1. Protección de datos
a. Noticias destacadas
Las autoridades de protección de datos alertan sobre los riesgos asociados al uso de la conocida herramienta Chat GPT
El gran avance experimentado por la Inteligencia Artificial (en adelante, “IA”) en los últimos años está generando dudas en varias áreas del derecho. En particular, la irrupción de la conocida herramienta Chat GPT, creada por la entidad estadounidense OpenAI, L.L.C. (en adelante, “OpenAI”), que es un chatbot que permite mantener conversaciones con humanos, ha generado interesantes debates sobre la autoría de los contenidos generados, a los que nos referimos en el apartado II de esta newsletter, y por supuesto, sobre la seguridad de los datos que se incluyen en este programa y el tratamiento al que se someten.
A continuación, incluimos un resumen de las últimas noticias relacionadas con Chat GPT en materia de protección de datos:
En España, el pasado 13 de abril, la Agencia Española de Protección de Datos (en adelante, “AEPD”) inició de oficio actuaciones de investigación a OpenAI por un posible incumplimiento de la normativa. Asimismo, solicitó al Comité Europeo de Protección de Datos (“CEPD”) incluir en el orden del día de su sesión plenaria el servicio de Chat GPT, con el fin de armonizar y coordinar la actuación europea en aplicación del Reglamento General de Protección de Datos (“RGPD”) sobre aquellos tratamientos de la plataforma que puedan tener impacto sobre los derechos de las personas.
Puede encontrar el comunicado de la AEPD en el siguiente enlace.
Por su parte, una de nuestras autoridades autonómicas, la Autoridad Catalana de Protección de datos ha emitido una recomendación en la que insta a las Administraciones Públicas a no incorporar la herramienta Chat GPT en la prestación de sus servicios hasta que no haya un pronunciamiento claro del CEPD al respecto.
Puede encontrar las recomendaciones de la Autoridad Catalana de Protección de Datos aquí (disponible en catalán).
Adicionalmente, el Instituto Nacional de Ciberseguridad (en adelante, “INCIBE”) publicó un post en su blog analizando los riesgos de Chat GPT desde el punto de vista de la seguridad. El INCIBE ha analizado los principales vectores de ataque que Chat GPT proporciona a los ciberdelincuentes para atacar a las empresas. Por un lado, la herramienta puede ser utilizada para generar texto: (i) crear mensajes fraudulentos que posteriormente se utilicen en los ataques de phishing, o para (ii) redactar fake news, con el objetivo de manipular a la opinión pública. Por otro lado, también permite desarrollar códigos en diferentes lenguajes de programación y crear software malicioso.
Asimismo, el INCIBE añade una serie de medidas o recomendaciones que las empresas pueden implementar para impedir estos ataques, como evitar proporcionar datos personales a través de la herramienta, no acceder a enlaces sospechosos y concienciar al personal de los riesgos.
Puede encontrar la publicación en el siguiente enlace.
Desde la perspectiva europea, el Plenario del CEPD celebrado también el 13 de abril, decidió crear un grupo de trabajo específico (task force) con la intención de fomentar la cooperación e intercambio de información entre las distintas autoridades de protección de datos europeas sobre las acciones que vayan adoptando en relación con el servicio de Chat GPT.
Puede encontrar el comunicado del CEPD aquí.
Recordemos que el pasado 30 de marzo, en Italia, la Autoridad de Protección de Datos (en adelante, el “Garante”) suspendió temporalmente Chat GPT -que ya vuelve a estar activo tras la implementación de las correspondientes medidas correctoras- por incumplir la normativa italiana y europea de protección de datos de carácter personal.
Concretamente, esta decisión se fundamentó en la presunta ilicitud del tratamiento, por carecer de base jurídica legitimadora para la recogida y tratamiento masivo de datos personales para "entrenar" los algoritmos de la plataforma. Asimismo, el Garante subrayó la falta de mecanismos de verificación de la edad de los menores a pesar de que el servicio está dirigido a usuarios mayores de 13 años según los términos del servicio de OpenAI.
Tras la celebración de reuniones entre el Garante y la empresa estadounidense, la autoridad fijó una serie de medidas de obligado cumplimiento dentro de su ámbito geográfico, antes del 30 de abril, de entre las que destacan las siguientes:
- Elaborar y publicar en el sitio web de la plataforma un apartado de información en materia de protección de datos conforme lo establecido en el artículo 12 del RGPD e insertar un enlace a la información en el momento de registro.
