Blog Ayala Abogados

TELETRABAJO Y PROTECCIÓN DE DATOS

Con motivo de la pandemia del COVID-19, no son pocas las empresas que han implantado en el seno de su actividad el teletrabajo, principalmente durante la vigencia del Estado de alarma. 

Sin embargo, es cierto que no todas ellas se encontraban debidamente preparadas para la implantación de este método y que, en algunos casos, dicha decisión puede haberse adoptado de forma provisional, debiendo recordarse la importancia de la adopción de ciertas medidas y políticas básicas de cara a seguir cumpliendo con la legislación vigente en materia de protección de datos.
Así, todas las empresas deberían adoptar una política específica para situaciones de movilidad o teletrabajo, que contemple al menos qué formas de acceso remoto se permiten, qué tipo de dispositivos son válidos y seguros para cada forma de acceso, a qué amenazas se pueden enfrentar, cuál es el nivel de acceso permitido en función de los perfiles de cada uno y cuáles son las medidas de seguridad básicas. También podrían definirse las responsabilidades y obligaciones que asumirían las personas empleadas.
A continuación, haremos referencia a ciertas medidas básicas que cualquier organización debería adoptar, con independencia de su tamaño.

SE RECOMIENDA:

  • Recurrir a proveedores que ofrezcan garantías suficientes.
  • Formalizar contratos de encargado de tratamiento con dichos proveedores si accederán a datos personales.
  • Restricciones de acceso a datos personales, creando categorías de perfiles distintos en función de la labor de cada miembro de la organización.
  • Revisión y actualización de los servidores de acceso remoto.
  • Actualización de los equipos de los miembros de la organización.
  • Actualización del software antivirus.
  • Cortafuegos local activado.
  • Mecanismos de cifrado de la información (contraseñas, etc.).
  • Utilizar contraseñas de acceso robustas y diferentes a las utilizadas para cuentas personales, redes sociales y otros.
  • Concluida la jornada de trabajo, desconectar la sesión de acceso remoto y apagar o bloquear el acceso al dispositivo.
  • Medidas necesarias para garantizar la confidencialidad de los datos personales que se tratan, tanto en espacios públicos como en el hogar.
  • Mantener vigente la copia de seguridad periódica de la información del equipo.
  • Notificar a la Agencia Española de Protección de Datos ante cualquier brecha de seguridad en un plazo máximo de 72h.

CUIDADO:

  • Evitar aplicaciones que no ofrezcan garantías y que puedan exponer datos personales.
  • Eliminación de aplicaciones innecesarias.
  • Recabar la autorización de la organización para la instalación de aplicaciones no habituales.
  • Activar solo las comunicaciones (wifi, bluetooth, etc) y puertos (USB u otros) necesarios para llevar a cabo las tareas.
  • Evitar la conexión de los dispositivos a la red corporativa desde lugares públicos, así como redes WIFI abiertas no seguras.
  • Si se usa un equipo corporativo: no acceder a redes sociales, correo electrónico personal, páginas web con reclamos y publicidad impactante, susceptible de contener virus.
  • Si se usa un equipo personal: no simultanear la actividad personal con la profesional y definir perfiles independientes para cada tipo de tarea.
  • Verificar la legitimidad de los correos electrónicos recibidos, desconfiando de la descarga de ficheros adjuntos con extensiones inusuales o enlaces.
  • Minimizar la tenencia de datos personales en papel, y evitar el acceso a éstos por parte de terceros.
  • Si no es posible destruir los datos en papel: no arrojar papeles enteros o en trozos en papeleras o lugares públicos, ni en la basura doméstica a los que un tercero podría acceder.
  • Bloquear las sesiones de los dispositivos cuando estén desatendidos.
  • Evitar exponer la pantalla a la mirada de terceros.
  • Prevenir que se puedan escuchar conversaciones por parte de terceros utilizando, por ejemplo, auriculares.

Si necesita de un mayor asesoramiento, CONTÁCTENOS: http://ayalaabogados.es/contacto.html

COMENTARIOS AL REAL DECRETO LEY 23/2018, DE 21 DE DICIEMBRE, DE TRASPOSICIÓN, ENTRE OTRAS, DE DIRECTIVA EN MATERIA DE MARCAS.

