Entradas

EL RGPD en Portugal: LEGAL THINGS participa con una ponencia en una jornada organizada por LCG

El Reglamento UE 2016/679 General de Protección de Datos (RGPD) es de directa aplicación en todos los estados miembros de la Unión Europea.

No todos los estados contaban con el mismo nivel de madurez en el cumplimiento de la normativa de protección de datos. Sin embargo, el RGPD ha obligado a todos los países a coger el mismo ritmo. O al menos a intentarlo.

Portugal no ha sido, hasta la fecha, uno de los estados punteros en cumplimiento pero el RGPD está obligando a que grandes y pequeñas empresas se adapten. También las propias autoridades están realizando un enorme esfuerzo por ofrecer soluciones y estructuras acordes con el RGPD.

En este marco, el pasado verano, nuestro despacho fue invitado por nuestros colegas portugueses especialistas en protección de datos LCG . Tuvimos la oportunidad de compartir con un nutrido auditorio nuestra experiencia y visión de cumplimiento como país vecino. Intentamos transmitir todo lo que se ha hecho y todo lo que se está haciendo y se va a hacer para que el cumplimiento del RGPD sea una realidad a todos los niveles. La jornada titulada “Desafios na Implementaçao do RGPD” contó con expertos nacionales de la empresa, la Universidad y de la propia Administración para abordar precisamente los desafíos que la nueva legislación nos ha planteado a todos los ciudadanos de la Unión Europea.

Particularmente nos llamó la atención el hecho de que exista una gran diferencia de cumplimiento entre las grandes compañías y corporaciones y las pymes y los profesionales. Estos últimos tendrán que hacer un doble esfuerzo: reflexionar sobre la privacidad y cumplir con el nuevo RGPD en Portugal. La Autoridad de Control de Protección de Datos en Portugal (Comissão Nacional de Protecção de Dados), ya está trabajando en acercar el RGPD a estos colectivos.

Evidentemente ya ha habilitado los canales obligatorios de notificar tanto los Delegados de Protección de Datos como las violaciones de seguridad.

 

Octubre 2018

 

LEGAL THINGS ABOGADOS imparte formación sobre el RGPD en la Cámara de Comercio de Torrelavega

Seguimos con nuestra apuesta por acercar el RGPD y la protección de datos a las empresas y profesionales explicando y “aterrizando” los conceptos para hacer posible su aplicación práctica

La nueva legislación de protección de datos –RGPD– necesita ser explicada y acercada a las empresas y profesionales que tratan datos personales.

El Reglamento UE 2016/679 General de Protección de Datos o RGPD entró en pleno funcionamiento el pasado 25 de mayo de 2018. Todos los que manejen datos de carácter personal están obligados a cumplirlo.

LEGAL THINGS ABOGADOS ha sido invitado  como despacho especializado, a impartir formación práctica sobre el RGPD en la Cámara de Comercio de Torrelavega en colaboración con SODERCAN.

Con un importante éxito de asistencia y presentada por el Director de la Cámara, durante una mañana nuestra Directora Paz Martín ha expuesto las nuevas obligaciones, los nuevos principios y los derechos que la nueva normativa (el RGPD) conlleva.

Los asistentes han actuado de forma participativa y muy interesados por la materia y se han repasado los aspectos más importantes que afectan sobre todo a empresas y profesionales de Torrelavega:

  • La nueva cultura de la privacidad y de la protección de la información.
  • La importancia de abordar la protección de los datos desde una perspectiva global: jurídica, técnica y organizativa.
  • La necesidad de involucrar a todas las áreas de negocio que manejen datos.
  • La formación del personal.
  • El enfoque desde el riesgo en la adopción de medidas de seguridad.
  • La transparencia en la información.

Estas iniciativas ponen de manifiesto el interés de la empresa cántabra en el cumplimiento y la importancia de acercan normas de esta envergadura al día a día de las actividades de las empresas.