- Poner a disposición de los usuarios conectados desde Italia, para el ejercicio del derecho de oposición al tratamiento por medios automatizados, así como, la rectificación de cualquier dato personal inexacto.
- Establecer como base de legitimación del tratamiento el consentimiento del interesado, y eliminar cualquier referencia a la base contractual.
- Someter a los usuarios a una prueba de edad y presentar al Garante, antes del 31 de mayo de 2023, un plan para la adopción de herramientas adecuadas de verificación de edad.
- Promover una campaña de información, de carácter no promocional, en los principales medios de comunicación italianos con el fin de informar a las personas de la probable recopilación de sus datos personales con fines de entrenamiento algorítmico.
Finalmente, el 28 de abril, como hemos indicado, Chat GPT volvió a estar disponible en Italia después de que OpenAI enviara al Garante una nota acreditando el cumplimiento de algunas de las medidas correctoras. Según especificaba OpenAI, la herramienta ahora incluye más información sobre el tratamiento de los datos, además, se encuentra accesible desde el momento de registro y enlazada a la nueva política de privacidad. La herramienta también facilita el ejercicio del derecho de los usuarios a oponerse al tratamiento de sus datos personales para la alimentación de algoritmos, ya que se puede realizar mediante un formulario y, se ha ofrecido a los usuarios la posibilidad de que se supriman sus datos considerados erróneos. Para determinar la edad de los usuarios, se ha incluido un botón en la pantalla de bienvenida, a través del cual deben declarar que son mayores de edad o mayores de trece años y que, en tal caso, cuentan con el consentimiento paterno.
Aunque el Garante continúa con su labor investigadora, se ha mostrado satisfecho con las medidas adoptadas y espera que OpenAI cumpla próximamente con el resto de las mismas, siendo especialmente relevante la implantación del sistema de verificación de la edad y la gestión de la campaña de comunicación pública destinada a informar a los italianos.
Puede encontrar las comunicaciones del Garante en los siguientes enlaces: la resolución de 30 de marzo aquí, la orden de 11 de abril aquí y el comunicado de 28 de abril aquí (disponibles en italiano).
En Reino Unido, la autoridad de protección de datos (en adelante, el “ICO”) ha publicado un post en su blog oficial en el que profundiza sobre la IA generativa. Este artículo propone 8 preguntas que cualquier organización que esté desarrollando o utilizando un sistema de IA generativa que trate datos de carácter personal debe plantearse en relación con el cumplimiento de la normativa aplicable sobre privacidad. Con esta publicación el ICO tiene la intención de recordar que, en tales casos, las compañías deben adoptar un enfoque desde el diseño y por defecto y que, la hoja de ruta a seguir está fijada legalmente y es similar a la de cualquier otro tratamiento de datos personales. ¿Cuál es la base jurídica para el tratamiento? ¿Es usted responsable, encargo o corresponsable del tratamiento? ¿Ha realizado una evaluación de impacto relativa a la protección de datos? ¿Cómo garantizará la transparencia? ¿Utilizará el sistema para adoptar decisiones automatizadas? Son algunas de las preguntas recogidas en el artículo.
Puede encontrar la publicación en el siguiente enlace (disponible en inglés).
Por otro lado, el Primer Ministro británico y el Secretario de Tecnología han creado un grupo de trabajo de expertos para desarrollar la IA de una forma segura y aprovechar las oportunidades que puede generar, como parte de un plan para impulsar la innovación en la economía británica. El grupo de trabajo -que cuenta con una financiación de 100 millones de libras- surge con la finalidad de fomentar el potencial de la IA, garantizando la confianza en su uso por parte del público y estableciendo una regulación que mantenga la seguridad de los ciudadanos -sin impedir la innovación. Entre otros aspectos, el grupo de trabajo será responsable de adoptar modelos seguros de IA, que contribuirán al crecimiento de la economía de la nación e impulsarán la mejora de los servicios públicos para los ciudadanos. A modo de ejemplo -según destacan en el comunicado- la IA tiene un enorme potencial en el desarrollo de fármacos, lo que permitirá grandes avances en determinados ámbitos como la sanidad.
Puede encontrar más información en el siguiente enlace (disponible en inglés).
En Alemania, las autoridades de protección de datos han iniciado una investigación a OpenAI para comprobar si la herramienta Chat GPT cumple con la normativa de protección de datos. Mediante esta investigación, las autoridades alemanas pretenden asegurarse de que la herramienta ha sido sometida a una evaluación de impacto para la protección de datos y que sus riesgos están controlados.
