Entradas

Uso de materiales originales ajenos en trabajos propios

Copyright

Copyright

¿Qué ocurre cuando se usa trabajos intelectuales propios de materiales originales pertenecientes a terceras personas y susceptibles de ser protegidos como obras por la normativa de propiedad intelectual?

 

Actualmente, entendemos por propiedad intelectual aquella modalidad especial de propiedad que recae sobre las creaciones originales fruto de la inteligencia, del esfuerzo intelectual humano.

 

Por tanto, varias son las notas que podemos extraer de esta definición lato sensu de propiedad intelectual:

 

En primer lugar, que, como de su propia denominación se desprende, la propiedad intelectual es una forma de propiedad. De ahí que el titular de la misma pueda ser perfectamente considerado como propietario, a pesar de que el término usualmente empleado en nuestra sociedad sea el de autor, figura que no encaja más que con una de las modalidades existentes en esta materia.

 

En segundo lugar, el concepto de propiedad intelectual se caracteriza esencialmente por el objeto concreto sobre el que recae, esto es, sobre una obra inmaterial, entendiendo por tal toda creación original intelectual.

 

Por tanto, varios son los requisitos que han de concurrir en una obra para poder ser objeto de propiedad intelectual: ha de ser una creación de un ser humano, ha de ser original y ha de ser una creación intelectual. Reuniendo una obra tales notas, da igual que la misma sea literaria, artística, científica o técnica.

 

Cuando hablamos de que sobre una determinada obra existe o concurre un derecho de propiedad intelectual, realmente estamos haciendo referencia a una pluralidad de derechos o facultades de muy diversos contenido y carácter. A saber:

 

De un lado, y a diferencia de lo que sucede con el derecho de propiedad ordinario que, por ejemplo, recae sobre cualquier finca o inmueble, el derecho de propiedad intelectual supone la atribución a su titular de un haz de facultades englobados en el concepto de derecho moral, esto es, aquellos atribuidos al autor de la obra en cuestión por ese mero hecho y que, por ello mismo, son absolutamente indisponibles, irrenunciables e indisponibles.

 

En concreto, corresponden al autor los siguientes derechos de carácter moral:

 

1º.- Derecho de divulgación.- Decidir si su obra ha de ser divulgada y en qué forma y determinar si tal divulgación ha de hacerse con su nombre, bajo seudónimo o signo, o anónimamente.

2º.- Derecho a la paternidad.- Exigir el reconocimiento de su condición de autor de la obra.

3º.- Derecho a la integridad.- Exigir el respeto a la integridad de la obra e impedir cualquier deformación, modificación, alteración o atentado contra ella que suponga perjuicio a sus legítimos intereses o menoscabo a su reputación.

4º.- Derecho de modificación.- Modificar la obra respetando los derechos adquiridos por terceros y las exigencias de protección de bienes de interés cultural.

5º.- Derecho de retirada o arrepentimiento.- Retirar la obra del comercio, por cambio de sus convicciones intelectuales o morales, previa indemnización de daños y perjuicios a los titulares de derechos de explotación.

6º.- Derecho de acceso.- Al ejemplar raro o único de la obra.

 

De otro lado, y junto a los anteriores, se encuentran los derechos de contenido patrimonial o económico, es decir, los derechos de explotación, que son aquellos que tienen por objeto explotar una obra, sacarle un rendimiento económico.

 

Este tipo de derechos, a diferencia de los anteriores puede ser objeto de disposición por parte de su titular, de ahí que no siempre el autor de una obra sea el titular de los derechos económicos sobre la misma.

 

En concreto, son derechos patrimoniales de propiedad intelectual los siguientes:

 

1º.- Derecho de reproducción.- Fijación directa o indirecta, provisional o permanente, por cualquier medio y en cualquier forma, de toda o parte de una obra, que permita su comunicación o la obtención de copias.

2º.- Derecho de distribución.- Puesta a disposición del público del original o de las copias de la obra, en un soporte tangible, mediante su venta, alquiler, préstamo o de cualquier otra forma.

3º.- Derecho de comunicación pública.- Todo acto por el cual una pluralidad de personas pueda tener acceso a la obra sin una previa distribución de ejemplares a cada una de ellas.

