Tag Archives: España

Nueve cuestiones básicas sobre la nueva Ley de Protección de Datos (I)

El 6 diciembre ha sido publicada en el BOE la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDPGDD) que fue aprobada por el Pleno del Senado el anterior 21 de noviembre.

Si bien el Reglamento General de Protección de Datos (RGPD) no deja a los Estados miembro de la UE un margen de actuación muy amplio, motivo por el que la nueva Ley se remite con frecuencia a dicho Reglamento, sin embargo, ésta sí contempla algunas previsiones novedosas que reflejamos en este post informativo.

El Delegado de Protección de Datos

Adicionalmente a las previsiones que ya contempla el Reglamento General de Protección de Datos (RGPD) al respecto, la norma establece un total de 16 supuestos en los que resulta preceptivo que se designe a un DPD.

Así, empresas de publicidad que lleven a cabo profiling, operadores que desarrollen la actividad del juego vía canales electrónicos, entidades aseguradoras, centros docentes o empresas de servicios de inversión relacionadas con el mercado de valores, entidades financieras y ciertas compañías energéticas, entre otras, se verán afectadas por esta previsión.

Transparencia e información

Mediante su artículo 11, la LOPDPGDD convierte en norma lo que hasta ahora venían siendo recomendaciones de la Agencia Española de Protección de Datos y del antiguo Grupo de Trabajo del Artículo 29 en relación con el sistema de información en doble capa.

De este modo, si ahora se acude a este método de información por niveles, necesariamente la primera capa deberá contener como mínimo los aspectos que este artículo 11 exige:

  1. La identidad del responsable y, en su caso, su representante.
  2. La finalidad del tratamiento.
  3. La posibilidad de ejercer los derechos de protección de datos.
  4. Si los datos no se obtienen directamente del titular, además el tipo de datos y su fuente de obtención.

Menores de edad

Mantiene el criterio del límite de edad en los 14 años e introducen previsiones en pro de la defensa del menor y su interacción con el ámbito digital, como son la posible intervención del Ministerio Fiscal en aquellos casos de utilización o difusión de imágenes e información personal de menores en las RRSS en caso de que estos supongan una intromisión ilegítima en sus derechos fundamentales.

Interés legítimo e interés público

Se recogen expresamente determinados tratamientos de datos respecto de los cuales se presume que el responsable tiene interés legítimo o que se llevan a cabo con base en el interés público.

Respecto a los primeros, encontraríamos los sistemas de información crediticia, la modificación estructural de sociedades o su traspaso y el caso de los datos de contacto de empresarios individuales y profesionales liberales, siempre y cuando su tratamiento se circunscriba únicamente al ámbito profesional en tanto a su localización y contacto para prestación de servicios especializados.

Por su parte, en relación con el interés público, tenemos la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas.

La polémica sobre los partidos políticos

En sus disposiciones finales, la nueva LOPD contempla la modificación de la Ley del Régimen Electoral, permitiendo a los partidos políticos la recopilación y uso de datos recabados a través de páginas web y otras fuentes de acceso público, así como avalar el envío de propaganda electoral, incluso por vía electrónica, al confirmar que dicha propaganda no debe considerarse como comunicación comercial.

Desde un punto de vista técnico, destaca la consideración implícita de las páginas web como fuentes de acceso público, ya que hasta ahora Internet no era considerada como tal.

Sistema de sanciones

La norma concreta y gradúa las conductas infractoras de la normativa de protección de datos en las tradicionales categorías de (i) leve, (ii) grave y (iii) muy grave, manteniendo las cuantías ya asentadas en el RGPD, que oscilan entre un mínimo de 10.000.000€ o el 2% de facturación anual global y un máximo de 20.000.000€ o el 4% de facturación anual global.

 

Acceso a la segunda parte de este post aquí

Autores: Ruth Benito y Fernando Díaz

Visite nuestra página web: http://www.elzaburu.es/

¿Avance o retroceso en la especialización judicial?