Exponemos el programa y recordamos a nuestros seguidores que la formación a los empleados es una obligación que cualquier sistema de seguridad de la información establece para que el cumplimiento sea real y efectivo:

1.- Introducción a la protección de datos

  • El porqué de una nueva legislación.
  • Diferencias con la normativa anterior.
  • Conceptos básicos

2.- El nuevo Reglamento General de Protección de Datos

  • Principios
  • Derechos
  • Obligaciones

3.- Las obligaciones que todo empresario tiene en materia de protección de datos

  • Registro de actividades de tratamiento
  • Cómo atender los derechos
  • Deber de Información
  • Consentimientos y bases jurídicas de los tratamientos
  • Análisis de riesgos y evaluación de impacto
  • Relaciones con terceros
  • Brechas de seguridad
  • Qué es un Delegado de Protección de Datos

4.- Herramientas y concienciación en materia de seguridad

  • Medidas de seguridad
  • Situaciones de riesgo
  • Qué hacer si…
  • Herramientas, guías y referencias

 

Septiembre de 2018

 

Cómo analizar los riesgos para cumplir con el RGPD

Todas las empresas (también las pequeñas) deben enfocar el cumplimiento de la privacidad desde el riesgo.

 

Se ha generado una pequeña confusión entre la obligación de hacer análisis de riegos y la obligación de hacer una evaluación de impacto.

Son dos conceptos diferentes: el análisis de riesgos será obligatorio en todo caso. La evaluación de impacto sólo será necesaria en determinados casos.

La Agencia Española de Protección de Datos acaba de publicar dos guías que forman parte del paquete de “ayuda” a los Responsables y Encargados de tratamiento, es decir a empresas, profesionales e instituciones (públicas o privadas) que realizan tratamiento de datos personales y deben cumplir con el Reglamento UE 2016/679 General de Protección de Datos (RGPD).

 

Las guías ayudan, aclaran algunos conceptos y pueden servir como herramientas metodológicas muy muy simples (al menos la de análisis de riesgos) para realizar el análisis de riesgos que en principio todo Responsable de tratamiento debería hacer en cumplimiento de dos principios acuñados por el RGPD: el de accountability o responsabilidad proactiva y el de privacidad desde el diseño y por defecto. Nos ofrece algunas pistas que nos pueden resultar útiles para abordar el cumplimiento del RGPD.

 

En efecto, el RGPD se refiere en diferentes artículos de su texto al riesgo, a la adopción de medidas de seguridad teniendo en cuenta el riesgo y en definitiva a un enfoque completamente distinto al que conocíamos hasta ahora. Enfoque en el que las exigencias de seguridad nos igualaban a todos “por arriba” sin tener en cuenta las circunstancias de una pyme o de una compleja multinacional.

 

Es evidente que hoy en día ninguna actividad se entiende sin la gestión de riesgos: económicos, patrimoniales, de negocio… La protección de datos no podía abstraerse a este escenario y exige que los responsables de tratamiento sean conscientes de lo que tienen entre manos para de esta forma actuar en uno u otro sentido.

 

Para gestionar riesgos (cualesquiera) hay que seguir tres pasos diferenciados:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Digamos que este es el esquema básico de cualquier tratamiento de riesgo.

En materia de protección de Datos podríamos movernos en los dimensiones:

A) Los riesgos asociados a la protección de la información

B) Los riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.

A) Riesgos asociados a la protección de la información

 

Todos los esquemas de seguridad de la información suelen identificar las amenazas en tres planos:

  • La confidencialidad
  • La integridad
  • La disponibilidad

 

Es decir, pueden existir amenazas que afecten a la confidencialidad, a la integridad y a la disponibilidad independientemente o a la vez pero en definitiva habrá que adoptar aquellas medidas necesarias para garantizarlas.

 

Un simple ejemplo: una medida que garantiza confidencialidad será, por ejemplo, un acuerdo de confidencialidad que firma un trabajador pero también una política correcta de accesos.

 

La integridad se verá protegida con esa misma política de accesos y de roles en la organización para evitar que los datos sean alterados (imaginemos lo importante que puede ser que en un historial médico no se alteren por ejemplo los miligramos de un medicamento que se le está dispensando a un paciente de un hospital). Las medidas de seguridad que se adopten deberán garantizar el mínimo privilegio, el registro de los mismos y la trazabilidad de los accesos para que se deje constancia, en cada momento, de quién accede a qué.

