Después de meses o incluso años de impulsar un proyecto empresarial, te has dado cuenta de que un tercero ha registrado vuestra marca. O, la que es peor, el tercero te ha ofrecido venderte el registro de (tu) marca, bajo la implícita amenaza de que, en caso de no llegar a un acuerdo, te impedirá seguir usándola. Idealmente tirarías atrás en el tiempo y registrarías tu marca, pero desgraciadamente, eso ya no es una opción.

Entonces, ¿Podemos hacer algo para no tener que renunciar a nuestra marca? Sigue leyendo para ver qué soluciones existen.

En principio, los derechos marcarios, a diferencia de los derechos de autor, no se obtienen por el uso de la marca, sino por su registro. Por lo tanto, si este tercero ha registrado tu marca, se genera la presunción de que es el legítimo titular de esta. Sin embargo, existen formas de desvirtuar esta presunción. Veamos:

1. Marca renombrada.

En caso de que tu marca, a pesar de no estar registrada, sea “notoriamente conocida”, el registro de la marca del tercero se podrá anular, por aplicación de los artículos 6.2.d) y 52 de la Ley de Marcas.

Aunque la ley no la defina explícitamente, a los efectos de este artículo podemos decir que una marca renombrada es aquella que es conocida por una parte significativa del público interesado en los productos o servicios a los que va destinada. Sin embargo, el criterio para considerar una marca como renombrada es muy exigente, por lo que es muy improbable que tu marca sea realmente una marca renombrada.

2. Registro de mala fe.

Si el tercero ha solicitado el registro de la marca de mala fe, entonces su registro puede declararse nulo, tal y como determina el artículo 51 de la Ley de Marcas. Aunque tampoco hay una lista cerrada de motivos por los que se considera que un registro se ha hecho de mala fe, se puede apreciar mala fe cuando, entre otros motivos, el tercero sabía que estábamos usando esa marca en el mercado, o si el registro se ha hecho no para utilizar esa marca, sino para impedir que le siguiéramos dando uso.

3. Acreditando un uso previo

Asimismo, también se puede anular un registro marcario si podemos demostrar que hemos utilizado el signo que se pretende registrar con anterioridad a la fecha de la solicitud del tercero. Es decir, debemos demostrar que hemos utilizado este signo para identificarnos en el tráfico económico, tal y como resulta de la lectura de los artículos 9.1.d) y 52 de la Ley de Marcas.

Sin embargo, estas dos últimas opciones nos supondrán un coste y, además, su éxito será incierto, pues dependerá en gran medida de la facilidad que tengamos para demostrar que los hechos que fundamentan la acción de nulidad realmente son ciertos.

AYUDAS A LOS REGISTROS DE MARCA

Para evitar verte envuelto en una situación como esta, lo mejor que puedes hacer es registrar tu marca cuanto antes. Además, la Unión Europea acaba de lanzar un programa de ayudas para Pymes con el que se les reembolsará parcialmente las tasas de solicitud de marcas, con un importe máximo de 1.000€, lo que reduce sustancialmente el coste de la solicitud. Los fondos son limitados y están disponibles por orden de llegada de las solicitudes.

Si tu reputación y tu marca tienen un valor para ti, protégelas hoy para no tener que defenderlas mañana. Desde Auris Advocats podemos ayudarte tanto con el procedimiento de registro de la marca como con la solicitud de la ayuda.

La Sentencia de la Audiencia Nacional recurrida establecía una clarísima obligación de resultado, indicando literalmente lo siguiente:

“Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen, o acaben en manos de terceros [… ] y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas”

Esta parte argumentó en su recurso que esta obligación de resultado entra en contradicción con la legislación y jurisprudencia, que vienen a establecer una obligación de medios, considerando que el sujeto obligado a cumplir con la normativa de protección de datos debe diseñar e implantar una serie de medidas de seguridad para no ser sancionado, y si las cumple, no lo será, al margen de que por un hecho fortuito o un acontecimiento de imposible previsión se cree una brecha de seguridad que el sujeto no hubiera podido evitar siquiera aplicando las más estrictas medidas.

El abogado del estado, contestando al recurso en nombre de la AGPD, también se decantó por una obligación de resultado, de modo que, a su juicio, no basta con hacer los mejores esfuerzos, sino que cuando se produce una brecha, como aquí ha ocurrió, se produce un resultado lesivo para los afectados siempre y en todo caso.

