Por una parte, en septiembre, la autoridad de protección de datos del Estado de Hesse (Alemania) prohibió el uso de Office 365 en colegios, puesto que detectó que el programa recogía datos de los usuarios contraviniendo la normativa de protección de datos. Ahora, un grupo de trabajo de las autoridades alemanas de protección de datos ha señalado que los diferentes productos que ofrece Office 365 basados en la nube de Microsoft incumplen lo dispuesto en el Reglamento General de Protección de Datos (en adelante, el “RGPD”). En concreto, el grupo de trabajo alemán ha señalado que este producto infringe las obligaciones de:
Así, concluye el rrupo de trabajo alemán que el uso de Office 365 no cumple ahora mismo con el RGPD y, por ende, cualquiera que use el producto –al menos en la configuración estándar– está infringiendo la normativa europea.
Por otra parte, este mes de noviembre, la autoridad francesa de protección de datos (la “CNIL”) ha emitido una advertencia formal al Ministerio de Educación francés para que cese en el uso de versiones gratuitas de Office 365 y Google Workspace en los colegios y universidades. La CNIL tilda la oferta gratuita de estos servicios de un ejemplo extremo de dumping y competencia desleal, puesto que la normativa francesa establece que los contratos con el sector público deben ser onerosos y estos servicios son puramente gratuitos. Asimismo, la CNIL señala que esto plantea un grave problema de soberanía por la localización de los datos en un cloud americano y puede dar la impresión de que la administración francesa se ha vendido a Microsoft.
Puede encontrar el informe del grupo de trabajo alemán en este enlace (solo disponible en alemán), y el aviso formal de la CNIL al Ministerio de Educación francés aquí (únicamente disponible en francés).
La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha sancionado a Burwebs, SL, una empresa propietaria de una página web de contenido para adultos, con una multa de 70.000 euros. Esta sanción enlaza directamente con la multa de 525.000 euros impuesta a Techpump Solutions, SL, empresa propietaria de cinco páginas webs de contenido para adultos, a finales del pasado mes de octubre.
En ambos supuestos se aprecian múltiples infracciones del RGPD que la Agencia desgrana en las 76 y 122 páginas de sus resoluciones. Así, la Agencia enuncia, entre otros, los siguientes incumplimientos: la infracción de los principios de lealtad, transparencia, limitación de la finalidad, limitación en el plazo de conservación; la ausencia de comprobación de la edad real de los menores, si son o no menores de 14 años y, para el caso de que sean menores, la ausencia de comprobación del consentimiento de los titulares de la patria potestad; la exigencia de aportación del DNI o pasaporte en todo caso y previamente al ejercicio de derechos, independientemente de si hay o no dudas razonables sobre la identidad del interesado; la falta de información exigida en los registros de actividades del tratamiento; la falta de enfoque de la privacidad desde el diseño; y las irregularidades detectadas en las Políticas de Cookies.
Asimismo, la Agencia condena a ambas a implantar, en el plazo de 1 mes, las medidas correctoras necesarias para adecuar sus actuaciones a la normativa de protección de datos.
Puede encontrar el texto de la resolución de Burwebs, SL aquí y el de la resolución de Techpump Solutions, SL aquí.
La autoridad de protección de datos irlandesa (en adelante, la “DPC”) ha concluido las investigaciones iniciadas en 2021 sobre Meta Platforms Ireland Limited (“Meta”), responsable del tratamiento de la red social Facebook. Estas investigaciones se iniciaron después de que se publicaran y pusieran a disposición del público en Internet datos personales de usuarios de Facebook.
La DPC entiende que Meta ha vulnerado las obligaciones de protección de datos desde el diseño y por defecto (artículo 25 del RGPD), por lo que le impone multas administrativas por un total de 265 millones de euros, y la obligación de adoptar una serie de medidas correctoras.
Puede encontrar más información aquí (únicamente disponible en inglés).
La AEPD ha sancionado a United Parcel Service España Ltd. y compañía, SRC (“UPS”) por haber entregado a una vecina de la comunidad en la que reside el reclamante, el paquete que esta había solicitado, sin previo aviso y sin contar con su consentimiento expreso.