La disponibilidad implica que el caso de un evento que implique una destrucción imaginemos de los datos, podamos garantizar que el negocio continúa (de ahí la importancia de las copias de seguridad) en el menor tiempo posible. En algunos negocios (cada vez menos) la copia semanal puede ser suficiente pero en la mayoría la copia diaria es imprescindible. También las pruebas periódicas de restauración son importantes no sea que descubramos que las copias de seguridad no se están haciendo correctamente…

 

Y para identificar esta amenazas tenemos que:

  • Conocer el negocio: volviendo al ejemplo no es lo mismo un hospital que una pequeña clínica
  • Conocer el sector
  • Conocer las medidas de seguridad

 

Las amenazas serán esas situaciones, eventos o hechos que puedan afectar a esos tres parámetros y de ellas se derivará un riesgo (con una valoración en términos de probabilidad e impacto) que habrá que tratar. Ni más ni menos.

 

Son especialmente útiles en este sentido los estándares de seguridad de la información (Esquema Nacional de Seguridad, ISO  27001 y similares) que permiten analizar y abordar esta parte de los riesgos desde el rigor y la objetividad.

B) Existirán por otro lado, los riesgos asociados al cumplimiento de requisitos regulatorios relacionados con los derechos y libertades de los interesados.

 

La propia Agencia sugiere dos amenazas en este sentido:

  • Procedimientos de satisfacción de derechos
  • Garantías de los principios:
    • Ausencia de legitimidad para el tratamiento de los datos personales
    • Tratamiento ilícito de los datos personales

 

Pero estas dos amenazas se han de traducir en un haz de cuestiones que todo responsable de tratamiento debe analizar:

 

  • Cómo se recogen los consentimientos
  • Cuáles son las bases jurídicas del tratamiento
  • Sus relaciones con terceros
  • Cómo se informa
  • Cómo se contesta a los derechos
  • Cómo se garantizan los principios recogidos en el artículo 5 RGPD

El análisis de riesgos puede ser tan simple o complejo como se quiera pero desde luego enfocado a un negocio concreto, a unas circunstancias concretas que cada asesor, auditor, responsable o DPO debe tener en cuenta.

 

Y ojo, que el análisis de riesgos puede ser una foto fija pero el tratamiento de los mismos no. Sólo en un proceso de comprobación, verificación y evaluación continua se conseguirá minimizar los riesgos y abordarlos de la forma más adecuada a cada organización.

 

Paz Martín

 

Abogado

CDPP

9 de marzo de 2018

 

 

 

 

Las siete cosas que toda pyme debe hacer para cumplir con el nuevo Reglamento de Protección de Datos (RGPD)

Quedan justo tres meses para que el Reglamento UE 2016/679 General de Protección de Datos (RGPD) entre en pleno funcionamiento. El 25 de mayo culmina el proceso que comenzó hace unos años… y también comienza todo: un nuevo cumplimiento, un nuevo enfoque en la privacidad, un nuevo reto para las empresas cualquiera que sea su tamaño.

Las estadísticas dicen que la mayoría de las empresas todavía no han hecho nada al respecto, ni tan siquiera pensar sobre ello. Muchas por desconocimiento, otras porque creen que el RGPD no les afecta y otras muchas porque necesitan todavía ese “tiempo emocional” para asumir que nos encontramos ante un importante cambio, sobre todo, de mentalidad.

Pero elucubraciones aparte, hay siete cosas que sí o sí toda pyme debe hacer sin mucha dilación, aquí las resumimos. Vaya por delante que las obligaciones no son iguales para todos pues el enfoque del RGPD se basa en el riesgo y desde luego no debe abordarse igual una pequeña compañía B2B que una pyme que realiza análisis de perfiles o que trata con datos de salud (ahora incluidas en las llamadas “categorías especiales de datos”). No vamos a describir todas las obligaciones del RGPD pero sí las fundamentales y comunes a prácticamente todas las compañías:

1.- Confeccionar un registro de actividades de tratamiento. El registro se convierte en el verdadero manual interno de los tratamientos de la empresa: debe incluir la descripción de los tratamientos, los fines, los destinatarios, los plazos de supresión y las medidas técnicas y organizativas… ¿no nos recuerda mucho al hasta ahora obligatorio Documento de Seguridad? Lo de menos es cómo lo llamemos, lo importante es tener recogida esta información y todavía más importante, cumplir su contenido.

2.- Crear los procedimientos para satisfacer los nuevos derechos (portabilidad y limitación) además de los ya existentes de acceso, rectificación, oposición y supresión.

3.- Crear un procedimiento de detección y notificación de brechas de seguridad pues ahora las brechas deberán comunicarse a la Agencia Española de Protección de Datos.

