1. Protección de datos
a. Noticias destacadas
La Comisión Europea ha publicado el borrador de la decisión de adecuación para las transferencias de datos UE-EEUU
El pasado 13 de diciembre, la Comisión Europea publicó la propuesta de decisión de adecuación en la protección de datos en EEUU. En caso de aprobarse, el texto articularía de nuevo una vía simplificada para realizar transferencias de datos UE-EEUU, tras la derogación por parte del Tribunal de Justicia de la Unión Europea (“TJUE”) del Privacy Shield en la sentencia conocida como Schrems II.
El proyecto de decisión se basa en una evaluación del marco de privacidad estadounidense, así como de las limitaciones y salvaguardas en el acceso de las autoridades públicas a los datos transferidos. La propuesta se publica tras la aprobación por parte del presidente estadounidense, Joe Biden, de la Orden Ejecutiva sobre garantías en las transferencias internacionales de datos UE-EEUU, la cual ya comentamos en nuestro Boletín de Noticias de octubre.
No obstante, todavía queda un largo camino por recorrer, ya que deben pronunciarse favorablemente tanto el Comité Europeo de Protección de Datos (en adelante, “CEPD”) como un comité compuesto por representantes de los Estados miembros de la UE. Además, conviene recordar que el Parlamento Europeo tiene la potestad de intervenir y controlar el procedimiento de aprobación de las decisiones de adecuación.
Puede encontrar la propuesta de decisión de adecuación aquí (disponible en inglés).
La Comisión Federal de Comercio de Estados Unidos sanciona a Epic Games con 520 millones de dólares por violar la privacidad de los menores
La Comisión Federal de Comercio de Estados Unidos (“Federal Trade Commission”) inició una investigación sobre determinados actos y prácticas de la entidad Epic Games, Inc. (“Epic Games”), creadora del popular videojuego Fortnite, por considerar que había violado la Ley de la Comisión Federal de Comercio (“Federal Trade Commission Act”), decidiendo finalmente sancionarla en dos acuerdos separados:
- Por un lado, ha sido condenada a pagar 275 millones de dólares por violar la Ley de Protección de la Privacidad Infantil online (“Children´s Online Privacy Protection Rule” o “COPPA”). Epic Games recopilaba datos personales de menores de 13 años, sin obtener el consentimiento de sus padres. Tampoco se proporcionó una descripción de los tipos específicos de datos recopilados de los menores, ni se eliminaron cuando los padres así lo solicitaron. Además, los datos personales de los menores se retenían más tiempo del razonablemente necesario para cumplir el propósito para el que se recopiló la información. La violación también se debe a que se habilitaron por defecto las comunicaciones de voz y chat de texto en tiempo real para los niños. Además, de la multa, Epic Games deberá adoptar una serie de medidas, como eliminar la información personal recopilada previamente de los usuarios sin su consentimiento.
- Por otro lado, deberá pagar 245 millones de dólares a los consumidores por facturación fraudulenta, ya que Epic Games utilizaba patrones oscuros (los denominados dark patterns) con el fin de engañar a los jugadores y que realizaran compras no deseadas sin autorización de los titulares de las cuentas.
Puede encontrar los acuerdos aquí y aquí (disponibles en inglés).
b. Resoluciones y sentencias de interés
El TJUE concluye que los motores de búsqueda deben retirar los enlaces a información cuando el solicitante pruebe que es manifiestamente inexacta
Los reclamantes, dos directivos de un grupo de sociedades, solicitaron a Google la retirada de ciertos resultados obtenidos al introducir sus nombres en el motor de búsqueda, por entenderlos difamatorios e inexactos. En concreto, eran tres artículos que cuestionaban y daban una visión crítica de la forma de inversión de las sociedades por ellos dirigidas, así como las fotos de ellos que se presentaban, en forma de imágenes de previsualización (thumbnails), en la lista de resultados de búsqueda. Sin embargo, el célebre motor de búsqueda denegó la solicitud, remitiéndose al contexto profesional de los artículos y fotografías y alegando el desconocimiento de la supuesta inexactitud de la información.
El TJUE concluye que el solicitante de la retirada de enlaces a causa de la inexactitud del contenido indexado debe acreditar dicha inexactitud manifiesta. Sin embargo, debe únicamente aportar las pruebas que, habida cuenta de las circunstancias del caso concreto, pueda razonablemente exigírsele.
En cuanto a las fotografías, el TJUE entiende que deben ponderarse de manera diferenciada los derechos, según se trate de artículos con fotos que, en su contexto original ilustren la información contenida en dichos artículos, o cuando se trate de fotos mostradas en forma de previsualizaciones en la lista de resultados del motor de búsqueda. En lo que respecta a las segundas, se debe atender al valor informativo de dichas fotografías con independencia del contexto de su publicación en la página web de la que procedan.