La entidad reclamada considera que ha actuado de conformidad con el contrato firmado con Media Mark Saturn Administración España, SA (“Media Markt”), siendo la propia Media Markt, quien, como responsable del tratamiento, tenía la obligación de informarle de que no podía proceder a la entrega del envío a un vecino, en ausencia del destinatario. Sin embargo, la AEPD precisa que los conceptos de encargado y responsable son funcionales, y se tienen que asignar teniendo en cuenta las actividades reales de cada uno. En este caso, UPS no ha acreditado que concurran los requisitos necesarios para ser considerada encargada del tratamiento, pues no ha suscrito con Media Markt el contrato que debe regir la relación entre el responsable y el encargado del tratamiento conforme el artículo 28.3 del RGPD.
Así, el hecho de tener firmado un contrato con Media Markt no deja exenta de responsabilidad a UPS, puesto que no se ha concretado si estamos ante un contrato de servicios o bien un contrato que vincule al encargado respecto del responsable. Por ello, la AEPD considera que UPS ha cedido los datos del reclamante a un tercero sin el debido consentimiento.
La AEPD ha impuesto a UPS una multa de 50.000 euros por la infracción del principio de integridad y confidencialidad (artículo 5.1 f. del RGPD), y una multa de 20.000 euros, por la vulneración del artículo 32 del RGPD, ya que las medidas de seguridad de la entidad reclamada no son adecuadas y deben ser mejoradas.
Puede encontrar la resolución aquí.
La AEPD ha sancionado al Banco Bilbao Vizcaya Argentaria, SA (“BBVA”) por haber facilitado el contrato de un tercero a un cliente, quien solicitaba un certificado de titularidad de su cuenta a través de la app de la entidad. El error, descrito como puntual y humano, supuso que los datos de un tercero estuvieran disponibles durante más de 4 meses por la imposibilidad informática de eliminarlos.
La Agencia entiende vulnerado el deber de confidencialidad de los datos personales (artículo 5.1.f. del RGPD) y quebrantadas las medidas técnicas y organizativas (artículo 32 del RGPD). Por la primera infracción, la AEPD impone a BBVA una multa de 50.000 euros y por la infracción del artículo 32.1 del RGPD le impone una multa de 30.000 euros. El total –80.000 euros– se ve reducido a 48.000 por la aplicación de las dos reducciones posibles de un 20% cada una, por pago en período voluntario y asunción de responsabilidad.
Puede encontrar la resolución aquí.
La AEPD ha sancionado a Bankinter, SA (“Bankinter”) por haber facilitado a un cliente los datos de un tercero en el apartado de visualización del extracto mensual de su cuenta en la web de Bankinter. Los datos personales del tercero incluyen datos económicos como el número de cuenta y los movimientos de la misma.
La Agencia entiende vulnerado el deber de confidencialidad de los datos personales (artículo 5.1.f. del RGPD) y quebrantadas las medidas técnicas y organizativas (artículo 32 del RGPD). Por la primera infracción, la AEPD impone a Bankinter una multa de 60.000 euros y por la infracción del artículo 32.1 del RGPD le impone una multa de 40.000 euros. El total –100.000 euros– se ve reducido a 80.000 por la aplicación de la reducción del 20% por pago en período voluntario.
Puede encontrar la resolución aquí.
El pasado 10 de noviembre, la CNIL anunció una sanción económica a la empresa Discord, Inc. (“Discord”) por el incumplimiento de varias obligaciones de la normativa de protección de datos. En concreto, la CNIL concluye que el conocido servicio de chat de voz y mensajería instantánea ha infringido:
Puede consultar el texto completo de la resolución aquí (solo disponible en francés).
Tras diversas quejas sobre las serias dificultades que encuentran los usuarios para hacer valer sus derechos frente a la compañía, la CNIL ha sancionado a Électricité de France, SA (“EDF”) con 600.000 euros por diversos incumplimientos del RGPD y de la normativa de comunicaciones comerciales postales y electrónicas. En concreto, la CNIL detectó las siguientes infracciones normativas:
Puede encontrar la resolución aquí (solo disponible en francés).