4º.- Derecho de transformación.- Comprende la traducción, adaptación y cualquier otra modificación en su forma de la que derive una obra diferente.

 

Hay que dejar sentado un principio básico y general: el sujeto titular del derecho de reproducción de una obra podrá acceder o negar a cualquier otra persona la posibilidad de que reproducir una obra, ya sea en parte ya sea en su totalidad.

 

Por tanto, cualquier acto de reproducción de una obra deberá contar con el consentimiento del titular del derecho de reproducción. Sin dicha autorización la reproducción será ilícita y podrá dar lugar a que su titular exija el cese de la reproducción, además de una indemnización por los daños y perjuicios sufridos.

 

No obstante, dicho principio general cuenta en nuestro ordenamiento jurídico con importantes excepciones o límites. Dichas excepciones pueden ser de muy diverso tipo:

 

1º.- Citas y reseñas.

2º.- Informaciones y trabajos sobre temas de actualidad.

3º.- Obras situadas en vías públicas.

4º.- Reproducción en determinadas instituciones.

5º.- Parodias.

 

Dentro de dichas excepciones nos detendremos en la referida a las citas e ilustración de la enseñanza en la nueva redacción dada por la citada Ley 23/2006. Dicha excepción permite la inclusión (reproducción) en una obra propia de fragmentos de obras ajenas siempre que se trae de obras ya divulgadas y su inclusión se realice a título de cita o para su análisis, comentario o juicio crítico, y se efectúe con fines docentes o de investigación, en la medida justificada por el fin de esa incorporación e indicando la fuente y el nombre del autor de la obra utilizada.

 

Por tanto, la aplicación de esta excepción requiere de la concurrencia de tres requisitos básicos:

 

a.- Obra ajena divulgada.- La obra ajena de la que se toma parte de su contenido ha de ser, ineludiblemente, una obra ya divulgada.

 

b.- Fin docente y no comercial.- La reproducción de la obra ajena sólo ha de poseer fines educativos o de investigación científica. Relacionado con ello, la reproducción no ha de tener ánimo de lucro, entendiéndose como tal la obtención de un beneficio económico directo o indirecto.

 

c.- Indicación de la fuente y autor.- El beneficiario de la excepción debe incluir en su obra la fuente de la obra ajena empleada y el nombre de su autor, respetando con ello los ya citados derechos morales de paternidad.

 

d.- Constituir citas.- La Ley requiere que se trate de fragmentos de obras, de modo que el centro de gravedad de toda esta excepción ha de encontrarse en el hecho de que el valor del resultado haya de encontrarse en la nueva obra en sí, en lo que no son las citas, cuestión, por tanto, claramente valorativa y a examinar caso por caso.

 

Pues bien, si hasta hace pocos años la situación normal en la que se analizaba el derecho de reproducción de una obra era, básicamente, el escrito en soporte papel (analógico), el amplio e imparable desarrollo de la sociedad de la información ha conllevado que dicha reproducción pase a un entorno más digital en el que las posibilidades de reproducción, comunicación pública, puesta a disposición o transformación se potencian hasta el infinito, lo cual requiere adaptar convenientemente los principios jurídicos tradicionales para adaptarlos a los nuevos tiempos.

 

Veamos el caso concreto de aquellas obras que se ponen a disposición de los internautas por medio de su publicación en websites.

 

Tomando como punto de referencia la noción y el contenido del derecho de propiedad intelectual ya comentado con anterioridad, podemos afirmar que no se encuentran alterados los mismos por el mero hecho de la existencia de internet, de modo que una obra publicada en un website siempre que sea original será susceptible de recibir la protección de nuestra normativa de propiedad intelectual.

 

Del mismo modo, el autor de dicha obra ostentará la titularidad de sus correspondientes derechos morales y patrimoniales, siendo el acto de “colgar” su obra en un sitio web un acto inequívoco de ejercicio de sus derechos.

 

En consecuencia, el hecho de subir a internet determinada obra no puede considerarse per se un acto de dejación de sus derechos de propiedad intelectual.

 

No obstante, ello no es óbice para que el titular de tales derechos pueda, en última instancia, disponer de ellos a favor de un tercero o incluso renunciar a los mismos, siempre que no se traten de derechos morales (irrenunciables, como hemos visto).