Puede encontrar más información aquí (disponible en inglés).
b. Resoluciones y sentencias relevantes
El Abogado General del Tribunal de Justicia de la Unión Europea presenta sus conclusiones sobre la posible indemnización por daño moral por la difusión ilícita de datos personales en poder de un organismo público
El Abogado General del Tribunal de Justicia de la Unión Europea (“TJUE”), señor Giovanni Pitruzzella, ha expuesto sus conclusiones sobre el asunto C-340/21. El litigio principal se originó después de que varios interesados interpusieran demanda contra la Agencia nacional de recaudación de Bulgaria al producirse accesos no autorizados al sistema informático y se publicase en Internet información fiscal y de la seguridad social de millones de personas. El tribunal búlgaro consideró que los accesos no autorizados no se podían imputar a la Agencia nacional de recaudación, que la parte demandante es quien tiene la carga de la prueba sobre las medidas de seguridad adoptadas y que no hay daños morales indemnizables.
El Abogado General concluye que el hecho de que se produzca una violación de seguridad no implica que las medidas técnicas y organizativas adoptadas por el responsable no sean apropiadas, pero es este quien debe acreditarlas. Por tanto, el afectado solo debe demostrar que se ha producido una infracción que le ha originado un daño y la relación de causalidad entre ambos. Por otro lado, el hecho de que los accesos no autorizados se produzcan por personas ajenas al ámbito de control del responsable no conlleva la exención de su responsabilidad.
En cuanto a la posible indemnización por el daño moral, el Abogado General precisa que el interesado debe demostrar que el temor al posible uso indebido de sus datos le ha ocasionado de forma concreta y específica un daño emocional real y cierto.
Puede acceder a las conclusiones en el siguiente enlace.
Nuevas sanciones en el sector financiero: la AEPD impone dos multas al BBVA de 70.000 euros cada una
En esta ocasión, la AEPD ha sancionado al Banco Bilbao Vizcaya Argentaria (“BBVA”) por vulnerar el principio de licitud del tratamiento y por no atender correctamente derecho de acceso de la reclamante. El procedimiento se ha cerrado con el pago voluntario de la entidad.
El procedimiento se inició con la reclamación presentada por una persona que descubrió que, aunque había dejado de ser clienta de la entidad bancaria en 2012, en 2021 continuaban inscritas dos deudas contraídas con el BBVA a su nombre en la Central de Información de Riesgos del Banco de España (en adelante, la “CIRBE”). Tras las actuaciones de investigación efectuadas, la AEPD concluye que el hecho de mantener inscritas las deudas de la reclamada en la CIRBE es una conducta contraria al principio de licitud -al carecer de base legitimadora para realizar tal actuación- por tanto, entiende que se ha vulnerado el artículo 6 del RGPD y le impone al BBVA una multa de 70.000 euros.
La misma persona alegó la falta de atención de sus derechos de acceso, rectificación y supresión por parte del BBVA. A raíz de las investigaciones, únicamente se detecta una infracción en relación con el derecho de acceso, por medio del cual la interesada solicitaba -entre otras cosas- la grabación de unas llamadas. La AEPD entiende que el BBVA no actuó diligentemente en la atención de este derecho, ya que su actuación se limitó a solicitar a la interesada más información sobre las mismas, como el número de las llamadas y sus fechas. Por la no atención del derecho de acceso de la interesada, la AEPD entiende que el BBVA ha infringido el artículo 15 del RGPD y le impone una segunda multa de 70.000 euros.
Puede encontrar la resolución disponible aquí.
La AEPD sanciona a KFC con un importe total de 25.000 euros por no tener nombrado un delegado de protección de datos y por la falta de transparencia en su política de privacidad
La reclamación presentada contra KFC RESTAURANTS SPAIN, S.L. (en adelante, “KFC”) se fundamenta en la presunta comisión de una serie de infracciones de la normativa de protección de datos, principalmente en relación con la política de privacidad publicada en la web de la entidad.
Tras analizar dicha política de privacidad, la AEPD concluye que la misma está incompleta, ya que se facilita información imprecisa sobre los fines de tratamiento. Por tales hechos, la AEPD impone a KFC una sanción de 5.000 euros a KFC, entendiendo que se ha infringido el artículo 13 del RGPD.