NOTAS EN LO RELATIVO A LAS MODIFICACIONES A LA LEY 17/2001, 7 DE DICIEMBRE, DE MARCAS.
Uno de los objetivos principales del Real Decreto-Ley 23/2018, es incorporar al ordenamiento jurídico español y en concreto a la Ley 17/2001, de 7 de Diciembre, de Marcas, la Directiva de la UE 2015/2436 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2015, relativa a la aproximación de las legislaciones de los Estados miembros en materia de marcas, en la que se añaden los principios normativos esenciales del Reglamento CE 207/2009 y con la que se supera la aproximación limitada de la Directiva 2008/95/CE.
Las modificaciones más significativas que se introducen, según nuestro criterio, son las siguientes:
CONCEPTO DE MARCA.- SIGNO DISTINTIVO. - Se elimina la necesidad de “signo distintivo susceptible de representación gráfica” y sólo se exigirá que sea susceptible de representación en el Registro de Marcas, sin que se especifique el medio empleado, pero de forma que permita a las autoridades y al público en general determinar el objeto de la protección.
En el concepto de marca cabe todo, al igual que antes, y su representación debe ser, clara, precisa, autosuficiente, fácilmente accesible, inteligible, duradera y objetiva.
PROHIBICIONES.- La modificación más importante es la relativa al art. 5; Prohibiciones absolutas; donde la anterior prohibición genérica de no poder registrar como marca los signos que identifiquen vinos o bebidas espirituosas que aunque no sean de la procedencia geográfica que expresen, se utilicen expresiones como: tipo, clase, estilo, imitación, etc., que se sustituye por la de los que sean excluidos del registro por la legislación, nacional o comunitaria, que proteja denominaciones de origen e indicaciones geográficas, confieran protección a los términos tradicionales de vinos o especialidades tradicionales garantizadas; (se eliminan bebidas espirituosas). También se incluye la prohibición de registro de los signos que consistan en la denominación de una obtención vegetal anterior.
MARCAS Y NOMBRES COMERCIALES RENOMBRADOS. “MARCA DE RENOMBRE”. - Se suprimen la consideración de notorios, y se mantiene solo “renombrados”. Y se generaliza como prohibición de registro un concepto indeterminado que es “gozar de renombre en España” o en la Unión, desapareciendo elementos como el volumen de ventas, duración, alcance geográfico, etc., o el conocimiento por el publico en general, para su consideración como notorio o renombrados. Cabe señalar aquí que el Tribunal Supremo ha señalado que una marca tiene renombre cuando “es conocida por una parte significativa del publico interesado en los productos o servicios”.
SOLICITUD Y PROCEDIMIENTO DE REGISTRO. – Se introduce en el art. 21.3 la exigencia al titular de probar en los procedimientos de oposición el uso efectivo de la Marca durante 5 años anteriores y limitar la protección solo para la parte de los productos o de los servicios en que se acredite el uso efectivo en los referidos 5 años anteriores.
RENOVACIÓN. - El nuevo texto permite, (art. 32.8) que, para los casos de renovación total de la marca, el mero pago de la tasa de renovación pueda considerarse que constituye una solicitud de renovación. Se tiene que regular reglamentariamente antes de su implantación.
DERECHO DE MARCA. - Se incorpora la cláusula de que los derechos conferidos por la marca deben entenderse sin perjuicio de los derechos adquiridos por los titulares antes de la fecha de presentación de la solicitud de registro o de la fecha de prioridad de la marca registrada. Como en la normativa anterior, pero con otra formulación, se otorga al titular de una marca la facultad de prohibir no solo los actos directos de violación de una marca, sino también los actos preparatorios para dicha violación. (Art. 34.2.)
Se otorga así mismo al titular de una marca registrada la facultad de ejercitar los derechos que le confiere la misma contra mercancías procedentes de terceros países, que aun no habiendo sido despachas a libre práctica, lleven un signo idéntico o virtualmente idéntico a dicha marca registrada. Este derecho decaerá si el titular de las mercancías o el declarante acreditasen que el titular de la marca registrada no tiene derecho a prohibir la puesta en el mercado de las mercancías en el país de destino final.