Puede encontrar la resolución completa aquí.
El TGUE inadmite el recurso de anulación interpuesto por WhatsApp Ireland contra la decisión vinculante 01/2021 del CEPD
En julio de 2021, el CEPD emitió una decisión vinculante en relación con un proyecto de decisión de la autoridad de protección de datos irlandesa (“DPC”) sobre si WhatsApp Ireland, LTD (“WhatsApp”) cumplía con los artículos 12, 13 y 14 del RGPD. A raíz de esa decisión, la DPC impuso a WhatsApp una sanción de 225 millones de euros.
Ante esto, WhatsApp solicitó la anulación de la decisión vinculante (1/2021) tanto frente al Tribunal General de la Unión Europea (“TGUE”) como frente a los tribunales irlandeses. Ahora, el TGUE ha resuelto la cuestión inadmitiendo el recurso. Argumenta el Alto Tribunal que WhatsApp no estaba directamente afectado por la decisión del CEPD, puesto que (i) la decisión no cambia su posición jurídica y constituye únicamente un acto preparatorio respecto de la decisión de la DPC; y (ii) que, a pesar de que la decisión del CEPD contenía un análisis definitivo de ciertos aspectos, dejaba cierto margen de discrecionalidad técnica a la autoridad irlandesa.
Puede encontrar la resolución del TGUE en este enlace y la Decisión vinculante del CEPD aquí.
La Audiencia Nacional confirma la obligación de Glovo de designar un Delegado de Protección de Datos y ratifica la multa de 25.000 euros impuesta por la Agencia Española de Protección de Datos
La Audiencia Nacional (“AN”) ha confirmado la multa de 25.000 euros impuesta a GlovoApp23, SL (“Glovo”) por la Agencia Española de Protección de Datos (en adelante, “AEPD”) por no haber designado a un Delegado de Protección de Datos cuando la designación era obligatoria.
La principal actividad de Glovo, como bien señala la sentencia de la AN, es la intermediación entre los clientes y los usuarios de su app, quienes aportan sus datos personales para solicitar u ofertar productos y servicios. Esa actividad exige, necesariamente, un tratamiento habitual y sistemático de los datos, dadas las técnicas que Glovo emplea para obtener los datos, hacer un seguimiento de los mismos e, incluso, predecir la ubicación de los interesados. Así, entiende la AN que Glovo realiza un tratamiento de datos a gran escala, dada la indudable popularidad de la app y la cantidad de usuarios y, por ende, de intereses en juego; e igualmente determina aplicables las agravantes de número de interesados y categorías de datos afectadas, puesto que se tratan datos como el nombre, los apellidos, el domicilio, … Esto obliga a Glovo a garantizar la protección de los datos de sus usuarios aplicando cuantas medidas de seguridad sean necesarias, lo que incluye la designación de un Delegado de Protección de Datos.
Puede encontrar la resolución completa aquí.
La AEPD anula en reposición la multa de 70.000 euros impuesta previamente a Orange
El pasado 9 de diciembre, la AEPD publicó una resolución por la que imponía una multa de 70.000 euros a Orange Espagne, SAU (“Orange”), considerando que había dado por formalizado un contrato con un particular sin verificar adecuadamente su identidad (y, por tanto, sin el conocimiento ni consentimiento de este). A ello se sumó la inclusión de los datos personales del afectado en un fichero de morosos, a raíz del impago de los servicios contratados fraudulentamente. La AEPD entendió vulnerado el artículo 6.1 del RGPD, en tanto que Orange había realizado un tratamiento de datos sin base de legitimación para ello, e impuso a la operadora de telefonía una sanción de 70.000 euros.
Sin embargo, pasados 3 días, la propia AEPD publicó la resolución del recurso de reposición interpuesto por Orange. En la misma, la Agencia señala que Orange ya había aportado la grabación de voz de verificación del consentimiento verbal otorgado en la contratación y una verificación de un tercero independiente. Así, la AEPD entiende que Orange ha obrado con la suficiente diligencia y deja sin efecto la multa impuesta.
Puede encontrar la resolución del procedimiento sancionador en este enlace y la resolución del recurso de reposición aquí.
La autoridad de protección de datos francesa multa con 300.000 euros al operador de telefonía fija FREE
La autoridad de protección de datos francesa (en adelante, la “CNIL”) ha sancionado con 300.000 euros al operador francés de telefonía fija FREE por incumplir diversas obligaciones:
- Falta de atención de las solicitudes de ejercicio de derechos de los interesados.
- Incumplimiento de la obligación de garantizar la seguridad de los datos personales en la generación y gestión de contraseñas.