La autoridad portuguesa de protección de datos (en adelante, “CNPD”) ha sancionado con 170.000 euros a la ciudad de Setúbal por una serie de incumplimientos producidos durante el tratamiento de datos personales de refugiados ucranianos.
El municipio solicitó a los refugiados que rellenaran unos formularios con sus datos personales, entre los que se encontraban su nombre, dirección, fecha de nacimiento, estado civil y documentos de identificación. Entre los múltiples incumplimientos apreciados por el CNPD, se encuentran: la falta de realización de una evaluación de impacto, la carencia de medidas técnicas y organizativas suficientes, la falta de determinación de los plazos de conservación, el incumplimiento de los deberes de información a los interesados o la falta de designación de un Delegado de Protección de Datos.
Puede acceder a la resolución completa aquí.
La autoridad británica de protección de datos (en adelante, el “ICO”) ha apercibido al Departamento de Educación por haber facilitado indebidamente a Trustopia, una empresa de servicios de empleo, el acceso a una base de datos de estudiantes. Trustopia ofrecía el acceso a esta base de datos a diferentes proveedores del sector del juego para que comprobasen si las personas que abrían cuentas de juego online tenían más de 18 años. En total, el ICO estima comprometidos los datos de unos 28 millones de menores. Estas bases de datos, que son responsabilidad del Departamento de Educación, se usan para facilitar las calificaciones de los alumnos a centros educativos o verificar si son aptos para la concesión de becas.
El ICO concluye que se han infringido los artículos 5.1.a y 5.1.f del RGPD, puesto que los datos fueron compartidos con terceros sin una base de legitimación apropiada ni conocimiento del interesado, además de que el Departamento debía disponer de medidas que previnieran estos accesos indebidos. De no haber sido por el carácter de ente público del Departamento de Educación, la multa podría haber alcanzado los 10 millones de libras esterlinas.
Puede consultar más información aquí.
El Comité Europeo de Protección de Datos (en adelante, “CEPD”) publicó el pasado 17 de noviembre sus Recomendaciones 1/2022, sobre la Solicitud de Aprobación y sobre los elementos y principios de las Normas Corporativas Vinculantes del Responsable del tratamiento (“NCV-R”). Las Recomendaciones buscan estandarizar las solicitudes de aprobación de las NCV-R, determinar el contenido necesario de las mismas, distinguir la información que debe aparecer en las NCV-R de aquella que debe presentarse a la autoridad supervisora principal junto a la solicitud de aprobación, y clarificar y ampliar conceptos.
No obstante, conviene señalar que las Recomendaciones se encuentran aún en fase de consulta pública hasta el 10 de enero de 2023.
Puede encontrar más información aquí.
El Supervisor Europeo de Protección de Datos (en adelante, el “SEPD”) ha publicado su Opinión 24/2022, sobre la Propuesta de Reglamento de Libertad de los Medios (la “Propuesta”). La Propuesta persigue establecer un marco regulatorio común que mejore el funcionamiento del mercado interior de los medios de comunicación, fomentando la actividad transfronteriza, la inversión en estos servicios y la asignación transparente y justa de los recursos económicos.
El SEPD recomienda aclarar, en primer lugar, el ámbito de aplicación de la Propuesta para que ampare a todos los periodistas y el hecho de que todo lo dispuesto en la Propuesta de Reglamento se entenderá sin perjuicio de lo que se derive de otras normas como el RGPD o la Directiva e-Privacy.
En segundo lugar, el SEPD cuestiona la eficacia de las medidas propuestas para garantizar la debida protección a los medios de comunicación, delimitando los términos con claridad y evitando conceptos jurídicos indeterminados como el interés general o la seguridad nacional. Lo mismo predica respecto de la publicación de información relativa a los proveedores de servicios de medios de comunicación: delimitación del interés general perseguido y claridad en la redacción.