Sede del CGPJ (Fuente: Wikipedia)

El Consejo General del Poder Judicial en Acuerdo de 18 de octubre, hecho público hoy, ha resuelto ampliar la especialización judicial en propiedad industrial a nuevos Juzgados.

Se recordará que desde la entrada en vigor de la Ley 24/2015 de Patentes en abril de 2017 la competencia objetiva de los pleitos en materia de marcas, diseños y patentes había quedado en manos de ciertos Juzgados de lo Mercantil de Madrid, Barcelona y Valencia. Esta migración de la litigiosidad hacia tres únicos fueros había despertado el aplauso de los partidarios de la hiper especialización judicial pero también las reservas o los celos, por decirlo de este modo, de otros Juzgados que habían sido excluidos del reparto. La reacción de estos últimos no se ha hecho esperar.

El Acuerdo del CGPJ atribuye la competencia exclusiva para conocer de las acciones en propiedad industrial, además de los Juzgados de Madrid, Barcelona y Valencia que ya la tenían, a estos otros:

ANDALUCÍA Juzgado de lo Mercantil 1 Granada
GALICIA Juzgado de lo Mercantil 1 A Coruña
CANARIAS Juzgado de lo Mercantil 1 Las Palmas
PAÍS VASCO Juzgado de lo Mercantil 2 Bilbao
 

El nuevo marco de competencias entrará en vigor el 1 de enero de 2019 y no sería raro que esta vacatio produzca algún que otro movimiento en el foro.

Como curiosidad cabe añadir que el CGPJ ha informado desfavorablemente de la designación de Juzgados especializados en otras Comunidades Autónomas que lo habían solicitado. Queda en al aire la pregunta de si esta ampliación de la competencia objetiva refuerza o por el contrario diluye la especialización judicial en los pleitos en propiedad industrial. No por las diferentes bondades o limitaciones que pudieran presentar unos Juzgados u otros, sino por la conveniencia de concentrar los asuntos en el menor número posible de Juzgados a fin de favorecer la especialización.

Autor: Antonio Castán
Visite nuestra página web: http://www.elzaburu.es/

El Big Data farmacéutico como activo valioso: el caso de IMS Health

El Tribunal Supremo español ha desestimado el recurso de casación presentado por la filial española del grupo americano IMS HEALTH frente a la sentencia de la Audiencia Provincial de Madrid que le condenaba al pago de una indemnización de 5 millones de euros por apropiarse indebidamente y comercializar parte del contenido de una base de datos desarrollada por la empresa demandante.

INFONIS, SL y IMS HEALTH, SA, son empresas ambas que operan en el sector de la información y la tecnología dentro del ámbito médico. Fruto de una relación comercial, IMS tuvo acceso a una base de datos elaborada por INFONIS durante los años 2004 a 2006 – ZBSales – que contenía valiosa información sobre la distribución territorial de los centros médicos en España. Según el relato de los hechos, tras poner fin a la relación comercial y contractual en el año 2007, IMS habría continuado haciendo uso de la base de datos elaborada por INFONIS para elaborar un producto propio -Sanibricks -, que comercializaba a terceros.

En el año 2010, INFONIS interpuso demanda de juicio ordinario frente a IMS con base en la infracción del derecho sui generis sobre su base de datos y por actos de competencia desleal. El Juzgado de Lo Mercantil nº 2 de Madrid acogió las pretensiones de la demandante condendando a IMS a retirar del Mercado el producto Sanibricks y a indemnizar a INFONIS en más de 5 millones de euros, correspondientes al 65% de los ingresos obtenidos a través de la venta del producto infractor. IMS recurrió en apelación pero la Audiencia Provincial de Madrid desestimó de nuevo las pretensiones de IMS a excepción de lo concerniente a la obligación que imponía la sentencia de instancia de desinstalar el producto aun cuando hubiese sido adquirido por terceros de buena fe.

IMS recurre entonces en casación ante el Tribunal Supremo, que inadmite el recurso por falta de justificación e inexistencia de interés casacional.