- Falta de documentación de la brecha de seguridad ocurrida en el incidente de las cajas Freebox, en el que varios buzones de antiguos abonados se reasignaron a nuevos abonados sin que se hubieran borrado los datos que en ellos constaban.
Además de la sanción económica, la CNIL ordena la gestión de las solicitudes ejercicios de derechos de los interesados no atendidos en un plazo de tres meses, con una multa diaria en caso de retraso.
Puede encontrar la resolución aquí (únicamente disponible en francés).
La autoridad de protección de datos francesa impone multa de 60 millones de euros a Microsoft por usar cookies con fines publicitarios sin el consentimiento del usuario
Tras varias investigaciones, la CNIL ha descubierto que cuando un usuario visitaba el sitio web “bing.com”, se depositaban cookies publicitarias en su terminal sin su consentimiento. Además, la web no contaba con un botón que permitiera a los usuarios rechazar las cookies con la misma facilidad que aceptarlas, ya que se necesitaban dos clics para rechazar todas las cookies, y sólo uno para aceptarlas.
Por estos hechos, la CNIL ha impuesto multa de 60 millones de euros a Microsoft Ireland Operations Limited (“Microsoft”), y la justifica por el alcance del tratamiento debido al número de interesados afectados y por los beneficios que la empresa obtuvo de los ingresos publicitarios generados indirectamente a partir de los datos recogidos por las cookies. Además, obliga a la empresa a obtener el consentimiento de los usuarios del mencionado sitio web que residen en Francia en un plazo de tres meses, en caso contrario deberá pagar una multa de 60.000 euros por día de retraso.
Puede encontrar la resolución aquí (únicamente disponible en francés).
La autoridad de protección de datos italiana impone una multa de 2 millones de euros a Clubhouse, una red social de chats de audio
La autoridad de protección de datos italiana (el “Garante”) ha sancionado con 2 millones de euros a Clubhouse, una red social basada en el intercambio de chats de voz. Entre los múltiples incumplimientos que motivan la sanción, se encuentran la falta de transparencia, la posibilidad de que los usuarios almacenen y compartan audios sin el consentimiento de las personas registradas, la elaboración de perfiles sin base de legitimación para ello y la falta de definición de los plazos de conservación de las grabaciones.
Asimismo, el Garante ordena a la aplicación adoptar una serie de medidas con el fin de proteger a los usuarios. Por ejemplo, deberá informar a los que aún no sean usuarios del uso que la aplicación hará de sus datos, así como especificar la base legitimadora del tratamiento y fijar el plazo de conservación de los datos.
Puede encontrar la resolución aquí (únicamente disponible en italiano).
La autoridad de protección de datos italiana sanciona a la Región de Lazio por el ilícito control de los metadatos de correos electrónicos de los empleados
El procedimiento se inició con la denuncia de un sindicato sobre la vigilancia realizada por parte de la administración al personal que trabaja en las oficinas del abogado regional. El objeto de la vigilancia eran los metadatos de los correos electrónicos, relativos a las horas, los destinatarios, el asunto de las comunicaciones y el peso de los archivos adjuntos.
Por estos hechos, el Garante concluyó que la recopilación generalizada y el almacenamiento extensivo de metadatos de correo electrónico no son instrumentales para el "desempeño" del empleado, en el sentido del Estatuto de los Trabajadores. De este modo, el tratamiento de los datos personales efectuado ha permitido que el empresario entre en posesión de información relativa también a la esfera privada de los trabajadores. El Garante le impone una sanción administrativa de 100.000 euros, y la prohibición de cualquier del tratamiento de metadatos de los correos de los trabajadores, así como la supresión de los recogidos ilegalmente.
Puede encontrar la resolución aquí (únicamente disponible en italiano).
2. Propiedad Intelectual
La Oficina Española de Patentes y Marcas ha publicado el Manual Informativo sobre Nulidad y Caducidad Administrativa
A partir del 14 de enero de 2023, las demandas de nulidad y caducidad de marcas tendrán que presentarse ante la Oficina Española de Patentes y Marcas (“OEPM”), dando cumplimiento así a lo dispuesto en el Real Decreto-ley 23/2018 que traspone a la Directiva 2015/2436 relativa a la aproximación de las legislaciones de los Estados miembros en materia de marcas. De este modo, la OEPM, será el organismo que concederá la marca, y que tiempo después podrá declarar su nulidad.
Por lo expuesto, la OEPM ha publicado un manual informativo que sirve de guía para llevar a cabo tal procedimiento. En primer lugar, se delimitan los conceptos de nulidad y caducidad administrativa, precisando, entre otras cosas, los casos, las personas y el momento en los que pueden solicitarse, así como sus efectos. En segundo lugar, se precisa cómo se debe tramitar el procedimiento, incluyendo los requisitos y las fases que se deben cumplir. Finalmente, se incluye cómo debe de llevarse a cabo la coordinación entre la OEPM y los tribunales.