 

Finalmente, existen otro tipo de posibilidades de reproducción tales como las licencias Creative Commons, que pueden tener varias posibilidades:

 

1º.- De reconocimiento.- La obra puede ser distribuida, copiada y exhibida por terceras personas si se muestra en los créditos.

 

2º.- No comercial.- El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no sea comercial.

 

3º.- Sin obra derivada.- El material puede ser distribuido, copiado y exhibido para crear un trabajo derivado del original.

 

4º.- Compartir igual.-  La obra puede ser distribuida, copiada y exhibida pero bajo la misma licencia que el material original.

 

Por tanto, la relación entre dichas notas dan lugar a la posibilidad de existencia de 6 licencias Creative Commons: reconocimiento; reconocimiento -sin obra derivada; reconocimiento – sin obra derivada – no comercial; reconocimiento – no comercial; reconocimiento – no comercial – compartir igual; reconocimiento – compartir igual.

 

 

COMPLIANCE – Regulación del tratamiento de datos en los canales de denuncias internos

La nueva LOPD regula el tratamiento de datos personales en los canales de denuncia internos (Corporate Compliance) en su artículo 24 “Sistemas de información de denuncias internas”.

 

Se permite la denuncia anónima, que en la anterior regulación fue puesto en entredicho.

 

Aspecto fundamental es informar tanto a empleados como terceros acerca de la existencia del canal de denuncia.

 

El acceso a los datos contenidos en las denuncias queda limitado al Compliance Officer, ya sea interno o externo. La única excepción es el acceso de otros distinto a aquel, cuando fuera necesario para la adopción de medidas disciplinarias (p.e. RR.HH.) o para la tramitación de los procedimientos judiciales.

 

Deben adoptarse las medidas necesarias para preservar la identidad y confidencialidad de los datos de las personas afectadas.

Servicios de Compliance

En cuanto al plazo de conservación, marca la ley que debe ser por el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados, y como máximo, tres meses desde la denuncia.

 

Si a la denuncia se le da curso, pueden ser conservadas para dejar evidencia del funcionamiento del modelo de prevención de la entidad.

 

Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada.

 

Una vez transcurrido los tres meses máximos, los datos se suprimirán del canal de denuncia, y serán tratados por el órgano al que corresponda la investigación.

 

Nueva LOPD 2018

Ya tenemos la nueva LOPD o Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Y no está exenta de polémica, sobre todo por la modificación que establece la Disposición Final Tercera del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

Para entender este cambio, veamos que nos dicen los Simpson en el siguiente video de Derecho Ficción:

Habrá movida. Cuestión de tiempo.

 

 

Tengo un comercio electrónico. ¿Cómo me afecta el nuevo reglamento sobre geobloqueo?

Con el nuevo Reglamento (UE) 2018/302 en la mano, de aplicación a partir del 3 de diciembre de 2018, se impedirá el bloqueo geográfico de usuarios que compran a través de Internet. Es decir, se acabó con las discriminaciones injustificadas en las ventas online.

 

Por tanto, los eCommerce habrán de modificar las condiciones generales para adaptarlo al geoblocking.

 

Así, los usuarios tendrán libre acceso al contenido del eCommerce, sean de donde sean, salvo las disposiciones legales respecto a los menores, a quienes sí se les puede bloquear el acceso.

 

Con independencia de donde radique el usuario, éste podrá adquirir el producto en las mismas condiciones que el resto de los usuarios. Lo mismo es extensible a la forma de pago, mismas condiciones para todos, sin distinción de nacionalidad, residencia, etc.

 

Bien es cierto que el eCommerce no está obligado a entregar el producto a cualquier persona en cualquier lugar, pero sí que tiene la obligación de tener las mismas condiciones de envío para todo el mundo. Así, puedo no enviar a un país determinado, pero el usuario de dicho país puede establecer una dirección de envío a otro país donde sí envíe. La dirección a efectos de facturación será la del país de origen.

 

Y por último, el comerciante podrá ejercer el derecho de retención del producto, hasta que tenga confirmación del pago de la operación.

 

Llega la Navidad, así que toca adaptarse.

