuesta mala fe de Banksy, pues consideran que se sirve de su anonimato para pintar obras de otros autores y que nunca tuvo intención de usar la obra con fines comerciales.

El Tribunal de Apelación de la EUIPO determina que no existe tal mala fe, puesto que no se ha conseguido probar que Banksy no tuviera intención de usar la marca y ni siquiera ha transcurrido el período de gracia de la solicitud. Por todo ello, anula la cancelación y valida la marca.

Puede encontrar el texto íntegro de la resolución aquí.

  Volver al inicio


3. Juego


Publicación y entrada en vigor de la reforma de la Ley de Juego

El pasado 2 de noviembre se publicó en el Boletín Oficial del Estado (“BOE”) la Ley 23/2022, por la que se modifica la Ley de Regulación del Juego. La reforma, que entró en vigor al día siguiente de su publicación, va dirigida a la prevención de adicciones y a la promoción del juego responsable y seguro. En su artículo único, la reforma introduce una serie de modificaciones como la aplicación del principio de responsabilidad social, la creación de un Registro General de Interdicciones de Acceso al Juego o el respaldo legal al Servicio de Investigación Global del Mercado de Apuestas (“SIGMA”), puesto en marcha por la DGOJ en 2017.

Nuestro equipo de Tecnologías de la Información ha preparado un documento con las últimas novedades en materia de Juego, en el que incluimos un breve análisis de esta reforma y de las recientes resoluciones de interés en el sector. El documento se encuentra disponible, tanto en español como en inglés, en nuestro Blog de Tecnologías de la Información (disponible aquí).

Puede encontrar el texto íntegro de la norma aquí.

  Volver al inicio

 

4. Otras noticias de interés


La Comisión Europea adopta la Propuesta de Reglamento de alto nivel de interoperabilidad del sector público en toda la Unión

La Comisión Europea adoptó el pasado 18 de noviembre la Propuesta de Reglamento de medidas alto nivel de interoperabilidad del sector público en toda la Unión (“Propuesta de Reglamento de Europa Interoperable”). Mediante la Propuesta se creará una red de administraciones públicas digitales soberanas e interconectadas y se acelerará la transformación digital del sector público europeo. Esta Propuesta ayuda al diseño de un marco transfronterizo de intercambio de datos seguro y a acordar soluciones digitales compartidas.

Puede consultar más información aquí.

Volver al inicio

 

Madrid

Almagro, 16-18
Madrid 28010
T: (+34) 91 576 19 00

Barcelona

Avenida Diagonal 615, 8ª planta.
08028
T (+34) 93 494 74 82