Puede encontrar el Real-Decreto-ley 23/2018 aquí, la Directiva 2015/2436 aquí y el Manual Informativo sobre Nulidad y Caducidad Administrativa aquí.
Se confirma la nulidad de la marca “ICELAND”
Iceland Foods Limited registró la marca “Iceland” para una serie de productos y servicios de su compañía. Sin embargo, el Ministerio de Asuntos Exteriores y de Negocios de Islandia solicitó la nulidad de la marca, ya que se había elegido un nombre geográfico de un Estado miembro del Espacio Económico Europeo, con profundos vínculos económicos y sociales con la Unión Europea.
Con estos hechos, la Oficina de Propiedad Intelectual de la Unión Europea (la “EUIPO”) ha decretado la nulidad de dicha marca. Por un lado, al aplicar la jurisprudencia europea de marcas, la EUIPO consideró que la marca “Iceland” tendría poder para ser percibida por el público, como indicativa de que los productos y servicios así denominados procedían de Islandia. Por otro lado, entiende vulnerado el artículo 7.1.c del Reglamento (EU) 2017/1001 de trademark (“EUTMR”), ya que está prohibido registrar marcas que puedan servir para designar la procedencia geográfica de los productos o servicios.
Puede encontrar la resolución aquí (disponible en inglés).
3. Juego
Se modifica la Ley de Juego de la Comunidad de Madrid
Se ha publicado en el Boletín Oficial de la Comunidad de Madrid la Ley de Medidas Urgentes para el Impulso de la Actividad Económica y la Modernización de la Administración, también conocida como Ley Ómnibus, y que modifica la Ley de Juego de la Comunidad de Madrid.
En concreto, el Título V de la mencionada ley es el que modifica –en la misma línea que la reciente reforma de la Ley nacional– la Ley del Juego en la Comunidad de Madrid, apostando por el juego responsable y la protección de la salud pública. De este modo, se incluyen los principios rectores y se establecen las políticas que regirán las actuaciones en materia de juego. Asimismo, se regula la publicidad y promoción de las actividades de juego, para que sean acordes a las nuevas necesidades sociales y económicas, estableciendo límites para evitar un excesivo fomento de las actividades de juego y apuestas.
Finalmente, se revisa el régimen sancionador para adaptarlo a las nuevas obligaciones y prohibiciones introducidas, tipificando nuevas conductas infractoras, y agravando la tipificación de las conductas relativas al acceso al juego por parte de menores y del resto de colectivos vulnerables.
Puede encontrar la Ley Ómnibus (Título V) aquí.
4. Otras noticias relevantes
La Unión Europea aprueba la Directiva NIS2
La Unión Europea (“UE”) ha aprobado la Directiva NIS2, un renovado marco regulatorio en materia de ciberseguridad y redes de información de la Unión Europea. La Directiva establece las bases para la gestión de los riesgos en materia de ciberseguridad y obligaciones de información en sectores esenciales como energía, transporte, salud, banca e infraestructura digital. Con esta Directiva, la Unión se coloca a la vanguardia regulatoria y hace gala de su estrategia de ciberseguridad y resiliencia.
Puede consultar la Directiva aquí.
Se publica en el BOE la Ley de start-ups
El Congreso ha aprobado definitivamente la Ley de fomento del ecosistema de las empresas emergentes (conocida como “Ley de start-ups”). Este nuevo marco normativo específico persigue apoyar la creación y el crecimiento de empresas emergentes en España, así como fomentar el emprendimiento, la atracción de talento, la inversión y el uso de la tecnología. Asimismo, incluye, entre otras, novedades en materia laboral, con la regulación de la figura de los “nómadas digitales”, o en materia tributaria al prever determinados incentivos fiscales.
Puede consultar la Ley aquí.
El Parlamento Europeo, el Consejo y la Comisión proclaman la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital
Teniendo en cuenta los riesgos e inseguridad a la que se enfrenta la transformación digital, el Parlamento Europeo, el Consejo y la Comisión han firmado la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital (la “Declaración”). Esta Declaración, tal y como su propio nombre indica, es un texto meramente declarativo, y, por tanto, no afecta a normas jurídicas. Su objetivo es presentar el compromiso de la UE con una transformación digital que sitúe a las personas en el centro y esté en consonancia con los valores y derechos fundamentales de la UE.
La Declaración se divide en seis capítulos, que reflejan los objetivos que se quieren alcanzar: (i) una transformación digital centrada en las personas, (ii) solidaridad e inclusión, (iii) libertad de elección, (iv) participación en el espacio público digital, (v) seguridad, protección y empoderamiento, y (vi) sostenibilidad.
Puede consultar la Declaración aquí.