Además, la AEPD determina que KFC ha vulnerado también el artículo 37.1.b del RGPD, ya que KFC no había nombrado un delegado de protección de datos siendo obligatorio hacerlo en su caso (la autoridad considera que su actividad principal requiere una observación habitual de interesados a gran escala). Por la vulneración del artículo 37.1.b del RGPD la AEPD impone a KFC una multa de 20.000 euros. La resolución de la AEPD, además de la imposición de las multas señalada, obliga a KFC la adopción de una serie de medidas correctoras que consisten en adecuar su política de privacidad a la normativa de protección de datos y en nombrar a un delegado de protección de datos.
Puede encontrar el texto completo aquí.
El ICO impone una multa de 130.000 libras a una empresa de selección de personal por enviar correos electrónicos no deseados
La autoridad británica de protección de datos (en adelante, el “ICO”) ha sancionado a la empresa Join The Triboo Limited (en adelante, “JTT”), un operador de sitios web de búsqueda de empleo, por haber enviado 107 millones de correos no deseados a solicitantes de empleo.
El ICO considera que el consentimiento recogido por JTT no resulta válido para el envío de comunicaciones comerciales. En la declaración de consentimiento utilizada por JTT, no se informaba sobre las actividades de marketing que podrían llevarse a cabo, ni sobre los medios utilizados o en nombre de qué entidad se realizarían. Por lo tanto, el ICO considera que el consentimiento no cumple con los requisitos del artículo 4.1 del RGPD.
Por estos hechos, el ICO considera infringida la normativa relativa a comunicaciones electrónicas la Privacy and Electronic Communications (EC Directive) Regulations 2003, ley británica que impide enviar mensajes con fines de marketing directo sin un consentimiento válido previamente otorgado por el usuario, y ha impuesto a JTT una multa de 130.000 libras.
Puede encontrar la resolución aquí (disponible en inglés).
c. Informes y guías
El CEPD publica versiones actualizadas de tres de sus directrices
a) Directrices sobre la notificación de brechas de seguridad
El objetivo principal de esta versión actualizada es aclarar los requisitos de notificación relativos a las brechas de seguridad de datos personales en establecimientos fuera de la UE. La novedad introducida en las directrices es que el sistema de ventanilla única no se activa por la mera presencia de un representante en un Estado miembro, sino que el responsable del tratamiento debe notificar la brecha a todas las autoridades de control de los Estados miembros en que residan los afectados.
Puede encontrar las directrices en el siguiente enlace (solo disponible en inglés).
b) Directrices relativas al derecho de acceso
En este documento, el CEPD precisa el alcance de este derecho, regulado en el artículo 15 del RGPD, explicando que incluye tres componentes diferentes: la confirmación de si se tratan o no los datos, el acceso a los mismos y el acceso a información sobre el tratamiento.
En las directrices se delimita que el derecho de acceso se refiere a los datos personales y no debe interpretarse de manera restrictiva, sino que puede incluir información que afecte a terceros (por ejemplo, un historial de comunicaciones). Además, junto con los datos personales relativos al ejerciente, el responsable debe proporcionar al interesado información adicional sobre el tratamiento que efectúa.
Puede encontrar el texto completo de las directrices aquí (solo disponible en inglés).
c) Directrices sobre la identificación de la autoridad de control principal del responsable o encargado del tratamiento
La principal modificación introducida en esta nueva versión es una aclaración sobre el concepto de establecimiento principal en situaciones de corresponsabilidad del tratamiento. El resto del documento se ha mantenido prácticamente sin cambios.
En primer lugar, resulta necesario aclarar que, aunque los corresponsables deben delimitar las tareas y responsabilidades asumidas cada uno en el tratamiento, no pueden determinar de mutuo acuerdo qué autoridad de control será la competente. Además, tal y como se especifica el artículo 56 del RGPD, la autoridad competente será la del establecimiento principal o la del único establecimiento. Sin embargo, el CEPD precisa en las directrices que los corresponsables no podrán designar un establecimiento principal común para todos.
Puede encontrar las directrices aquí (disponible en inglés).
El CEPD difunde una guía para ayudar a pequeñas y medianas empresas en el cumplimiento con la normativa de protección de datos
Entre sus acciones de sensibilización, el CEDP ha elaborado una guía con la que pretende concienciar a pequeñas y medianas empresas sobre la importancia del cumplimiento de la normativa de protección de datos, así como proporcionarles información útil y práctica sobre las obligaciones del RGPD. Esta guía, de una forma muy visual, incluye -entre otras cosas- conceptos básicos relativos a la protección de datos, información sobre la privacidad desde el diseño y por defecto, sobre derechos de protección de datos o sobre cómo gestionar una brecha de seguridad.
