SECTOR UPDATE
DERECHO DIGITAL & TMT
En este nmero
The Merge: Es importante que la criptorred Ethereum cambie su regla de consenso?
Estudio de la CNMV sobre criptoactivos
Sentencia europea sobre tratamiento de datos personales sensibles
Sancin de la agencia de datos francesa relativa a datos de geolocalizacin
Informe de ENISA sobre ataques de ransomware
Sentencia europea sobre el rgimen espaol de compensacin por copia privada
Publicacin no autorizada de una foto en Instagram
Ley europea de ciberresiliencia
N 8 AGO-SEP 2022
CONTACTO
Pablo Garca Mexa Director de prctica T +34 91 423 4010
Leopoldo Gonzlez-Echenique Socio T +34 91 423 4117
Pablo Garca-Nieto Socio T +34 91 423 4023
Miguel ngel Barroso Asociado senior T +34 91 423 4116
Este documento ha sido elaborado en colaboracin con nuestro departamento de Knowledge & Research. Si est interesado en este update o en otras reas de prctica, por favor, pngase en contacto con nosotros a travs de este email.
Autores
Pablo Garca Mexa, Director de derecho digital, Madrid
Herbert Smith Freehills LLP 2022
El contenido de este documento es meramente informativo y est actualizado a la fecha que consta en el mismo. Parte de la informacin puede provenir de fuentes pblicas y no estar completa, actualizada o ser precisa; la informacin pblica o de terceros que hayamos usado no ha sido verificada por nosotros. Este documento no constituye asesoramiento legal y no debe ser tomado como tal. Debe recabar asesoramiento legal especfico adaptado a sus circunstancias particulares antes de tomar cualquier decisin basada en este documento, y los datos incluidos en este documento deben verificarse con sus circunstancias concretas en el momento que desee utilizarlo o referirse al mismo.
HERBERT SMITH FREEHILLS
SECTOR UPDATE: DERECHO DIGITAL & TMT 3
The Merge: Es importante que la criptorred Ethereum cambie su regla de consenso?
El 15 de septiembre de 2022, la cadena de bloques Ethereum, segunda en importancia en el entorno de los criptoactivos, llevaba a cabo "La Fusin" (The Merge), como se ha denominado el proceso de sustitucin de la llamada "Prueba de trabajo" (Proof of Work, PoW) por la "Prueba de propiedad o de participacin" (Proof of Stake, PoS) como regla de consenso en Ethereum. PoW permite alcanzar consensos en cuanto a la autenticidad de una transaccin en Blockchain a travs de complejas operaciones de computacin, lo que las hace altamente ineficientes, tanto en necesidades tecnolgicas como muy especialmente, en cuanto al correspondiente consumo de energa, que, en el caso de Ethereum, vena siendo equivalente al de todo un pas del tamao de Chile. PoS basa el consenso, en cambio, en combinaciones de azar, peso relativo de las participaciones en la cadena o antigedad en su posesin, lo que permite conseguir la misma seguridad con un 99,9% menos de energa. Las consecuencias de este salto pueden ser inmensas. De entrada, crece desde luego- la presin sobre Bitcoin, la principal cadena de bloques, que sigue basando su seguridad en PoW; una posible exigencia de PoS como regla de consenso por parte de determinados reguladores (algunas voces en el Parlamento Europeo comienzan a propugnarlo), equivaldra a una prohibicin indirecta de Bitcoin en esa jurisdiccin (a menos que esta cadena diera el salto a PoS). Y lo que es mucho ms importante: este paso ha demostrado que Blockchain puede operar con total fiabilidad sin consumos insostenibles de energa, lo que libra a esta tecnologa de su principal lastre y permite augurar que su uso se acelerar hasta generalizarse, no solo en el sector financiero (donde mayor implantacin registra hasta ahora) sino a lo largo de todos los dems sectores productivos.
Estudio de la CNMV sobre criptoactivos
El pasado 5 de julio se publicaba en el BOE, el Informe de Resultados realizado por la Comisin Nacional del Mercado de Valores (CNMV) acerca de la Circular de este mismo organismo sobre publicidad de criptoactivos presentados como objeto de inversin. El estudio finaliza con un apartado de conclusiones relativas a los diferentes grupos de inters del estudio, destacando en tal sentido, que el de los inversores en criptomonedas, responde al perfil de hombres de edad media de en torno a los 40 aos y de estrato de clase media-alta y alta, que
cuentan con un alto grado de conocimiento e informacin sobre los riesgos asociados a la inversin. Estos datos contrastan fuertemente con los de la poblacin general, de entre la que, segn el estudio, casi el 70% posee un conocimiento muy reducido de este tipo de activos (cerca del 25% no ha odo siquiera an de ellos), siendo tambin casi idntico el porcentaje de la poblacin general que tiene pocos o nulos conocimientos sobre la regulacin en esta materia. La conclusin que desde aqu podemos extraer es clara: siendo el riesgo para el inversor el principal problema legal de los criptoactivos, resta an mucho por hacer para que la conciencia acerca de factores como su mayor volatilidad cale suficientemente entre la poblacin general.