En las limitaciones del derecho de marca, (art. 37), se da una nueva redacción a todo el artículo, ampliando las limitaciones y estableciendo que el derecho de marca no podrá invocarse para eximir a su titular de responder frente a las acciones dirigidas contra él por violación de otros derechos de propiedad industrial o intelectual que tengan una fecha de prioridad anterior.
Se consagra así lo señalado indirectamente en el apartado 1 del artículo 34 y se extiende este principio no solo respecto de las marcas anteriores, sino también respecto de cualquier otro derecho anterior.
Importante es el nuevo art. 41 bis, que limita las acciones del propietario anterior y protege al titular de la marca posterior en determinadas circunstancias de no consolidación del derecho del titular de la marca anterior.
Mención especial merece la modificación del Art. 43.2 que, en su apartado a), limita los derechos para el cálculo de las indemnizaciones de daños y perjuicios por violación del derecho de marca, y solo se podrá reclamar, alternativamente, o los beneficios perdidos por el titular, o los obtenidos por el infractor; con independencia de la indemnización del daño moral, que se mantiene.
Es objeto de regulación especial la legitimación de los licenciatarios para entablar acciones de violación de marca. (art.47.7) Se establece el principio general de que el licenciatario precisa el consentimiento del titular de la marca para la incoación de acciones por violación de la marca objeto de licencia, sin embargo, el licenciatario exclusivo estará facultado para incoar la acción si, habiendo requerido al titular a estos efectos, éste no hubiera iniciado la acción.
NULIDAD Y CADUCIDAD DE LA MARCA. - El Titulo VI, se redacta ex novo, introduciendo como novedad muy importante la doble vía administrativa y judicial para la declaración de nulidad o caducidad ya que se otorga la competencia directa para su declaración a la Oficina Española de Patentes y Marcas, manteniendo la vía judicial mediante demanda reconvencional en el seno de una acción por violación de marca.
Se regula la legitimación y se establecen las líneas directrices del procedimiento administrativo de nulidad y de caducidad, sin perjuicio de su desarrollo por vía reglamentaria. En las solicitudes o acciones de nulidad se regula detalladamente la exigencia de la prueba de uso a instancia del titular de la marca posterior. En lo que respecta a los efectos de la declaración de nulidad y de caducidad, art. 60, la primera producirá efectos desde el principio, “ex tunc” y, una vez declarada la caducidad de una marca registrada, los efectos de dicha declaración se retrotraen a la fecha de solicitud administrativa de caducidad o a la fecha de la demanda reconvencional, “ex nunc”.
Al compartir la competencia para la declarar la nulidad y caducidad la Oficina Española de Patentes y Marcas (vía directa) y los Tribunales (vía reconvencional) se regula de forma especial los efectos de cosa juzgada y de firmeza de las resoluciones administrativas. Art. 61.
Igualmente ha sido objeto de especial atención la litispendencia y la prejudicialidad, arts. 61 bis y 61 ter, así como la existencia de procedimientos administrativos previos de nulidad o caducidad, dadas las interferencias que pueden producirse entre los órganos administrativos y jurisdiccionales cuando existan pretensiones planteadas ante órganos diferentes sobre las mismas marcas.
MARCAS COLECTIVAS Y MARCAS DE GARANTÍA. - Se actualizan estas dos figuras a los nuevos conceptos de la ley y se excluyen algunas determinaciones no acordes con la situación actual; se perfila la definición de quienes pueden ser titulares de una u otra. Se suprimen como causas de caducidad la negativa del titular a admitir en la asociación a una persona capacitada para ello; y también se suprime la prohibición temporal de 3 años para volver a registrar las marcas canceladas o no renovadas, para marcas o servicios idénticos o similares.
MARCAS INTERNACIONALES. - No sufre modificación digna de referencia.
MARCAS DE LA UNIÓN EUROPEA. - Tampoco sufre importantes modificaciones, salvo la necesaria presentación de las solicitudes ante la Oficina de la Propiedad Intelectual de la Unión Europea.
Y se limita la caducidad o nulidad de una marca de la Unión que se beneficie de la antigüedad de una marca anterior con efectos en España, aunque estuviera extinguida por falta de renovación o renuncia, siempre que estuviera en causa de nulidad o caducidad en ese momento; en otro caso, mantendrá la antigüedad.