4.- Revisar la base que legitima el tratamiento de los datos: en unos casos será el consentimiento (eso sí explícito y por finalidades), en otras la ejecución de un contrato, en otras el cumplimiento de una obligación legal y en otras, el interés legítimo. Habrá que tener claro cada caso.

5.- Actualizar las cláusulas de información a la hora de recoger datos: ahora hay que informar de más cosas. Tan sencillo como modificarlas.

6.- Actualizar los contratos de encargo de tratamiento pues ya no nos podemos despachar con aquellas sencillas cláusulas del artículo 12 de la LOPD… Ahora toca describir las actividades de tratamiento que encargamos al tercero y las medidas que le exigimos…

7.- Reflexionar sobre si necesitamos un Delegado de Protección de Datos (DPO) o es aconsejable o si simplemente es suficiente con tener un responsable que supervise el cumplimiento de la privacidad.

No olvidemos que el principio que destila todo el Reglamento es el de “accountability”, responsabilidad proactiva. Debemos hacer las cosas bien, ser capaces de demostrarlo y buscar la mejora continua en las cuestiones de privacidad.

Siete puntos que si mínimamente se abordan, se puede decir que empezamos a alinearnos con el RGPD… Pero ojo, hay otras cuestiones: evaluaciones de impacto, procedimientos transfronterizos… Seguiremos abordándolas. De momento, manos a la obra. Aquí estamos los profesionales para ayudar en este “tránsito”.

25 de febrero de 2018
Paz Martín

El uso de una marca ajena como keyword ¿es infracción?

Las empresas siguen mostrando interés por estas conductas de uso de marcas ajenas como adwords que pueden ser o no ilegales en función de las circunstancias.

Según el perfil del lector que tenga curiosidad por el presente post, el primer pensamiento al leer el titular puede ser: por supuesto que no. Google lo permite y además es legal.

Y de hecho es así: utilizar una marca ajena como palabra clave de búsqueda en un buscador no constituye, en principio, infracción alguna. Con independencia de lo poco “elegante” de la práctica. Sin embargo, la cuestión no es tan sencilla.

Empecemos por el principio: Todos luchamos por posicionar nuestras webs en los primeros lugares de los buscadores, en particular Google. Google tiene además su sistema de anuncios, “Adwords”, a través del cuál una empresa puede anunciarse de forma que cada vez que alguien busque, por ejemplo, la palabra “ABOGADOS”, aparezca nuestro anuncio (aunque no es el caso, podría ser, LEGAL THINGS ABOGADOS). La cuestión estará en que la palabra “abogados” puede estar siendo utilizada por muchos otros despachos y el que nuestro anuncio aparezca en primer lugar puede costar bastante.

Pero ¿y si decidimos elegir la marca o el nombre de un despacho de nuestra competencia? Es decir, que cada vez que alguien busque por “MICOMPETENCIA” aparezca mi anuncio. Aunque a algunos nos sigue pareciendo una estrategia muy agresiva comercialmente y cercana a las prácticas desleales, esta es una práctica completamente lícita y ha sido abordada por los Tribunales.

Una de las primeras Sentencias al respecto la dictó el Tribunal de Justicia de la Unión Europea en el caso Marks & Spencer vs. Interflora (caso 323/09).

Esta Sentencia es la que ha marcado el criterio a seguir en estos casos. Lo que en realidad establece es que sólo existirá infracción cuando exista confusión en cuanto al origen de la oferta y en tal sentido, citamos literalmente, dice:
El titular de una marca está facultado para prohibir que un competidor haga publicidad –a partir de una palabra clave idéntica a esa marca que el citado competidor seleccionó en el marco de un servicio de referenciación en Internet sin el consentimiento del titular– de productos o servicios idénticos a aquéllos para los que la marca esté registrada, cuando dicho uso pueda menoscabar una de las funciones de la marca.