El Tribunal Supremo dicta Sentencia con fecha 15 de febrero de 2022 y se pronuncia acogiendo íntegramente los argumentos aducidos por esta parte, posicionándose sin dudar por que se trata de una obligación de medios, alegando literalmente lo siguiente:

La obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos personales no puede considerarse una obligación de resultado, que implique que, producida una filtración de datos personales a un tercero, exista responsabilidad con independencia de las medidas adoptadas y de la actividad desplegada por el responsable del fichero o del tratamiento. (…)

La diferencia radica en la responsabilidad en uno y otro caso, pues mientras que en la obligación de resultado se responde ante un resultado lesivo por el fallo del sistema de seguridad, cualquiera que sea su causa y la diligencia utilizada, en la obligación de medios basta con establecer medidas técnicamente adecuadas e implantarlas y utilizarlas con una diligencia razonable.

En estas últimas, la suficiencia de las medidas de seguridad que el responsable ha de establecer ha de ponerse en relación con el estado de la tecnología en cada momento y el nivel de protección requerido en relación con los datos personales tratados, pero no se garantiza un resultado.

A pesar de que el TS acoge íntegramente en su Sentencia nuestro razonamiento y se posiciona claramente por el deber de medios, es importante prestar atención a como resuelve el caso concreto, puesto que, a pesar de entender que esta parte tiene razón en cuanto al fondo, mantiene íntegramente la sanción impuesta por la AEPD.  Este pronunciamiento es importante porque se pronuncia sobre tres cuestiones muy importantes y que deberán ser tenidas en cuenta a la hora de adoptar los medios necesarios:

1.- El Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. También es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización.

2.- Nuestro representado es sancionado como “Encargado de Tratamiento”, que utiliza un sistema de toma de datos proporcionado, impuesto, controlado y diseñado por el Responsable del Tratamiento (Financiera). LA STS estima que esto no es una circunstancia eximente ni siquiera atenuante para el Encargado, puesto que éste también deberá adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, ello con independencia de que el sistema le venga impuesto íntegramente por el Responsable. Dice que el Encargado de Tratamiento deberá evaluar también las herramientas proporcionadas o impuestas por el Responsable, deberá detectar si el sistema carece de las medidas adecuadas y, en caso de que así sea, deberá abstenerse de utilizarlo o buscar o promover alternativas.

3.- Se pronuncia sobre la necesidad de implantar el sistema de doble opt-in o sistema de verificación del correo electrónico, entendiendo que es un sistema de doble verificación que asegura que los usuarios que han aceptado la política de privacidad antes de recibir cualquier tipo de comunicación, evitando que la información vaya a una dirección equivocada. En definitiva, se trata de un medio para comprobar que la información recogida es correcta y veraz que el TS considera necesaria, ya que en caso de no estar se estaría incumpliendo la obligación de medios en los términos establecidos por la legislación.

A pesar de mantener la sanción, el TS elimina las costas de instancia y no condena a ninguna de las partes, por entender que, aunque se confirma finalmente la sanción impuesta y el resultado del proceso en instancia, la cuestión controvertida planteaba serias dudas de derecho sobre la naturaleza de las obligaciones de seguridad en materia de protección de datos, de hecho se acoge la argumentación de la parte referida a que nos encontramos ante una obligación de medios y no de resultado, aunque ello no se traduzca en la anulación de la sanción impuesta.

 Muchos medios se han hecho eco de esta Sentencia, como por ejemplo Confilegal. 

 Xavier Saula
Abogado y Socio Cofundador de Auris Advocats

 Laura Bachs
Abogada Dept. LegalTech

El gobierno puede establecer medidas excepcionales de prevención que implique el tratamiento de datos de los ciudadanos (por ejemplo, medidas de vigilancia que normalmente sería impensables, o medidas de control de salud). Pero ¿sólo el gobierno las debe aplicar?

Muchos empresarios nos han preguntado las medidas que podían imponer en sus empresas para combatir esta crisis sanitaria, y que incidencia tendría en el cumplimiento de la normativa Europea y Nacional relacionada con la protección de datos.