 

Comunicaciones comerciales a raíz del RGPD

proteccion de datosHa pasado más de un mes desde aquel aluvión de emails a resultas del RGPD, y aun hoy siguen preguntándonos sobre la misma cuestión: las comunicaciones comerciales y su implicación con el RGPD.

 

Debemos partir de la definición de comunicación comercial, que es toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

 

¿Qué no es comunicación comercial? Pues todos aquellos datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica.

 

El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD) define el consentimiento en su artículo 4.11 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Es decir, no cabe el consentimiento tácito.

 

Y el considerando 32 del RGPD establece lo siguiente: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.”

 

En consecuencia, los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa.

 

Por otro lado, al tratarse de comunicaciones electrónicas debe tomarse en consideración la aplicación de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico (LSSICE), por ser norma especial, y por tanto, no podrá acudirse en este punto a las previsiones del RGPD. La LSSICE en su artículo 21 establece: “1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

  1. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”.

 

Por tanto, en estos supuestos, la regla general es el consentimiento expreso del interesado, a menos que dichas acciones se refieran a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

 

Por otro lado, si los correos electrónicos que se envíen no tienen el carácter de comerciales, el tratamiento de los datos de las personas físicas (y no jurídicas), se encontrará sujeto a lo previsto en el RGPD.

 

El responsable del tratamiento debe encontrarse legitimado para llevar a cabo dichos tratamientos, encontrando dichas causas legitimadoras en el artículo 6 del RGPD, y entre ellas cabe destacar el interés legítimo, que viene de antiguo.

 

La determinación de si existe un interés legítimo requiere ponderar por el responsable, si dicho interés prevalece sobre los derechos y libertades fundamentales del interesado; en el caso de que el mismo prevaleciese, podría llevar a cabo tales tratamientos, pero en todo caso el interesado podrá oponerse a dichos tratamientos conforme a lo dispuesto en el artículo 21 del RGPD.

 

Cómo cumplir el RGPD en tu web

Ya queda muy poco para el 25 de mayo, fecha en la que será de aplicación el Reglamento General de Protección de Datos, como ya todo el mundo sabe.

 

Los nuevos cambios afectan a la implementación de la normativa en la actividad profesional o empresarial, y también, como no, en la web corporativa.

 

Aun veo formularios de contacto que recopilan datos y que, o simplemente tienen el botón de enviar, si remisión a ninguna información sobre la política de privacidad, o la tienen pero no así ninguna casilla para expresar el consentimiento, o teniendo la casilla la misma está premarcada. Muy mal.

 

La prestación del consentimiento es un punto clave del nuevo reglamento, que debe ser expreso, específico y demostrable.

 

En este punto, y ligado con el principio de calidad, es importante que aquellos que obtuvieron el consentimiento de sus usurarios de manera no expresa, hagan un esfuerzo para cambiar dicha situación. Y que lo puedan demostrar, en caso de inspección.

 

Es mejor perder usuarios y tener una base de calidad, que pasar las noches sin dormir porque nos han llovido mil denuncias que hacen peligrar la continuidad de nuestra entidad.

 

El usuario es dueño y señor de sus datos, como lo era antes, pero ahora más. Y como dueño y señor tiene derechos, y ahora más. Por lo que se debe facilitar al interesado la información de estos derechos, sus derechos, y su efectivo ejercicio, y ayudarle en todo lo posible, incluso en el asesoramiento a interponer una denuncia ante la autoridad de control. En el caso de realizar campañas de marketing, es necesario ofrecer un sistema sencillo de oposición al tratamiento de sus datos para dicha finalidad.

 

La información que se ofrezca a los usuarios debe ser clara y concisa, en un lenguaje que sea entendible por todos. Se acabó ya de tanta palabrería que no entendía ni quien lo había hecho.

 

La AEPD recomienda la información por capas, donde en una primera capa, de un vistazo, puedas tener toda la información básica, y en una segunda capa desarrollar dicha información.

 

La información básica debe contener los siguientes puntos:

  • Identidad del responsable del tratamiento, de su representante y de su DPD (Delegado de Protección de Datos), si los tuviere.
  • Destinatarios de los datos personales.
  • Finalidad.
  • Plazo de conservación.
  • Derechos de los interesados.