En tercer lugar, con respecto a la autoridad u organismo nacional encargado de tramitar las denuncias en relación con las infracciones de la libertad editorial efectiva, el SEPD recomienda establecer garantías específicas de independencia de las autoridades competentes y determinar la base legal para la cooperación entre las autoridades de control.
Por último, el SEPD puntualiza que conviene aclarar si se tratarán datos personales en el marco de la cooperación o asistencia mutua entre las autoridades reguladoras nacionales o los organismos establecidos en la Propuesta y, en caso afirmativo, establecer los fines del tratamiento, las categorías específicas de datos personales que se procesarán, el período de retención de datos y la identificación de las funciones y responsabilidades de las autoridades y organismos reguladores nacionales en el sentido de la Ley de protección de datos.
Puede encontrar más información aquí.
La AEPD publicó el pasado 2 de octubre la Guía Básica de Anonimización de la Autoridad de Protección de Datos de Singapur por su valor didáctico y especial interés para responsables, encargados del tratamiento y delegados de protección de datos. Esta guía se complementa con una herramienta de anonimización, que puede descargarse también de forma gratuita. El objetivo de ambos instrumentos es introducir la anonimización en aquellas organizaciones que carezcan de experiencia previa en el campo.
Puede acceder a la Guía básica de Anonimización en este enlace, y a la herramienta gratuita de anonimización aquí.
De acuerdo con el RGPD británico, si se desea realizar una transferencia de datos personales a receptores ubicados en terceros países, debe instrumentarse mediante alguna de las garantías adecuadas. El uso de esas garantías requiere la realización de una evaluación del riesgo de la transferencia o “transfer risk assessment” para determinar si las garantías otorgadas son o no suficientes.
La herramienta consiste en un documento modelo con preguntas y orientaciones para llevar a cabo la transferencia. El documento contiene preguntas sobre las circunstancias específicas de la transferencia, el nivel de riesgo para los interesados o si la transferencia aumenta el riesgo de que los interesados sufran una violación de sus derechos humanos en el país de destino de los datos.
Puede descargar la herramienta completa aquí en formato Word.
La autoridad de protección de datos alemana del Estado de Baden-Württemberg ha publicado un código de conducta para ayudar a los encargados del tratamiento a cumplir con el RGPD. Aquellos que sigan el código –autorregulándose– aceptan someterse a un control regular por parte de la autoridad alemana.
Puede encontrar más información aquí (únicamente disponible en alemán).
El pasado 22 de noviembre, el Tribunal Superior de Justicia de la Unión Europea (“TJUE”) determinó que la redacción de un apartado de la Quinta Directiva Antiblanqueo vulneraba el derecho a la protección de datos.
Concretamente, el TJUE invalida el deber de los Estados de poner a disposición del público en general la información sobre la titularidad real de las sociedades y otras entidades jurídicas constituidas en su territorio a través de los denominados Registros de la Titularidad Real. Esta puesta a disposición, diseñada en el marco de la prevención del blanqueo de capitales y financiación del terrorismo, resulta innecesaria y desproporcionada, puesto que autoriza a cualquier persona y no solo a las autoridades competentes a una serie de datos personales, como el nombre, la fecha de nacimiento o el país de residencia y el de nacionalidad. Así, el Alto Tribunal califica la obligación como una injerencia grave en los derechos fundamentales al respeto a la vida privada y a la protección de los datos personales, y procede a anularla.
Puede encontrar la sentencia completa aquí.
El Gobierno holandés ha anunciado recientemente su intención de almacenar datos en servicios cloud de proveedores comerciales externos. Hasta ahora, el Gobierno venía usando sus propios servicios de almacenamiento en la nube. No obstante, la Secretaría de Estado de Digitalización ha comunicado que los potenciales beneficios superan a los posibles riesgos, por lo que estarían dispuestos a almacenar información en empresas de cloud como Amazon, Google o Microsoft.
La autoridad holandesa de protección de datos aconseja cautela y recuerda al Gobierno el deber de salvaguardar la protección de los datos de los ciudadanos. También recomienda la realización de una Evaluación de Impacto de Protección de Datos y señala la importancia de revisar que el proveedor cloud esté dentro de la Unión Europea u ofrezca un nivel de protección similar, pues ya son conocidos los riesgos para la privacidad en países como Estados Unidos.