Protección de datos en el teletrabajo

El teletrabajo ha irrumpido en nuestra vida (y por sorpresa) de forma generalizada. Pocas son las empresas que no se han visto obligadas a implementar esta medida con toda o una parte de su plantilla. Muchas empresas han tenido que implantar sistemas de teletrabajo exprés, debido a la irrupción del coronavirus en nuestra sociedad en pocos días. Y muchos nos han preguntado: ¿Qué tengo que hacer para no incumplir la normativa de protección de datos, cuando tengo a parte de mi plantilla tratando la información desde su casa? Ahí van algunas claves: 

1.- La primera norma a tener en cuenta es que el sistema que se implante debe ser mediante conexión remota a los servidores donde se almacene la información de la empresa. Si la empresa trabaja con servidores propios deberá establecer medidas para que el empleado, sea desde un portátil de empresa o desde su propio dispositivo, pueda conectarse remotamente cumpliéndose todas las garantías de seguridad (control de acceso, contraseñas, etc.). Debe descartarse la opción de “copiar” la base de datos y llevarse a casa.

2.- En segundo lugar, es imprescindible que se cuente con una correcta formación al empleado en materia de protección de datos, y que aplique los mismos conocimientos trabajando desde casa que trabajando desde la oficina. Es posible que, ante la implantación exprés de los medios de teletrabajo, deba reforzarse dicha información, como por ejemplo enviando un comunicado a los empleados insistiendo en qué medidas debe tener en cuenta trabajando desde casa. Lo importante es que conozca muy bien los protocolos a seguir cuando trabaje con un portátil o un ordenador personal y no es su puesto habitual. Deberá tener unas medidas de seguridad mínimas implementadas (tener activados programas de protección contra ataques externos, contraseña de acceso al sistema, evitar la descarga de ficheros de el disco duro local, conectarse a redes privadas y no públicas, notificar cualquier brecha de seguridad, etc.).

3.- Es posible que las medidas impliquen también el tratamiento de datos del empleado que no se tratan normalmente en circunstancias normales. Deberemos estar seguros de que el trabajador está informado. Por ejemplo, en caso de que trabaje con un portátil de empresa o se le asigne un teléfono móvil, deberá informarse al empleado si ese dispositivo puede estar geolocalizado. También deberemos tener en cuenta los derechos de imagen del empleado si utilizamos medidas como las reuniones por videoconferencia, especialmente si grabamos estas reuniones o captamos imágenes durante las mismas. Lo importante es que el empleado esté correctamente informado de todo tratamiento que se vaya a hacer de esta información.

4.- Por último, es imprescindible que se respeten los derechos digitales de los trabajadores, establecidos en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), especialmente en lo que se refiere a la desconexión digital fuera del horario laboral y el control de horas de trabajo que se establezca.
Es posible que tengas dudas de si lo has hecho todo bien. En ese caso, plantéate realizar un comunicado por correo donde ofrecer toda la información necesaria al empleado, tanto para garantizar su derecho a la intimidad como para garantizar que los datos que trata el empleado desde casa están bajo un nivel adecuado de protección.

Trabajo presencial: controles sanitarios a los empleados

Otra de las dudas recurrentes ha sido la de aquellas empresas que, por su actividad, siguen con instalaciones operativas y sus empleados (todos o una parte) siguen asistiendo normalmente a su puesto de trabajo.
En estos casos, muchas empresas se plantean la legalidad de establecer mecanismos para controlar el estado de salud de sus empleados como medida de prevención de contagio del coronavirus. Por ejemplo, ¿es posible hacer un cuestionario de salud? ¿Obligar al empleado a tomarse la temperatura? ¿Obligar al empleado a informar de si ha tenido contactos de riesgo recientemente?

El art. 9.1 del RGPD establece la prohibición de tratar datos personales de forma general relativos a la salud. Sin embargo, La Agencia Española de Protección de Datos (AEPD) ha publicado un informe en el que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19, que aclara el porqué se pueden establecer este tipo de medidas y cómo.

El Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general.

El informe recoge que el RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.
El informe precisa las excepciones recogidas en el art. 9.2. RGPD:

El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.

Por otro lado, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

Del mismo modo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.

Por último, el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad, por lo que le son de aplicación sus principios, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos. Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.