Sentencia europea sobre tratamiento de datos personales sensibles
El pasado 1 de agosto, el Tribunal de Justicia de la Unin Europea (TJUE) dict sentencia sobre el alcance del artculo 9 del Reglamento General de Proteccin de Datos (RGPD), relativo a la categora de datos personales sensibles (asunto C-184/20). La cuestin fue planteada por el Tribunal Administrativo Regional de Vilnius, Lituania, en relacin con la compatibilidad del rgimen establecido por la normativa anticorrupcin europea y nacional y el RGPD. El TJUE concluy que la publicacin en una declaracin de intereses privados del nombre del cnyuge de la persona obligada a declarar constituye un tratamiento de categoras especiales de datos personales, en la medida en que puede implicar la comunicacin indirecta de datos efectivamente sensibles (por ejemplo, la orientacin sexual). Para llegar a esta conclusin, el Tribunal reconoce, como no puede ser de otro modo, la relevancia como inters pblico de la transparencia en la lucha contra la corrupcin y los conflictos de intereses, si bien obliga a sopesarla con principios clave de la proteccin de datos como es la limitacin del tratamiento. En este sentido, la sentencia constituye una excelente muestra del agudo conflicto general y tradicionalmente detectado entre la transparencia pblica y la privacidad.
Sancin de la agencia de datos francesa relativa a datos de geolocalizacin
El pasado 7 de julio de 2022, la autoridad francesa de proteccin de datos (CNIL) en colaboracin con las dems autoridades europeas afectadas (las de Alemania, Blgica, Dinamarca, Espaa e Italia), impuso a la empresa UBEEQO International (empresa que se dedica al alquiler de vehculos por perodos de corta duracin), una sancin por importe de 175.000.
SECTOR UPDATE: DERECHO DIGITAL & TMT
HERBERT SMITH FREEHILLS 4
CNIL constat que UBEEQO recopilaba datos del vehculo, una vez alquilado, cada 500m. de marcha si estaba en movimiento, cuando el motor se encenda o se apagaba, y cuando las puertas se abran y cerraban. La conducta constitua una vigilancia casi permanente, lo que redund en incumplimientos del principio de minimizacin de los datos, de la obligacin de definir y respetar un perodo proporcionado de conservacin de datos y de la obligacin de informar a los interesados. Pocas manifestaciones ms evidentes de los riesgos para la privacidad del uso de las tecnologas digitales con fines de supervisin de la conducta de los usuarios, ms intrusivo an en este caso, a la vista de su proyeccin en el mbito fsico merced a la geolocalizacin.
Informe de ENISA sobre ataques de ransomware
El 29 julio de 2022, la Agencia de la Unin Europea para la Ciberseguridad (ENISA) public su informe "Panorama de amenazas de ENISA para los ataques de ransomware", cuyo objeto es aportar nuevos conocimientos sobre la realidad de los incidentes de ransomware a travs del mapeo y estudio de los incidentes desde mayo de 2021 hasta junio de 2022. El informe concluye con dos cuestiones fundamentales: 1) Falta de datos fiables, pues la mayora de las organizaciones no notifican los incidentes y prefieren tratar el problema internamente, a fin de evitar daos de reputacin; esto hace que sea muy difcil entender el problema o incluso conocer con suficiente fiabilidad cuntos casos de ransomware se han dado a da de hoy. 2) Panorama de las amenazas: el ransomware sigue aumentando, los actores de las amenazas estn llevando a cabo ataques indiscriminados, el 58,2% de los datos robados contienen datos personales y dada la criticidad de estos datos, se necesitan acciones coordinadas para contrarrestar esta amenaza. Estudios privados de suficiente fiabilidad corroboran tales conclusiones de ENISA, al afirmar que una parte muy relevante de las organizaciones amenazadas termina pagando el rescate, lo que a su vez viene llevando a muchas que an no lo han sido a ponderar si dicho pago puede acabar siendo la nica salida ante esta amenaza: la propia experiencia de entidades especializadas en resolver este tipo de crisis evidencia sin embargo lo contrario, pues la amenaza se puede reproducir aun despus del pago, mientras que la colateralmente cada vez ms frecuente intimidacin de publicar datos personales secuestrados tiene a menudo lugar en paralelo a dicho pago.