Puede encontrar la guía aquí (disponible en inglés).
La AEPD ha publicado unas orientaciones para la realización de evaluaciones de impacto en el proceso de desarrollo normativo
La AEPD ha redactado una guía con orientaciones para la realización de evaluaciones de impacto en el contexto de iniciativas legislativas que impliquen tratamiento de datos personales. El documento está dirigido a las Administraciones Públicas y a sus delegados de protección de datos. Prevé la necesidad de efectuar la evaluación de impacto desde el diseño de la norma e incluye los requisitos previos a la realización de la misma, las pautas para efectuarla y las condiciones que debe cumplir para ser considerada aceptable.
Puede encontrar las orientaciones en el siguiente enlace.
La AEPD emite un informe respondiendo a una consulta sobre el proceso de constitución de una agrupación de electores
El caso analizado se enmarca en un proceso electoral municipal, al que se presentan candidaturas por parte de agrupaciones de electores. Según la Ley Orgánica del Régimen Electoral General (en adelante, “LOREG”) las agrupaciones de electores necesitan presentar un número determinado de firmas autenticadas, mediante la cumplimentación de un formulario de modelo oficial. Este procedimiento de recogida de firmas implica el tratamiento de datos de carácter personal de las personas que avalan la candidatura. Sin embargo, el artículo 2.3 de la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales (en adelante, “LOPDGDD”) dispone que los tratamientos dentro del alcance de la LOREG se regirán por su normativa específica y supletoriamente por la normativa de protección de datos.
La AEPD precisa en su informe que tendrá la consideración de responsable del tratamiento, tanto el promotor de las agrupaciones de electores, como el Notario o Secretario de la Corporación municipal, en relación con los tratamientos de datos personales que se realicen para cumplir con la obligación de autenticación de las firmas. Asimismo, la AEPD analiza cómo se deberá cumplir con el deber de informar, y concluye que, en este caso es aplicable la excepción del artículo 14.5.c) del RGPD.
Puede encontrar el Informe en el siguiente enlace.
La AEPD emite un informe sobre la interpretación del artículo 66.1.b de la Ley General de Telecomunicaciones
La consulta que se plantea desde la Dirección de la AEPD solicita la interpretación jurídica del artículo 66.1.b) de la Ley General de Telecomunicaciones (en adelante, “LGTel”) conforme a la normativa de protección de datos.
El artículo en cuestión establece el derecho de los usuarios a no recibir llamadas no deseadas con fines de comunicación comercial, salvo que hayan prestado su consentimiento o se pueda amparar en otra base de legitimación.
En este sentido, la norma amplía las bases de legitimación para realizar comunicaciones comerciales a las demás bases previstas en el artículo 6.1 del RGPD. Entre ellas, el interés legítimo del responsable del tratamiento podría tener cabida en este supuesto, aunque debe haberse verificado su ponderación previamente. La normativa también prevé el derecho del interesado a oponerse a un tratamiento cuya finalidad sea la mercadotecnia directa.
Finalmente, la AEPD cierra su informe confirmando la dificultad interpretativa del mencionado artículo y anuncia el desarrollo de la circular específica que analizamos a continuación.
Puede encontrar el informe en el siguiente enlace.
La AEPD publica el Proyecto de circular sobre la aplicación del artículo 66.1.b de la Ley General de Telecomunicaciones y abre trámite de información pública
El objeto del Proyecto de Circular (en adelante, el “Proyecto”) es la aplicación del artículo 66.1.b de la LGTel, comentado en la noticia precedente. En él, se especifica que el consentimiento debe ser conforme con la normativa de protección de datos. También será lícito el tratamiento en base al interés legítimo, siempre que el responsable haya hecho la correspondiente ponderación de derechos e intereses en conflicto y no prevalezcan los derechos y libertades fundamentales del interesado. Asimismo, se presumirá que el tratamiento es lícito cuando exista una relación contractual previa, siempre que los datos se hubieran obtenido de forma lícita. En todo caso, el responsable debe respetar el deber de información de la normativa de protección de datos y consultar de los sistemas de exclusión publicitaria.
La AEPD ha abierto trámite de información pública para que los interesados puedan hacer sus aportaciones al Proyecto de circular, hasta el próximo 22 de mayo.
Puede encontrar el Proyecto aquí y puede acceder al trámite de información pública en el siguiente enlace.