En caso de duda, estamos a vuestra disposición, como siempre, en los canales habituales. En este caso, teletrabajando pero operativos al 100%. ¡Consúltanos!

Xavi Saula

Abogado – Socio de Auris Advocats

DPO-Especializado en Protección de Datos y adaptación al nuevo RGPD

]]> https://auris.bcntic.com/ca/aepd-sancion-a-rtve-de-60-000e-por-perder-6-pendrives/ Thu, 09 Jan 2020 17:00:51 +0000 https://beta.aurisadvocats.com/2020/01/09/aepd-sancion-a-rtve-de-60-000e-por-perder-6-pendrives/ Con fecha de 25 de enero de 2019 se recibe una declaración de brecha de seguridad de CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA SA y COMISIONES OBRERAS.

Como consecuencia de ello la Agencia Española de Protección de Datos abre el expediente e inicia de oficio actuaciones previas de inspección que permitan el esclarecimiento de tales hechos.

De tales actuaciones se desprende que esta brecha de seguridad se ha producido por la pérdida de 6 pendrives con datos personales en la sede de COMISIONES OBRERAS dentro del edificio de CORPORACIÓN DE RADIO Y TELEVISIÓN ESPAÑOLA SA con datos de ambas entidades.

¿Por qué los pérdida de  pendrives provocó una sanción a RTVE?

Según explica la resolución del procedimiento sancionador de la AEPD, se considera probado que en esos pendrive había datos de unas once mil personas:

*Datos identificativos: nombre y apellidos, DNI, matrícula de RTVE, teléfono, dirección (postal y electrónica).

*Circunstancias personales: fecha de nacimiento, sexo, estado civil.

*Detalles del empleo: puesto de trabajo, categoría, nivel salarial, localidad de trabajo, fechas de jubilación.

*Categorías especiales de datos: Afiliación a CCOO, salud (resoluciones médicas, resoluciones de la Seguridad Social sobre incapacidades), infracciones penales o condenas (completas con datos personales y posiblemente alguna notificación de embargo).

La desaparición de estos dispositivos se produjo en torno al 12 de noviembre de 2018, cuando se encontraban en un monedero en la Oficina de atención al Participe del Plan de Pensiones en Prado del Rey. La brecha de seguridad se declaró formalmente el 25 de enero de 2019, y el 14 de marzo de 2019 un reclamante perteneciente a la Unión Sindical Obrera de RTVE interpuso reclamación contra la Corporación.

Por su parte RTVE ha solicitado el archivo del procedimiento sancionador alegando que la brecha de seguridad se produjo en la oficina de Atención al Partícipe del Plan de pensiones, y no en la sede de Comisiones Obreras, y que los pendrives son propiedad de un delegado de sección sindical de CCOO, que formaba parte, como miembro, de la Comisión de Control del Plan de pensiones y que podía acceder a dicha oficina. Dicen por ello que la brecha de seguridad no es consecuencia de una actitud negligente por parte de RTVE.

Resolución de la sanción a RTVE

Sin embargo y a pesar de la argumentación de RTVE, la Directora de la Agencia Española de Protección de Datos ha resuelto imponer a RTVE una multa de sesenta mil euros por una infracción del artículo 32 del Reglamento General de Protección de Datos, tipificada en el artículo 83.4.

Xavi Saula

Abogado – Socio de Auris Advocats

DPO-Especializado en Protección de Datos y adaptación al nuevo RGPD

Artículo 11 (ahora 15) (usos digitales de las publicaciones de prensa): con estas medidas se plantea la implantación de una especie de tasa Google o Canon. Los editores de publicaciones de prensa podrían cobrar (o no) a quienes enlacen sus contenidos o les usen de fuente. Enlazar o citar se convertiría en un verdadero problema tanto en la práctica como en su gestión y sus consecuencias legales si dicha norma no se desarrolla correctamente.

Artículo 13 (ahora 17) (vigilancia de contenidos protegidos por parte de proveedores): en este caso la normativa obligaría a las grandes plataformas de contenidos a monitorizar lo que los usuarios suben para comprobar si se violan o no los derechos de autor. Cada servicio tendría que crear un sistema tipo Content ID de YouTube que permitiría detectar violaciones de los derechos de autor. No solo de música, sino de cualquier contenido. Sitios como la Wikipedia -aunque la UE planteo este caso como una excepción- o GitHub que abogan por la libre compartición de información y conocimiento, por ejemplo, estarían entre los afectados.