No obstante, lo interesante de este caso son los pronunciamientos de la Audiencia Provincial de Madrid, confirmados posteriormente por el Alto Tribunal que dirimen cuestiones tales como el concepto de “inversión sustancial” y de “extracción o volcado de datos”, de gran relevancia ambos en el ámbito del derecho “sui generis” sobre las bases de datos.

En lo que se refiere al concepto de “inversión sustancial”, el Tribunal considera que ésta debe darse no tanto en la confección de la base de datos propiamente dicha sino en la obtención de los datos que conforman su contenido. A este respecto, considera que una inversión de 2.700.000 euros en concepto de remuneración a las personas que trabajaron en la búsqueda y recopilación de los datos, tal y como acreditó la demandada en primera instancia, ha de calificarse como sustancial.

Respecto de los criterios para determinar la existencia o no de infracción, más allá de la elevada similitud entre ambas bases de datos (cifrada por la demandante en un 86%), el Tribunal entiende que un factor definitivo es la presencia en la base de datos de la demandada, de multitud de errores ortográficos, erratas y gazapos presentes también en la base de datos originaria.

N.B. Versión española del artículo publicado en el Kluwer Copyright Blog

Autora: Patricia Mariscal

Visite nuestra página web: http://www.elzaburu.es/

S.O.S. Incidente de seguridad

Desde el 25 de mayo, todos los días recibimos noticias y notificaciones de brechas de seguridad en empresas de primer nivel que dejan millones de datos de clientes al descubierto.

La realidad, por difícil que parezca, es que el número de brechas de seguridad no ha aumentado desde la fecha de aplicación del “Reglamento de 27 de abril de 2016, de protección de datos” (RGPD), sino que hasta ahora nuestra normativa no contemplaba la obligación de notificar una violación de seguridad salvo en el caso de operadores de servicios de comunicaciones electrónicas disponibles al público, mientras que el RGPD extiende esta obligación a cualquier empresa que trate datos.

Un incidente de seguridad es la destrucción, pérdida o alteración de datos personales por causas internas o externas, pudiendo ser accidentales o intencionadas. Frente a la posibilidad de que ocurra, lo más importante a tener en cuenta en cualquier empresa debería ser (i) tener definido un procedimiento de gestión de brechas de seguridad; (ii) disponer de herramientas para valorar el riesgo del incidente; y (iii) saber si deberá notificar a la autoridad de control y a los interesados en función de las características del incidente y el riesgo derivado del mismo para los interesados.

La notificación a la autoridad de control exigida por el RGPD se requiere cuando el incidente pueda provocar un riesgo para los interesados y debe hacerse en el plazo de 72 desde que se tiene certeza (constancia real) de que se ha producido. También se exige notificar a los afectados cuando el riesgo que se derive para ellos sea un riesgo alto y siempre que no se comprometa el resultado de una investigación en curso, en cuyo caso la comunicación se puede realizar más adelante, todo esto bajo la supervisión de la autoridad de control.

Adicionalmente, es crucial la respuesta temprana para tratar de mitigar las consecuencias del incidente mediante medidas de seguridad que frenen el acceso a los datos, su modificación o su lectura.

La única fórmula efectiva para evitar este mare magnum de obligaciones legales es la prevención; deben establecerse todas las medidas posibles para evitar las brechas de seguridad, incorporar impedimentos para la lectura y modificación no autorizadas de los datos y, por último, tener previsto un procedimiento de respuesta de incidentes para estos casos.

El Comité Europeo de Protección de Datos, antiguo Grupo de trabajo del Artículo 29 elaboró una “Guía sobre notificación de las violaciones de seguridad” que resuelve muchas de las cuestiones que generar dudas en este asunto. Asimismo, la AEPD publicó el 19 de junio de 2018 una “Guía para la gestión y notificación de brechas de seguridad” con directrices para detectar, gestionar y evaluar la notificación de brechas de seguridad.