Puede consultar más información aquí (únicamente disponible en holandés).
MC&F Broadcasting Production and Distribution, CV (“MC&F”) demandó a Atresmedia Corporación de Medios de Comunicación, SA (“Atresmedia”) ante los Juzgados de Barcelona por infracción de sus derechos de propiedad intelectual y, subsidiariamente, por imitación desleal de la prueba final –conocida como “El Rosco”– de Pasapalabra. ITV Studios Global Distribution, LTD (“ITV”), en tanto que licenciante de los derechos de Atresmedia, compareció con esta y se opusieron a la demanda alegando la excepción de cosa juzgada por un litigio entre Mediaset España Comunicación, SA (“Mediaset”) e ITV, en el que se reconoció a ITV la titularidad de los derechos de propiedad intelectual de “El Rosco”. No obstante, la Audiencia Provincial de Barcelona entiende que ese litigio era sobre la relación contractual vigente entre Mediaset e ITV, y que la ahora demandante MC&F, no intervino en aquel procedimiento.
En su resolución, la Audiencia explica cómo los creadores de “El Rosco” cedieron sus derechos a MC&F, y esta licenció a una compañía italiana para incluir “El Rosco” en el concurso “Passaparola”, concurso que fue creado con base en una licencia de ITV a la misma compañía italiana por una obra conocida como “The Alphabet Game”. De este entramado de derechos, la Audiencia extrae que “El Rosco” es un formato televisivo protegible como obra por la propiedad intelectual y, dado que los autores cedieron sus derechos a MC&F, Atresmedia infringe los derechos de aquella al emitirlo.
Por todo ello, la Audiencia de Barcelona condena a Atresmedia a cesar en la emisión de “El Rosco” y a indemnizar a la demandante con 50.000 euros por los daños y perjuicios causados, así como a dar publicidad a esta resolución.
Puede encontrar la resolución de la Audiencia Provincial de Barcelona aquí.
El Tribunal Supremo (en adelante, “TS”) se pronuncia en el litigio sobre Rojadirecta, el conocido portal de visualización en directo o en retransmisión ligeramente diferida de partidos cuyos derechos correspondían a Mediapro.
La Sala de lo Civil del TS ha estimado el recurso de Mediapro frente a la sentencia de la Audiencia de La Coruña y concluye que infringían los derechos de propiedad intelectual no solo la empresa explotadora de Rojadirecta –Puerto 80–, sino también su administrador –Igor Seoane–, a través de la figura de la infracción indirecta. La infracción indirecta permite extender la responsabilidad a quien coopere con las conductas infractoras y a quien tenga un interés económico directo en el resultado de la infracción y capacidad de control. El Alto Tribunal entiende que, en tanto que socio único de la compañía y conocedor de las claves de acceso, su interés económico y su capacidad de control eran innegables, más aún cuando se ha probado que obtenía por ello unos beneficios anuales de entre 1 y 2 millones de euros.
Puede encontrar el texto íntegro de la resolución aquí.
Tras la resolución por parte del TJUE sobre las cuestiones planteadas en materia del sistema de compensación por copia privada –ya comentada en nuestro Boletín de septiembre–, el TS en su sentencia 1498/2022, de 16 de noviembre, resuelve sobre el resto de cuestiones planteadas por las diferentes asociaciones y entidades partes del litigio.
El TS comienza desechando la posible falta de legitimación de la Asociación Multisectorial de Empresas TIC (“AMETIC”), dado el claro interés que tienen las empresas que la conforman en la regulación del sistema de compensación, puesto que es más que probable que les afecte. Estima también que la asimilación que realiza el sistema de compensación entre las publicaciones periódicas en formato digital y los libros no infringe la Ley de Propiedad Intelectual; y es que únicamente asimila aquellas de contenido cultural, científico o técnico de menos de 48 páginas, las cuales considera el TS que, por sus rasgos distintivos, se encuentran más próximas a los libros que a publicaciones dirigidas al público general.