 

Por tanto, ya no hay excusa para no leer la información legal, al menos la primera capa que no lleva más de medio minuto en leerlo.

 

La información legal debe estar adaptada al responsable que realiza el tratamiento, por lo que se acabó el copy-paste, que muchos casos hemos visto en los que no se molestaban ni en cambiar los datos de quien los había copiado.

 

¿Recordáis qué nos decía el profesor en el colegio cuando hacíamos un examen? Quien copie, suspende.

Nombramiento de un único Delegado de Protección de Datos para grupo empresarial

Data Protection Officer

Delegado Protección de Datos

El Delegado de Protección de Datos (DPD) es uno de los elementos claves del Reglamento General de Protección de Datos (RGPD), como garante del cumplimiento de la normativa de protección de datos en las organizaciones.

 

Conocido también como DPO (en inglés, Data Protection Officer), al Delegado de Protección de Datos (DPD), que deberá contar con conocimientos especializados del Derecho y la práctica de la protección de datos y que actuará de forma independiente, se le atribuyen una serie de funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar; así como supervisar el cumplimiento del citado RGPD por parte del responsable o encargado.

 

En el RGPD encontramos la regulación del DPD en los artículos 37 y siguientes, tratando el artículo 37 sobre la designación del DPD. Este precepto ha sido interpretado en el documento “Directrices sobre delegados de protección de datos” del Grupo de Trabajo del Artículo 29, que será sustituido por el Comité Europeo de Protección de Datos.

 

Mención especial hay que hacer sobre el apartado 2 del citado artículo 37 del RGPD, que permite a un grupo empresarial designar un único DPD, siempre que éste “sea fácilmente accesible desde cada establecimiento”.

 

Pero, ¿qué debemos entender por “fácilmente accesible”?

 

Por accesibilidad debemos entender a las tareas del DPD como punto de contacto con respecto a los interesados y a la autoridad de control, pero también internamente dentro de la organización, teniendo en cuenta que una de esas tareas es informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben.

 

Por tanto, para asegurarse que el DPD es accesible, con independencia de si es interno o externo, debe constar y estar disponible sus datos de contacto; debe comunicarse eficazmente, lo que incluye la comunicación en el idioma de los interesados o de las autoridades de control con las que deba actuar; y debe estar disponible, ya sea físicamente en las instalaciones de los componentes del grupo, ya sea mediante cualquier medio efectivo de comunicación.

Reglamento General de Protección de Datos

proteccion de datos

El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016, siendo de plena aplicación a partir del 25 de mayo de 2018.

 

¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará a empresas o profesionales establecidos en la Unión Europea, y se amplía también a aquellos que, no estando establecidos en la UE, realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento, teniendo que nombrar en este caso un representante dentro de la UE.

 

¿Qué implica para los ciudadanos que el Reglamento amplíe el ámbito de aplicación territorial?

Una mayor garantía para sus derechos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de Internet.

 

¿Qué nuevas herramientas de control de sus datos poseen los ciudadanos?

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

 

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.

 

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

 

¿A qué edad pueden los menores prestar su consentimiento para el tratamiento de sus datos personales?

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años.

 

Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años.

 

En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

 

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

 

¿Qué implica la responsabilidad activa recogida en el Reglamento?

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa.

 

Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece.

 

El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:

 

– Protección de datos desde el diseño

– Protección de datos por defecto

– Medidas de seguridad

– Mantenimiento de un registro de tratamientos

– Realización de evaluaciones de impacto sobre la protección de datos

– Nombramiento de un delegado de protección de datos

– Notificación de violaciones de la seguridad de los datos

– Promoción de códigos de conducta y esquemas de certificación.

 

¿Supone el Reglamento una mayor carga de obligaciones para las empresas?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

 

En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

 

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

 

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.

 

El consentimiento como pilar fundamental.

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco.

 

¿Deben las empresas revisar sus avisos de privacidad?

Con carácter general, sí.

 

El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos.

 

Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

 

 

DPD Delegado Protección de Datos – Tratamiento a gran escala DPO Data Protection Officer – RGPD

¿Cómo interpretamos el concepto de tratamiento a gran escala a efectos de nombrar un DPD (Delegado de Protección de Datos – DPO Data Protection Officer)?