Esta nueva regulación plantea varias cuestiones:

Artículo 13 vs Internet ¿Qué pasa con los memes? 

La norma excepciona la sátira o ironía a la hora de utilizar contenidos protegidos, pero la pregunta que se hacen los internautas es que, si las plataformas deben establecer mecanismos de control (que deberán ser automáticos en las plataformas con mucho contenido por la imposibilidad de usar medios humanos), ¿Se distinguirá correctamente un meme de una publicación que no lo sea? Es muy probable que muchas veces no sea así, y por lo tanto los memes pueden verse limitados porque no pasan los filtros correspondientes que garanticen los derechos de Autor.
Críticos atacan esta normativa alegando que Internet es lo que es gracias a que los usuarios no sólo consultan, sino que también aportan. Esta norma podría limitar la aportación libre individual, y por lo tanto convertirse en una herramienta de una sola dirección, como es la televisión.

Excepciones como Wikipedia

Hay casos en los que la UE ha establecido o intentado establecer una excepción, como es el caso de Wikipedia. Se aplicaría una permisividad para ofrecer “fragmentos cortos”, aunque se dice de forma ambigua y tampoco esta clara su aplicabilidad, porque desde la compañía ya se ha manifestado su desconcierto y incomodidad con la nueva norma.

En definitiva, lo que implicará la nueva norma es un misterio. La polémica está servida. Las nuevas normas buscan proteger los derechos de los creativos en el entorno digital y afectan a operadores como YouTube, Facebook y Google News, pero también a los internautas y a la cultura de Internet, a su usabilidad y nuestras costumbres en la red.

La pregunta es: ¿afectará la trasposición de la Directiva a la libertad de expresión como así defienden algunos partidos? En cualquier caso, nos queda mucho por ver.

¿Te interesa saber más acerca de tus derechos en internet? Puedes consultar las claves de la nueva ley de protección de datos.

Xavi Saula

Abogado – Socio de Auris Advocats

DPO-Especializado en Protección de Datos y adaptación al nuevo RGPD

¿Qué regula esta ley?

La nueva norma regula íntegramente los secretos empresariales que hasta ahora habían sido objeto de protección de forma dispersa en nuestro ordenamiento en diversos cuerpos normativos y fundamentalmente en el Código Penal, la Ley de Competencia Desleal o la Ley de Patentes.

La ley se estructura en veinticinco artículos distribuidos en cinco capítulos, una disposición transitoria y seis disposiciones finales.

En su Capítulo I, la nueva ley mantiene la terminología tradicional de nuestro ordenamiento jurídico, frente a la utilizada en la directiva europea, para definir el objeto de protección (“secreto empresarial” v. “secreto comercial”) y el beneficiario de la protección jurídica de la persona que posee el secreto empresarial (“titular” v. “poseedor de un secreto comercial”).

¿Qué es un secreto empresarial?

En este sentido, su Artículo 1 reza del tenor literal siguiente:

“A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.”

¿Qué otros aspectos regula la ley?

En su Capítulo II, esta ley define: a) las circunstancias en las que la obtención, utilización y revelación de secretos empresariales son consideradas lícitas y por tanto, ante las cuales no procederán las acciones y medidas previstas en esta ley; y b) las conductas en las que la obtención, utilización y revelación de secretos empresariales son consideradas ilícitas, y, por tanto constituyen una violación de secreto empresarial.

El Capítulo III contiene previsiones que, en defecto de acuerdo entre las partes, ordenan la transmisibilidad y la cotitularidad del secreto empresarial y su cesión mediante licencia contractual.

El Capítulo IV estipula las acciones de defensa de los secretos empresariales contra los infractores, haciendo mención de las acciones civiles concretas que el titular del secreto empresarial puede entablar para hacer frente a su violación, con especial atención a la regulación de la indemnización de daños y perjuicios (contenido económico, cálculo y liquidación). Este capítulo concluye estableciendo un plazo de prescripción de tres años para dichas acciones de defensa.