Autores: Martín Bello y  Cristina Espín

Visite nuestra web: http://www.elzaburu.es/

Un tribunal ordena a varias compañías de telecomunicaciones que bloqueen el acceso a internet de ciertas páginas web de enlaces

Una reciente sentencia del Juzgado de lo Mercantil nº 6 de Barcelona enjuicia una acción dirigida por una serie de productoras audiovisuales integrantes de la Motion Picture Association of America (MPAA) contra varias empresas de telecomunicaciones proveedoras de acceso a internet con el objeto de que éstas adopten medidas dirigidas a cortar el acceso a internet a determinados sujetos que están llevando a cabo actos de puesta a disposición del público de contenidos audiovisuales protegidos sin la preceptiva autorización de sus titulares.

A través de las páginas web HDFULL.TV y REPELIS.TV es posible acceder en  streaming a una multitud de obras cinametográficas y series de televisión que han sido subidos a internet sin la autorización de sus titulares. Ambas páginas integran contenidos de vídeo procedentes de empresas extrenas, y utilizan el servicio de una empresa llamada Cloudfare para ocultar la ubicación concreta de las webs que utilizan. Ambas páginas ordenan, clasifican y publicitan el contenido que ofrecen a través de una interfaz que no sólo permite a los usuarios buscar el contenido que desean visualizar, sino que también se les aconseja y se les sugieren determinados contenidos. Ambas páginas se nutren de publicidad de terceros.

El Juez considera que la actividad de puesta a disposición del público a través de enlaces que tiene lugar en las páginas web HDFULL y REPELIS vulnera los derechos de propiedad intellectual de las productoras demandantes. Considera que las páginas constituyen bases de datos de enlaces a contenidos ilícitos que además no se limitan a “almacenar o enlistar” enlaces, sino que inducen a los usuarios a la visualización de los contenidos al clasificarlos y presentarlos de modo atractivo, sugiriendo la concreta visualización de algunos de ellos. Son circunstancias relevantes y significativas de la ilicitud de la conducta el hecho de que esta actividad se lleve a cabo con ánimo de lucro (las páginas en cuestión se nutren de publicidad), así como la ocultación voluntaria de la titularidad de los nombres de dominio.

Lo interesante de esta sentencia es que la acción se dirige no contra el titular de la plataforma o de la web de enlaces, sino contra las compañías de comunicación proveedoras del acceso a internet. El ejercicio de este tipo de acciones se ha hecho posible gracias a la reforma operada por la Ley 21/2014, de 4 de noviembre, que entre otras cuestiones tiene por objeto “el fortalecimiento de los instrumentos de reacción frente a las vulneraciones de derechos”.

En lo que se refiere a la posibilidad de dirigir la acción contra los proveedores de acceso (legitimación pasiva), el Juez considera (i) que las demandadas constituyen intermediarios de la sociedad de la información tal y como se define el término en la Ley 34/2002, (ii) que los artículos 138 y 139 .1 h) TRLPI prevén de forma expresa la legitimación pasiva de estos sujetos; (iii) que tanto la jurisprudencia del TJUE (asunto Scarlet Extended) como algunas resoluciones recientes de los tribunales españoles reconocen la legitimación pasiva de los proveedores de acceso a internet en acciones de cesación por infracción de derechos de propiedad intelectual, y (iv) que tales medidas pueden solicitarse no sólo frente al proveedor de acceso al titular de las páginas donde se alojan los contenidos infractores, sino también frente a los “intermediarios que transmiten” por red la infracción.

Por último, respecto de la proporcionalidad o no de las medidas, lo que sostiene el Juez es que cualquier otra medida menos contundente (por ejemplo, el bloqueo parcial) no resultaría eficaz ni adecuada para conseguir el objetivo que se persigue, que es imposibilitar el acceso a las webs infractoras, cuyos titulares no han podido ser identificados ni localizados.

 

N.B. Versión española del artículo publicado en el Kluwer Copyright Blog

Autora: Patricia Mariscal

Visite nuestra página web: http://www.elzaburu.es/  

Buscar

Formulario de suscripcion

Sí, soy humano*

Se ha enviado un mensaje de confirmación; por favor, haga clic en el enlace de confirmación para verificar su suscripción.
El email ya esta en uso
Tienes que escribir un email
Tienes que cliquear el captcha
El captcha no es correcto

Pincha para oir nuestros programas de radio

Archivo