APLICACIÓN DEL RGPD EN EL CASO "PSG"

Según las informaciones reveladas por “Football Leaks” el pasado mes de octubre, el Paris Saint Germain, (PSG), equipo de fútbol de la capital francesa propiedad de un fondo de inversión qatarí, utilizó criterios de origen étnico y racial para el seguimiento de los fichajes de jóvenes para su centro de formación; según esta misma fuente, los encargados de captar futuras promesas por todo el país debían rellenar fichas en las que había un apartado sobre el origen de los jugadores, con cuatro opciones: francés, magrebí, antillano y africano.
Tras conocerse la noticia el Gobierno francés expresó su consternación por estos supuestos fichajes con criterios de origen étnico y pidió a la Federación Francesa de Fútbol y a la Ligue One que investigaran el caso lo antes posible. La ministra de Deportes, Roxana Maracineanu, indicó en un comunicado que los hechos difundidos por la prensa, en caso de confirmarse, podrían ser objeto de "sanciones disciplinarias e incluso penales".

En fecha 19 de noviembre de 2018 hemos conocido que La Fiscalía de París ha abierto una investigación al París Saint-Germain por discriminar según el origen, etnia o nacionalidad a los jóvenes que fichaba para su centro de formación. El club también está siendo investigado por "colecta de datos de carácter personal a través de un medio fraudulento, injusto o ilícito", por "tratamiento de datos personales sin autorización" y por “registro o conservación de datos en los que directa o indirectamente aparecía el origen racial o étnico de los jugadores”.

Analizaremos, con la información revelada, las infracciones y posibles sanciones que podría tener el equipo parisino según el Reglamento General de Protección de Datos de la Unión europea que entró en vigor el pasado 25 de mayo de 2018. Entendiendo que un club de fútbol de un país miembro de la Unión Europea se encuentra dentro del ámbito de aplicación del Reglamento.
Éste, en su artículo 9, prohíbe expresamente el “tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

Según parece y a nuestro entender, las actuaciones referidas no se pueden enmarcar con las exenciones establecidas en el apartado 2 del mencionado artículo 9, como serían el consentimiento, intereses de derechos laborales o de seguridad social, protección de intereses vitales del interesado o cualquier otra persona física, interés público, medicina preventiva…

Por otro lado, los datos de los menores no son considerados por el Reglamento como uno de los datos sensibles recogidos en el mencionado artículo 9, pero se les da una especial protección en el considerando 38 del Reglamento donde se recoge: “Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños.”

Nuestra normativa nacional, por ejemplo, hasta el día 25 de mayo consideraba que la madurez se producía desde los catorce años en adelante. Por tanto, los menores de dieciocho años que tuviesen catorce años o más, podían consentir el tratamiento de sus datos sin necesidad de requerir el consentimiento de quien ejerza la patria potestad o su tutela.

Como bien decimos, esto era así hasta el pasado día 25 de mayo. Con la entrada en vigor del Reglamento europeo este límite de edad se ve afectado por el artículo 8 del mismo. Y se considera que serán legales los tratamientos de datos personales de aquéllos mayores de dieciséis años. El Reglamento deja abierto que sea la legislación nacional la que vaya a determinar esa edad mínima. Pero siempre y cuando no sea nunca inferior a los trece años. En Francia, caso que nos ocupa, se ha establecido en quince años la edad para poder prestar consentimiento autónomo. Según las informaciones recogidas, el consentimiento en ningún caso fue solicitado, ni a los menores ni a sus representantes legales. Además, este consentimiento, debe ser expreso y previo a la recogido de los datos.

Por todo ello, el Club parisino ha infringido la legalidad establecida en el marco de la Unión Europea a través del Reglamento Europeo de Protección de Datos y puede enfrentarse a las sanciones impuestas por la autoridad nacional francesa de Protección de Datos (CNIL) que, por una infracción de estas características, a los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; se establecen unas sanciones de con multas de 20.000.000€ como máximo o, un 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Para la graduación de la sanción se tendrán en cuenta las circunstancias de cada caso individual como la naturaleza, gravedad y duración de la infracción, la intencionalidad o negligencia, las categorías de datos afectadas por la infracción e, incluso, cualquier factor agravante o atenuante.

Como vemos, las sanciones establecidas en el Reglamento son de cantidades del todo disuasorias por su cuantía. Aunque los clubes de fútbol se muevan en una legalidad paralela y sujetos a normativas internas de entes internacionales, no escapan a esta normativa europea. Y, aunque sus presupuestos consistan en cantidades millonarias con gastos anuales que se encuentran fuera de toda lógica, una sanción de estas características, no cabe duda, les afectaría de manera muy grave tanto económica como reputacionalmente. Elementos éstos que debían haber sido tenidos en cuenta por la directiva del Club antes de proceder de forma presuntamente ilegal asumiendo los riesgos inherentes a dicho modo de actuar, riesgos que, además, se habrían podido mitigar con el establecimiento de un Programa de Compliance eficaz.

Pagina de inicio