Este uso:

a) menoscaba la función de indicación del origen de la marca cuando la publicidad mostrada a partir de la palabra clave no permite o permite difícilmente al consumidor normalmente informado y razonablemente atento determinar si los productos o servicios designados por el anuncio proceden del titular de la marca o de una empresa vinculada económicamente a éste o si, por el contrario, proceden de un tercero;

b) en el marco de un servicio de referenciación de las características del que se trata en el litigio principal, no menoscaba la función publicitaria de la marca, y;

c) menoscaba la función de inversión de la marca si supone un obstáculo esencial para que dicho titular emplee su marca para adquirir o conservar una reputación que permita atraer a los consumidores y ganarse una clientela fiel.”
Es decir, estaríamos ante una infracción cuando el consumidor no sea capaz de saber si la oferta del anuncio está, de alguna forma vinculada con el titular de la marca (cosa que puede suceder con las páginas que ofrecen falsificaciones o réplicas de una marca original).

En cambio, dice la propia Sentencia: cuando la publicidad que aparezca en Internet a partir de una palabra clave correspondiente a una marca de renombre proponga una alternativa frente a los productos o a los servicios del titular de la marca de renombre sin ofrecer una simple imitación de los productos o de los servicios del titular de dicha marca, sin causar una dilución o una difuminación y sin menoscabar por lo demás las funciones de la mencionada marca, procede concluir que este uso constituye, en principio, una competencia sana y leal en el sector de los productos o de los servicios de que se trate y, por lo tanto, se realiza con «justa causa» en el sentido de los artículos 5, apartado 2, de la Directiva 89/104 y 9, apartado 1, letra c), del Reglamento nº 40/94.

Puede no gustarnos la conclusión que además, hasta ahora, no ha sido contradicha por ningún otro tribunal, pero la realidad es que si no hay “dilución o difuminación” de la marca estamos ante una competencia “sana y leal”.

Si exploramos en la jurisprudencia en otros países de nuestro entorno más allá de las fronteras de la Unión Europea, el criterio es bastante similar y los tribunales difícilmente restringen el uso de la marca ajena si queda claro que el anuncio resultado de la búsqueda es una “alternativa” a los productos o servicios buscados.

En el mismo sentido se ha pronunciado sin modificar un ápice el criterio, nuestro Tribunal Supremo en diferentes Sentencias, las más conocidas la del caso MASALTOS y la del caso ORONA que aunque con diferentes aproximaciones abordan el mismo tema. La Sentencia del Tribunal Supremo 620/2016 de 26 de febrero (caso MASALTOS), el alto Tribunal afirma:

la sentencia sí repara en dicha circunstancia, al afirmar que la ausencia de tales términos en el anuncio indica claramente a los consumidores que se trata de empresas distintas y competidoras de “Maherlo”. Respetándose así la función de indicación del origen de la marca a que hemos hecho referencia cuando hemos compendiado los pronunciamientos del TJUE sobre el uso de marcas en buscadores de internet. Es decir, en los términos de la sentencia “Interflora”, antes transcritos, no hay menoscabo de la función de la indicación del origen de la marca.

Por su parte, la Sentencia del Tribunal Supremo 541/2017 de 15 de febrero (caso ORONA), aunque aborda la perspectiva desde la posible deslealtad de la práctica desestimando la acción en aplicación de la doctrina de complementariedad relativa, se pronuncia al respecto del uso de las marcas ajenas en el mismo sentido.
Otras Sentencias ya firmes han admitido, en la línea jurisprudencial marcada, que existe infracción al no superarse esa inexistencia de confunsión en el origen empresarial. Nos referimos, entre otras, a la Sentencia del Juzgado de lo Mercantil num. 3 de Valencia de 30 de junio de 2016 (248/2016) en un conflicto por esta materia entre las compañías GEDESCO y FICOMSA.

Como conclusión debemos añadir que si bien la práctica habitual determina que si aparece la marca ajena en el texto del propio anuncio estamos ante una infracción y si no aparece, no; esta afirmación no puede ni debe ser taxativa al encontrarnos en situaciones en las que no apareciendo la marca ajena en el propio texto del anuncio, el origen empresarial es dudoso y ese usuario medio puede no tener claro dónde está entrando…
Muchas dudas se nos plantean: especialmente si todos los usuarios de los buscadores son “razonablemente atentos” o si este planteamiento favorece a las marcas menos conocidas que a las notorias y renombradas…

Si alguien se decide por esta práctica, no está de más consultar previamente con un abogado (además de con los correspondientes expertos en marketing digital) para determinar si la elección de las marcas de la competencia no le va a salir caro discutiendo su estrategia digital en los tribunales por una posible infracción de marca.

Paz Martín

Febrero 2018