La CNIL publica una guía sobre el uso de drones por fuerzas de seguridad
La guía destaca que el uso de drones debe ser autorizado mediante decisión escrita y motivada del representante del Estado. Además, el dron no podrá captar sonido o llevar a cabo un tratamiento automatizado de reconocimiento facial, ni recoger imágenes del interior de viviendas. Asimismo, se establece un muy plazo limitado de conservación de siete días de las imágenes captadas por los drones.
Puede encontrar la guía en el siguiente enlace (disponible en francés).
d. Otras noticias relevantes
Ya se encuentra disponible para su descarga la Memoria Anual de la AEPD correspondiente al 2022
La AEPD ha publicado su Memoria Anual del año 2022 (en adelante, la “Memoria”), en la que se resumen las actividades realizadas por la Agencia a lo largo del citado año.
Durante dicho periodo, la Agencia, ha recibido el mayor número de reclamaciones de su historia, en concreto un total de 15.128, lo que supone un aumento del 9% respecto del año anterior y del 47% respecto del 2020. Las reclamaciones más frecuentes son las relacionadas con servicios de internet, videovigilancia y publicidad.
Como novedad, incluye un listado de las Administraciones Públicas sancionadas por incumplir los requerimientos de la AEPD y las medidas impuestas (además, como indicamos en el apartado siguiente, este listado se ha publicado en la web de la autoridad).
Puede encontrar el texto completo de la Memoria disponible aquí.
La AEPD ha publicado por primera vez un listado de Administraciones Públicas sancionadas por incumplir los requerimientos de la Agencia
La Agencia ha constatado cómo algunas Administraciones Públicas -principalmente entidades locales- no atienden los requerimientos de adecuación resultado de los procedimientos sancionadores que se les abren. Por ello, ha creado un nuevo apartado en su página web en el que se podrá consultar el listado de aquellas Administraciones que o bien no han atendido una orden de implantación de medidas para adecuar el tratamiento a la normativa de protección de datos, o bien no han contestación a un requerimiento de información en el marco de una investigación.
En el listado, destaca el incumplimiento de distintas entidades locales de más de 20.000 habitantes a las que se les ha requerido que nombren un delegado de protección de datos y todavía no lo han hecho.
Puede encontrar el listado en el siguiente enlace.
El grupo de trabajo creado por la CNIL para los actores del vehículo conectado y de la movilidad inicia su labor centrándose en el uso de datos de geolocalización
El mes pasado, la CNIL comunicaba la creación de un grupo de trabajo dedicado a los actores públicos y privados del vehículo conectado y de la movilidad, con el fin de desarrollar un espacio de diálogo donde tratar los principales retos tecnológicos, jurídicos, económicos o sociales a los que se enfrenta el sector.
Ahora, nos anuncia que los primeros esfuerzos del grupo de trabajo para 2023 se van a centrar en la elaboración de recomendaciones prácticas sobre el uso de datos de geolocalización en el marco de la gestión de flotas comerciales y en el uso de vehículos a título particular. El resultado de los trabajos de este grupo servirá como complemento al posicionamiento que ya emitió la CNIL sobre vehículos conectados (disponible en inglés y en francés) así como a las directrices del CEPD en esta materia (consultar aquí).
Puede leerse la noticia completa en el siguiente enlace (disponible en francés).
2. Propiedad Intelectual
El Juzgado de lo Mercantil número 3 de Madrid reconoce a Paco de Lucía como autor en exclusiva de varias obras en las que inicialmente figuraba como coautor el Sr. Torregrosa
En el registro de la Sociedad General de Autores y Editores de España (en adelante, “SGAE”) José Torregrosa figuraba como coautor de una serie de obras de Paco de Lucía. Sin embargo, la reciente sentencia de 3 de marzo de 2023 del Juzgado de lo Mercantil número 3 de Madrid atribuye la autoría en exclusiva de dichas obras a Paco de Lucía. La sentencia considera al Sr. Torregrosa como un mero “arreglista” cuyas aportaciones en las mencionadas obras carecen de originalidad. Resultan de especial interés el análisis y la valoración de las pruebas aportadas por los herederos de Paco de Lucía, ya que a través de un informe pericial de un musicólogo se llega a la conclusión de que difícilmente un músico de formación-como es el Sr. Torregrosa- podría haber ayudado en el ámbito creativo a Paco de Lucía.
Además, por la vulneración del derecho moral del autor, los herederos del Sr. Torregrosa deberán pagar a los de Paco de Lucía una indemnización de 10.000 euros y reintegrar las cantidades indebidamente percibidas por la explotación de sus obras con sus intereses.