Sentencia europea sobre el rgimen espaol de compensacin por copia privada
El pasado 8 de septiembre, el TJUE dict sentencia en el asunto C-263/21, relativo a la peticin de decisin prejudicial planteada por el Tribunal Supremo espaol, que tiene por objeto la interpretacin de la Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonizacin de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la informacin. Esta peticin se ha presentado en el contexto de un litigio entre la asociacin de empresas TIC (AMETIC), por un lado, y la Administracin del Estado, la Entidad de Gestin de Derechos de los Productores Audiovisuales (EGEDA) y varias asociaciones del mbito de la propiedad intelectual, por otro. AMETIC solicitaba anular el sistema de compensacin por copia privada instaurado por el Real Decreto 1398/2018, de 23 de noviembre, por el que se desarrolla el artculo 25 del texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, en cuanto al sistema de compensacin equitativa por copia privada, a resultas de la sentencia del propio TJUE de 2016 que invalidaba el anterior sistema de compensacin (con cargo a los Presupuestos Generales del Estado), en tanto que incompatible con la mencionada Directiva. El rgimen instaurado en 2018 implanta un sistema de compensacin basado en las entidades de gestin de derechos de autor. El TJUE considera que la gestin de la compensacin por copia privada est comprendida entre las funciones que las entidades de gestin colectiva de derechos de autor pueden llevar a cabo. Eso s, dicha gestin solo ser compatible con la normativa comunitaria si se ejecuta con arreglo a criterios objetivos, dentro de los plazos establecidos y siempre que las correspondientes decisiones sean impugnables ante un rgano independiente. El TJUE tambin valida la facultad de las entidades de gestin de acceder a la informacin que les permita ejercer tales funciones, aun cuando est reflejada en la contabilidad de las empresas afectadas, siempre que las entidades respeten la naturaleza confidencial de dicha informacin.
Publicacin no autorizada de una foto en Instagram
El 19 de septiembre, la Agencia Espaola de Proteccin de Datos (AEPD) public la resolucin de un procedimiento sancionador con origen en la reclamacin de una ciudadana, dirigida contra Sophie Et Voila, S.L., tienda de vestidos de novia, por la publicacin en Instagram de una foto en la
SECTOR UPDATE: FARMA Y SANIDAD
que la reclamante figura vestida con su traje de novia. El pretendido objetivo de la empresa con la publicacin era cobrar el precio del vestido. La AEPD concluy que, a pesar de que la foto en cuestin fue publicada con antelacin en Internet y que el rostro fue pixelado, las imgenes seguan permitiendo identificar a la reclamante. Adems, la AEPD concluye que la falta de pago no legitima la utilizacin de imgenes sin el consentimiento expreso. A todo ello, aade que los datos personales obtenidos de una red social en internet no pueden ser objeto de tratamiento a menos que concurran algunas de las bases de legitimacin previstas en el artculo 6 del RGPD. Con arreglo a estos criterios, la agencia estableci que la empresa incurri en un tratamiento ilcito de datos personales y le impuso una sancin de 10.000. Es muy frecuente que las empresas utilicen para diversos fines (seleccin de personal primordialmente) los datos publicados en redes sociales: esta resolucin prueba que el hecho de que sean pblicamente accesibles no faculta para tratar la informacin personal as obtenida.
Ley europea de ciberresiliencia
El 15 de septiembre, la Comisin Europea present la propuesta de Reglamento (Ley) de Ciberresiliencia Europea para complementar el marco de ciberseguridad de la UE, compuesto por la Directiva NIS, la NIS 2 y la Ley de Ciberseguridad. Esta iniciativa tiene por objeto responder a las necesidades del mercado y proteger a los consumidores de los productos inseguros mediante la introduccin de normas comunes de ciberseguridad para los fabricantes y vendedores de productos digitales tangibles e intangibles y servicios auxiliares. Actualmente se encuentra abierta la fase de consulta pblica ante la Comisin, que los resumir y remitir al Parlamento Europeo y al Consejo para alimentar el debate legislativo previo a su posible aprobacin ulterior. La Ley resulta imprescindible ante la creciente necesidad de seguridad en un entorno digital marcado por la ultraconectividad de dispositivos y todo tipo de objetos, y cuyo consiguiente estndar de seguridad es sencillamente el de su eslabn ms dbil.
HERBERT SMITH FREEHILLS 5
SECTOR UPDATE: FARMA Y SANIDAD
HERBERT SMITH FREEHILLS 1