Ger Gacio
Abogada civil y mercantil de Auris Advocats

Especialidades:
Propiedad Intelectual

A raíz del Vídeo mediante el que se ha reconocido a la ya ex presidenta de la Comunidad de Madrid Cristina Cifuentes, muchos se preguntan como puede ser que se filtren este tipo de grabaciones a lo “cámara oculta” después de siete años y que el afectado no pueda hacer nada al respecto.

Grabar en empresas, espacios públicos o establecimientos abiertos al público es legal, pero en cumplimiento de la normativa vigente en materia de Protección de Datos, deben cumplirse unos requisitos bastante estrictos para ello.

¿Dónde puedo instalar cámaras de videovigilancia?

Aunque es legal poner cámaras de videovigilancia, no todo vale:

1. En primer lugar, las cámaras de videovigilancia deben respetar, por encima de todo, la intimidad de las personas. No se podrán captar imágenes a través de cámaras que se encuentren enfocadas directamente a vías públicas (salvo que sea estrictamente necesario), o en sitios privativos como baños o vestuarios. Tampoco se permite la grabación de conversaciones entre personas.
2. En segundo lugar, deberá de cumplirse el principio de proporcionalidad en la medida, prestando especial atención en comercios, restaurantes y similares. Es decir, la colocación de cámaras deberá estar justificada (por ejemplo, por seguridad) y no podrán emplearse con fines que no justifiquen su utilización.
3. Por último, se tienen que ceñir al principio de calidad de los datos, es decir, las imágenes y la información debe ser clara y concisa.

Informar de la existencia de cámaras de videovigilancia: ¿Es legal la cámara oculta?

Informar de la existencia de cámaras de videovigilancia en las instalaciones es obligatorio y realmente importante, ya que permite el ejercicio posterior de otros derechos de los posibles afectados (derechos de acceso, cancelación, etc.).

Lo de las cámaras ocultas que no estén a vista de los afectados, no es legal.

Así, los establecimientos que cuenten con sistemas de seguridad de este tipo deben colocar al menos un cartel informativo en un lugar suficientemente visible, por ejemplo, en el acceso al establecimiento.

Cifuentes y la protección de datos personales

¿Cuánto tiempo se pueden conservar las imágenes? ¿es posible tener imágenes de 2011?

La ley especifica que se pueden guardar las imágenes con un periodo máximo de 30 días. Pasado este periodo, deben ser destruidas.

Solo existe una excepción y es en caso de incidencia o robo, que deberá ser guardada hasta la celebración del juicio en cuestión y que haya podido ser utilizada como prueba.

Además, existen otras obligaciones que derivan de la legislación vigente en materia de protección de datos:

1. Inscribir el fichero correspondiente en la Agencia Española de Protección de Datos (AEPD). Aunque esta obligación deriva de la normativa que va a ser modificada.
2. Elaborar de manera obligatoria el Documento de Seguridad referente a la instalación de videovigilancia.
3. Tomar medidas de seguridad respecto a la recogida de las imágenes y recuperación de las grabaciones. Por ejemplo, una contraseña.
4. Dejar a disposición judicial imágenes o grabaciones que contengan incidencias o delitos.

¿Es legal difundir públicamente estas imágenes?

No, salvo casos muy concretos de interés público, como es el caso del video donde se ve a la Sra. Cifuentes.

¿Modifica algo el nuevo RGPD?

SÍ, refuerza las garantías de los afectados.

Por ejemplo, se introduce la obligación del responsable de tratamiento de reforzar el contrato de prestación de servicios con el proveedor de las cámaras o del circuito de seguridad.

Por otro lado, en el caso de una observación sistemática a gran escala de una zona de acceso público, la norma establece como obligatoria una evaluación de impacto, que deberá estar documentada.

Puedes consultar nuestras anteriores publicaciones sobre privacidad y aplicación del Nuevo Reglamento Europeo de Protección de Datos (RGPD y GPDR) AQUÍ

A continuación se puede ver la circular informativa:

2017 10 26 NUEVO REGLAMENTO EUROPEO LOPD

¿Posible incumplimiento de la LOPD?

Entre estos mensajes hubo uno realmente polémico, que fue el posible incumplimiento de la LOPD ( Ley Orgánica de Protección de Datos) por la utilización del censo electoral para un referéndum presuntamente ilegal por estar recurrido ante el Tribunal Constitucional.