Desde el equipo de Tecnologías de la Información de Ramón y Cajal Abogados hemos querido resumir los principales aspectos de la sentencia. El artículo está disponible en nuestro blog al que puede acceder a través del siguiente enlace.
Puede encontrar la sentencia aquí.
El TJUE establece una interpretación del concepto de comunicación al público por la difusión de música ambiental a bordo de trenes y aviones en los asuntos acumulados C-775/21 y C-826/21
En su reciente sentencia de 20 de abril de 2023, el TJUE analiza las peticiones de decisión prejudicial que se presentan en el contexto de dos litigios, que se acumulan, en los que se interponía demanda contra una compañía aérea y otra de trenes para que pagasen un canon por la difusión de obras musicales protegidas a bordo. En ambos casos, el tribunal de primera instancia consideró que existía una presunción iuris tantum de que la difusión de dichas obras suponía una comunicación al público de obras protegidas.
Las cuestiones planteadas al TJUE tienen como objetivo la interpretación del concepto de comunicación al público. El TJUE ha concluido que la difusión de una obra como música ambiental en un medio de transporte de pasajeros constituye una comunicación al público en tanto que se da acceso a una obra protegida y la comunicación se produce de manera efectiva al público. Precisa que la existencia de carácter lucrativo no es relevante a la hora de delimitar si se trata de una comunicación al público. Asimismo, considera que la instalación de un equipo de sonorización -y en su caso, de un software- a bordo de un medio de transporte que permita la difusión de música ambiental constituye una mera puesta a disposición de instalaciones materiales para facilitar la comunicación pero, no se trata de una comunicación al público en sí misma.
Puede encontrar la sentencia en el siguiente enlace.
La US Copyright Office desarrolla una declaración de principios con el fin de aclarar la incertidumbre sobre el registro de las obras creadas por la IA
La IA permite la generación de nuevos contenidos de texto, visuales o sonoros, basándose en un “entrenamiento” a partir de grandes volúmenes de obras creadas por humanos. La utilización de estos contenidos genera la incertidumbre de si los mismos están protegidos por derechos de autor y pueden registrarse. La US Copyright Office -tras recibir varias solicitudes de registro de las mencionadas obras- ha emitido una declaración de principios con el fin de aclarar dichos aspectos.
En esta declaración, se da especial importancia al requisito de la autoría humana de las obras. Los derechos de autor sólo protegen aquellas obras producto de la creatividad humana. Por tanto, las que combinan elementos de autoría humana con otros no sujetos a derechos de autor, deben ser analizadas caso por caso con el fin de delimitar la contribución concreta de la IA.
La declaración también incluye una serie de orientaciones para aquellos artistas que soliciten el registro de una obra. Entre otras, deben revelar la inclusión de contenido generado por IA en su obra, así como explicar las contribuciones concretas realizadas por el autor (es decir, reivindicar las partes de la obra que se han creado por el autor humano). En conclusión, lo relevante es determinar en qué medida el artista tuvo control creativo de su obra.
Puede encontrar la declaración de principios en el siguiente enlace (disponible en inglés).
3. Juego
Se publica en el BOIB la Ley de modificación de la Ley de Juego y las apuestas de las Islas Baleares
El Parlamento Balear aprobó el pasado 21 de marzo la reforma de la normativa autonómica de juego, vigente desde 2014. Como ya adelantábamos en nuestra newsletter de enero, la norma incluye las siguientes modificaciones y medidas:
- Se prohíbe la concesión de nuevas autorizaciones para la apertura de establecimientos de juego en un radio inferior a 500 metros de distancia desde centros de personas en tratamiento por juego patológico, centros de enseñanza de menores, zonas de ocio para menores y centros permanentes de atención a menores.
- Se prohíbe cualquier tipo de publicidad, comunicación comercial, obsequio o descuento referido al Juego en el ámbito de las Islas Baleares.
Igualmente, no podrán instalarse en las fachadas de los establecimientos de juego imágenes que inciten al juego o elementos lumínicos que no sirvan de señalización de entradas o de salidas.
- Las máquinas recreativas dispuestas en la hostelería deberán disponer de una pantalla previa al juego en la que el usuario responderá a una serie de cuestiones relativas a la edad y a la responsabilidad.
Tampoco podrán las máquinas emitir estímulos sonoros o lumínicos mientras ningún cliente las esté usando, a excepción de un mensaje sobre un entorno seguro del juego y de las apuestas.