Tampoco infringe la Ley de Propiedad Intelectual el modo de distribuir la compensación, pues, pese a que la citada Ley habilita al Gobierno para dictar la normativa de desarrollo, actualmente se hace por las entidades de gestión de derechos de autor. El TS entiende que el Gobierno no está obligado a agotar la habilitación, amén de que en el sistema previo ya existía una regla similar.
Continúa así el Alto Tribunal examinando diversos motivos argumentados por las recurrentes en los Fundamentos Jurídicos sexto y séptimo de la resolución, si bien desestima todos ellos.
Puede encontrar la sentencia completa aquí.
En 2018, la empresa encargada de gestionar los derechos del artista urbano Banksy solicitó el registro de la marca figurativa de un mono con el título “Laugh now, but one day we’ll be in charge” para una serie de bienes y servicios, como prendas de vestir, juegos, productos de imprenta y otros productos artísticos, educativos y culturales. Tras su registro, otra empresa solicitó su anulación, alegando que la marca fue creada por encargo en 2002 y vendida en subasta pública. No obstante, como bien señala la Oficina de Propiedad Intelectual de la Unión Europea (en adelante, “EUIPO”), el dibujo de Banksy es distinto tanto en las formas del animal como en las del cartel que este sujeta. También recalca la EUIPO que, si bien Banksy permite en su web la libre descarga de su obra por parte de los usuarios, solicita que esta no se use con fines comerciales.
Uno de los principales problemas que tiene Banksy en la protección de sus obras es su anonimato. Al haber optado por ser anónimo, no puede acceder a la protección por derechos de autor, pues estos exigirían identificarle y perdería así la personalidad reservada que tanto impulsa su fama y éxito. Es por eso que acude a la protección marcaria, algo difícil de plantear puesto que no desea usar el dibujo como marca comercial. La decisión de cancelación, entre otras razones, fundamenta la anulación en una supuesta mala fe de Banksy, pues consideran que se sirve de su anonimato para pintar obras de otros autores y que nunca tuvo intención de usar la obra con fines comerciales.
El Tribunal de Apelación de la EUIPO determina que no existe tal mala fe, puesto que no se ha conseguido probar que Banksy no tuviera intención de usar la marca y ni siquiera ha transcurrido el período de gracia de la solicitud. Por todo ello, anula la cancelación y valida la marca.
Puede encontrar el texto íntegro de la resolución aquí.
El pasado 2 de noviembre se publicó en el Boletín Oficial del Estado (“BOE”) la Ley 23/2022, por la que se modifica la Ley de Regulación del Juego. La reforma, que entró en vigor al día siguiente de su publicación, va dirigida a la prevención de adicciones y a la promoción del juego responsable y seguro. En su artículo único, la reforma introduce una serie de modificaciones como la aplicación del principio de responsabilidad social, la creación de un Registro General de Interdicciones de Acceso al Juego o el respaldo legal al Servicio de Investigación Global del Mercado de Apuestas (“SIGMA”), puesto en marcha por la DGOJ en 2017.
Nuestro equipo de Tecnologías de la Información ha preparado un documento con las últimas novedades en materia de Juego, en el que incluimos un breve análisis de esta reforma y de las recientes resoluciones de interés en el sector. El documento se encuentra disponible, tanto en español como en inglés, en nuestro Blog de Tecnologías de la Información (disponible aquí).
Puede encontrar el texto íntegro de la norma aquí.
La Comisión Europea adoptó el pasado 18 de noviembre la Propuesta de Reglamento de medidas alto nivel de interoperabilidad del sector público en toda la Unión (“Propuesta de Reglamento de Europa Interoperable”). Mediante la Propuesta se creará una red de administraciones públicas digitales soberanas e interconectadas y se acelerará la transformación digital del sector público europeo. Esta Propuesta ayuda al diseño de un marco transfronterizo de intercambio de datos seguro y a acordar soluciones digitales compartidas.
Puede consultar más información aquí.