Si bien en un primer momento se cuestionaba la eventual responsabilidad de la Generalitat de Catalunya por la utilización de dicho censo, los principales medios se hacían eco el día 29 de septiembre, dos días antes de la celebración del referéndum, de que la Agencia Española de Protección de Datos advertía a quienes tuvieran pensado participar en las mesas del referéndum soberanista del 1-O en Catalunya podían incurrir en una infracción sancionada con hasta 300.000 euros. Este órgano estatal cimentó su tesis en que la ley del referéndum fue suspendida cautelarmente por el Tribunal Constitucional “dejando previamente sin efecto las resoluciones y los acuerdos adoptados”.

Así pues, este uso (desde contabilizar quiénes han ejercido el sufragio y quiénes no a trasladar a una tercera parte esta lista individualizada) se estaría llevando a cabo a título particular, realizándose en nombre propio tratamientos de datos de más de 5,5 millones de personas (según datos de 2015) sin la legitimación necesaria.

El tratamiento y la cesión de datos sin consentimiento suponen una vulneración de los artículos 6 y 11 de la Ley de Protección de Datos (LOPD)”, explicó la Agencia Española.

En el caso de que se produjeran estas infracciones -recordó el organismo-, los miembros de las mesas podrían ser sancionados, con multas de 40.001 a 300.000 euros, según el artículo 45.2 de la LOPD”.

Como es lógico, esta noticia alarmó a multitud de personas que, como ciudadanos de Cataluña, habían sido llamados a participar en las mesas electorales. Se multiplicaron las consultas durante esas 48 horas previas al referéndum para saber si por el hecho de participar podían ser sancionados directamente con multas por incumplimiento de la LOPD.

Pocas horas después de que la AGPD emitiera este comunicado, la Autoritat Catalana de Protecció de Dades replicó a la AGPD: según su versión, la competencia está en manos de la administración catalana, por lo que “las eventuales responsabilidades” del tratamiento de los datos personales por los miembros de las mesas también se traspasaría a la administración electoral catalana, pero en ningún caso a los ciudadanos participantes en las mesas como responsables directos.

¿Se puede sancionar entonces a los miembros de las mesas electorales que participaron en el referéndum del 1-O por un incumplimiento de la LOPD?

En este caso, y atendiendo a la literalidad de la Ley, nuestro criterio coincide al 100% con el criterio de la Agencia Catalana y consideramos que las advertencias de la AEPD carecen de fundamento. Más allá de las sanciones que se puedan imponer a la administración electoral (la responsable última del tratamiento de datos), tema que podríamos abordar en otra publicación, creemos que no tiene cabida en la Ley de Protección de Datos una sanción directa a los ciudadanos participantes en las mesas.

Si atendemos al literal de la Ley, los responsables del tratamiento de datos son, en todo caso, los únicos susceptibles de ser sancionados directamente por incumplimiento de la LOPD. Según el literal de la misma, el “Responsable del fichero o tratamiento es la persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decide sobre la finalidad, contenido y uso del tratamiento.”. Sin duda, en el supuesto que nos ocupa, quien decide sobre la finalidad, el contenido y uso del tratamiento es la administración electoral, en ningún caso el ciudadano que participa en las mesas que sólo cumple con las instrucciones que le facilita la primera.

Por su parte, el Real Decreto 1720/2007, de desarrollo de la LOPD, distingue del “responsable del tratamiento” al “usuario”, y dice que el usuario es el sujeto o proceso autorizado para acceder a datos o recursos. El usuario, según la Ley, accede a la información bajo las instrucciones o directrices del responsable del tratamiento, y no puede ser sancionado directamente por la Administración.

Bajo este criterio, que permanece prácticamente invariable desde la primera redacción de la Ley de Protección de Datos de 1992 (LORTAD), la AEPD, en caso de acreditarse un incumplimiento de la LOPD en el uso del censo electoral,  debería sancionar al responsable del tratamiento (la administración electoral), que es la que decide sobre el tratamiento que se va a realizar, pero nunca al ciudadano participante en la mesa (que sería el usuario, y que es el que ejecuta las órdenes y actúa bajo las directrices e instrucciones de la administración electoral).