- La caducidad de un procedimiento sancionador se produce 1 año a contar desde el inicio del procedimiento, salvo que esta dilación –según la reforma de la norma– esté causada, directa o indirectamente, por acciones u omisiones imputables a los interesados.
- Se limita a tres el número de casinos en el ámbito territorial de las Islas Baleares. También se limita el número de autorizaciones en vigor para la instalación de salones de juego en las Islas Baleares a 75 por cada millón de habitantes empadronados en la comunidad autónoma.
Puede consultar el texto íntegro de la Ley aquí.
4. Otras noticias de interés
El nuevo Registro Audiovisual incluirá nuevos prestadores como los servicios de intercambio de vídeos a través de plataformas o vloggers
La Comisión Nacional de los Mercados y la Competencia (en adelante, la “CNMC”) ha elaborado un informe en el que analiza el borrador de Real Decreto por el que se regula el Registro Estatal de Prestadores del Servicio de Comunicación Audiovisual. Entre otros aspectos, la CNMC precisa que es necesario que la norma aclare cómo se va a realizar el registro y la supervisión de los nuevos prestadores de servicios de intercambio de videos y del nuevo tipo de prestadores de servicios de comunicación audiovisual, denominados usuarios de especial relevancia o vloggers. Resulta de especial relevancia la coordinación con las Comunidades Autónomas a la hora de delimitar el ámbito territorial de los servicios. La CNMC resalta, asimismo, la importancia que han adquirido los podcasts en los últimos años.
Puede encontrar el comunicado de la CNMC disponible aquí y el informe disponible aquí.
Nueva normativa para regular los activos digitales en la UE
El Parlamento Europeo ha aprobado la nueva regulación para los mercados de criptoactivos, más conocido como Reglamento Markets in Crypto Assets (en adelante, “MiCA”), el primer marco normativo para estos instrumentos en el mundo y pretende armonizar la regulación en la UE de los activos digitales y crear un marco regulatorio que integre la legislación de todos los Estados miembros. MiCA regulará la emisión y prestación de servicios relacionados con los criptoactivos y entrará en vigor entre mediados de 2024 y principios de 2025.
Puede encontrar el comunicado aquí y el acuerdo provisional en el siguiente enlace (disponible en inglés).
La Comisión Europea designa los primeros grandes prestadores de servicios a efectos de aplicación de la Digital Services Act
La Comisión Europea ha designado a los primeros 19 grandes prestadores de servicios que deberán cumplir con las exigencias de la Digital Services Act (en adelante “DSA”). Son considerados grandes prestadores de servicios tanto las plataformas en línea de muy gran tamaño como los motores de búsqueda de muy gran tamaño que tengan al menos 45 millones de usuarios activos al mes en la Unión Europea (en adelante, “UE”).
El listado la Comisión Europea incluye 17 plataformas y 2 motores de búsqueda de muy gran tamaño. Se trata en su mayor parte de entidades estadounidenses. Solo 2 son europeas y otras 2 chinas.
Una vez designados, los grandes prestadores de servicios disponen de cuatro meses para cumplir con las obligaciones de la DSA. Ampliamos esta información en el Blog Ramón y Cajal Digital, en este enlace.
Puede encontrar el comunicado en el siguiente enlace y la DSA aquí.
Publicada la traducción de las directrices sobre el uso de soluciones de alta de clientes a distancia
El pasado 30 de marzo de 2023, la Autoridad Bancaria Europea (en adelante, “ABE”) publicó la traducción a las lenguas oficiales de la UE de las directrices sobre uso de soluciones de alta de clientes a distancia, fecha que marca el inicio del periodo de dos meses para que las autoridades competentes notifiquen su intención de cumplir con las mismas y, en caso negativo, los motivos que lo justifiquen.
Las directrices establecen las medidas que las entidades de crédito y financieras deben adoptar a la hora de dar de alta, a distancia, a nuevos clientes, así como, aquellas aplicables cuando recurran a terceros.
Las autoridades que decidan cumplir con las directrices, las tendrán en cuenta para evaluar si las medidas adoptadas por las entidades son adecuadas y eficaces en relación con las obligaciones que para ellas se deriven de la Directiva (UE) 2015/849 relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, en el contexto de alta de clientes a distancia.
Entre las medidas figuran el establecimiento de políticas y procedimientos basadas en el riesgo para cumplir con sus obligaciones; incorporar en las políticas la obtención de la información necesaria para identificar al cliente o medidas para comprobar que la reproducción de un documento original sea fiable.
Puede encontrar la traducción de las directrices aquí.