 

Según el artículo 37.1 del RGPD (Reglamento Europeo de Protección de Datos) el responsable y el encargado del tratamiento designarán un Delegado de Protección de Datos (DPD o DPO en sus siglas inglesas) siempre que:

 

  1. El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo

 

Este precepto ha sido interpretado en el documento “Directrices sobre delegados de protección de datos” del Grupo de Trabajo del Artículo 29, que engloba a todas las autoridades europeas de protección de datos:

 

Así, el Grupo de Trabajo recomienda que se tengan en cuenta los siguientes factores, en particular, a la hora de determinar si el tratamiento se realiza a gran escala:

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente;
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
  • La duración, o permanencia, de la actividad de tratamiento de datos;
  • El alcance geográfico de la actividad de tratamiento.

 

Siguiendo con el citado dictamen, como ejemplos de tratamiento a gran escala cabe citar:

  • El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital;
  • El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte);
  • El tratamiento de datos de geolocalización en tiempo real de clientes de una cadena internacional de comida rápida con fines estadísticos por parte de un responsable del tratamiento especializado en la prestación de estos servicios;
  • El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros o de un banco;
  • El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda;
  • El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o

 

Como casos que no constituyen tratamiento a gran escala cabe señalar:

  • El tratamiento de datos de pacientes por parte de un solo médico;
  • El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un

 

Por último, el proyecto de Ley Orgánica de Protección de Datos que se está tramitando, contempla en su artículo 34.1 los siguientes supuestos de nombramiento de Delegado de Protección de Datos (DPD/DPO):

 

Artículo 34. Designación de un Delegado de Protección de Datos.

  1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
  2. Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios
  3. Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y
  4. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones, cuando traten habitual y sistemáticamente datos personales a gran
  5. Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del
  6. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  7. Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación
  8. Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
  9. Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
  10. Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de
  11. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
  12. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  13. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  14. Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  15. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
  16. Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

 

Venta a distancia de medicamentos de uso humano no sujetos a prescripción médica

Ha llovido ya desde que se aprobara el Real Decreto 870/2013, de 8 de noviembre, por el que se regula la venta a distancia al público, a través de sitios web, de medicamentos de uso humano no sujetos a prescripción médica. Sin embargo, sólo unos pocos profesionales farmacéuticos se han lanzado a la venta a través de Internet. Pero para aquellos que se animen a hacerlo, le comentamos los requisitos necesarios para hacerlo.

 

Para empezar, es necesario la comunicación a la autoridad competente al menos 15 días antes inicio aportando los siguientes datos:

  • Nombre farmacéutico
  • Dirección farmacia
  • Fecha comienzo
  • Dirección web
  • Información del procedimiento de envío, así como tiempos de entregas.
  • Información sobre no disponibilidad del servicio (en caso de vacaciones y periodo de cierre de la oficina de farmacia).

 

Toda esta información debe constar de forma estática en la página web de la farmacia y siempre “a mano” del comprador.

 

Por otro lado, se deben recabar los siguientes datos del comprador:

  • Nombre y apellidos
  • Teléfono
  • Email
  • Dirección postal

 

El profesional farmacéutico que dispense, si lo considera oportuno, puede ponerse en contacto con el comprador para facilitarle la forma de administración más correcta.

 

Uno de los puntos más complicado de la venta online es el correspondiente al transporte, pues el mismo debe garantizar que en el trayecto se ha conservado con todas las garantías. Cada vez es más frecuente ver a empresas de transportes especializadas en este sector, garantizando que el medicamento no sufre ningún tipo de alteración en cuanto a su calidad, por lo que parece que se va soslayando el problema, si bien la responsabilidad, en todo caso, será del profesional sanitario.

 

Una vez realizada la compra no es posible hacer devolución de los medicamentos adquiridos vía online, salvo, claro está, que no se corresponda que lo solicitado, esté defectuoso o se haya roto la cadena en el transporte.

 

Por último, en el mismo sitio web no se puede vender otros productos que no sean medicamentos de uso humano no sujetos a prescripción médica, a no ser que distingamos ambas actividades.