Otra cosa es que el participante en la mesa desoyera las instrucciones de la administración electoral e hiciera un mal uso de los datos, como por ejemplo, cediendo a un medio de comunicación la lista de participantes sin autorización de la administración electoral. En ese caso, este ciudadano sí podría ser responsable directo.

Xavi Saula

Procesal Civil y Mercantil
Concursal
Nuevas Tecnologías
Gestión de impagados y Morosidad

A continuación os presentamos las principales novedades que aporta la nueva ley de patentes respecto a la anterior normativa,

1.-Patentabilidad

• Se hace explícita la posibilidad de patentar sustancias o composiciones ya conocidas para su uso como medicamento o para nuevas aplicaciones terapéuticas.
• Los métodos de tratamiento quirúrgico, terapéutico y de diagnóstico seguirán excluidos de la protección por patente en los mismos supuestos que antes, mas sin necesidad de recurrir a la ficción de su falta de aplicación industrial.
• Se suprime el plazo de gracia para divulgaciones causadas por el solicitante o su causante que no impliquen explotación o un ofrecimiento comercial del invento.

2.-Modificación del procedimiento de concesión de patentes

• Se trata de una reforma de gran envergadura, que pretende reforzar la seguridad jurídica de las patentes concedidas y simplificar la tramitación de las solicitudes.
• Se implanta un procedimiento único que verificará de oficio la novedad y actividad inventiva de todas las solicitudes. Así pues, se vuelve al examen previo o sustantivo de novedad y actividad inventiva como único sistema de concesión de patentes.
• Se sustituye el anterior procedimiento por otro que integra la búsqueda con el examen técnico, y cuyas conclusiones se plasmarán en la opinión escrita.
• Asimismo, para acelerar el procedimiento se sustituyen las oposiciones previas por un sistema de oposición post-concesión (en un plazo de 6 meses). El sistema de oposición diferida obliga a modificar el régimen de recursos administrativos contra la concesión de la patente.

3.-Efectos de la patente y de la solicitud de la patente

• En la nueva Ley de patentes se separan como supuestos distintos la excepción de uso experimental y la llamada «cláusula Bolar», que tienen distinto origen y finalidad, como ha sido reconocido por la jurisprudencia del Tribunal Supremo.

4.-Acciones por violación del derecho de patente

• La Ley añade las indemnizaciones coercitivas para garantizar el cese de la actividad infractora

5.-Jurisdicción y normas procesales

• Se introducen los escritos preventivos como instrumento procesal para defenderse frente a la posibilidad de medidas cautelares “inaudita parte” por quien ha sido requerido o teme ser sujeto pasivo de las mismas, de manera que pueda comparecer ante el órgano jurisdiccional competente y justificar preventivamente su posición.

6.-Modelos de utilidad

• La figura del modelo de utilidad se modifica en aspectos sustanciales, como son la determinación del estado de la técnica relevante, el tipo de invenciones que pueden ser protegidas bajo esta modalidad y las condiciones para ejercitar las acciones en defensa del derecho derivado de este título de protección.
• Se equipara el estado de la técnica relevante con el exigido para las patentes, eliminando el concepto de novedad relativa.
• Ahora se podrán patentar como modelos de utilidad los productos químicos, sustancias o composiciones químicas, mientras que antes el modelo de utilidad estaba limitado exclusivamente a las invenciones menores relacionadas con objetos mecánicos.
• En caso de infracción, será obligatorio acompañar la demanda de un informe del estado de la técnica referido al objeto del título en el que se fundamente la acción.

 7.-Representación ante la Oficina Española de Patentes y Marcas

• Se integra en la Ley lo que ya se había actualizado por vía reglamentaria, sustituyendo el anterior régimen de autorización por una declaración responsable que habilita para iniciar el ejercicio de la actividad de representación profesional.

8.-Tasas y anualidades

• Se actualizan y se reordenan las normas sobre tasas y su régimen de reembolsos, recargos, mantenimiento y exenciones, estableciéndose una reducción de un 50 por ciento de las tasas abonadas por solicitud, realización del informe sobre el estado de la técnica y examen, así como de las tres primeras anualidades, para determinados emprendedores y pymes.

En consecuencia, con la nueva ley de patentes, la legislación española se aproxima con solidez a los estándares de las legislaciones de los países más avanzados en esta materia.

Ger Gacio

Propiedad Intelectual