Noviembre 22, 2017

Los Reyes Magos y el (nuevo) Reglamento de Protección de Datos (RGPD)

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:07

Post recomendado exclusivamente para mayores o menores informados.

Magia e ilusión en estado puro, pero antes que los Reyes Magos (ciudadanos extracomunitarios) le toca otro personaje del mismo gremio, vecino nuestro y residente comunitario suponemos que en alguna urbanización de la costa: San Nicolás (Sinterklaas en los Países Bajos), que no sabemos si cobra el PER el resto del año, pero que sólo trabaja el 6 de diciembre (poco que ver con el Papa Noel  o Santa Claus que llega la noche del 24 de diciembre).

Sinterklaas es como nuestros Reyes Magos, sólo que en lugar de venir de Oriente en camello dice la tradición que es un obispo mayor de barba larga, vestido de fiesta mayor, al que nadie debería extrañarse de ver en la planta de juguetes de El Corte Inglés o similar y que va desde España en barco a Holanda y Bélgica a llevar regalos y dulces naranjas… aunque en este año pudiera pensarse que no deben haber sido muy buenos los niños por esos lares cuando Zwartemont(1),, por la cara que se les ha quedado, parece haberles llevado más limones que dulces naranjas a los belgas.

Sinterklaas y el RGPD

Pero, como este es un blog jurídico y como tal vamos a tratarlo, pasamos a plantear de forma concisa los elementos claves de la situación jurídica de Sinterklaas a la luz del RGPD :

  • Como hemos visto, Sinterklaas es residente en España (residente comunitario)
  • Sinterklaas es mágico y dispone de datos para saber qué niños se han portado bien y cuáles no… un fichero organizado de datos en toda regla.
  • Los datos de que dispone son de niños comunitarios (Holanda y Bélgica entre otros), por lo que las exigencias no serían mayores que si los fueran españoles.
  • Evidentemente  es una cantidad masiva de datos, con lo cual entendemos que dispondrá de un Delegado de Protección de Datos.
  • Como  la actividad de Sinterklaas se inicia con una acción activa del interesado pidiendo regalos por carta, eso supone obviamente una autorización expresa.
  • Pero -salvo algún despistado- los firmantes son menores de 13 años, así que sus padres deberán firmar su autorización a la tenencia de los datos(2).
  • En el fichero figura cómo se han portado cada niño (son datos de comportamiento íntimo y de lo más personal) y sabe lo que quieren de regalo (hábitos de consumo)
  • Pero es que además esos menores están en otro país de la UE.
  • Podemos suponer que aunque sea muy estacional, dado el volumen de trabajo dispondrá de más de 250 ayudantes, así que deberá mantener un “Registro de Actividades”.
  • Normalmente las comunicaciones con Sinterklaas o los Reyes se realizan por correo postal, así que como no hay otra forma, con los regalos deberíamos encontrar por la mañana un documento en que figure toda la información que ya contamos antes en otro post.

Y al margen de esto también cabe preguntarse,  ¿tendrá Sinterklaas, como residente y con los servidores en España, el fichero inscrito ante la AGPD?… al menos hasta el 25 de mayo que en principio dejará de ser obligatorio, debería.

¿¡Y qué pasa con los Reyes Magos!?

Los Reyes Magos disponen de los mismos datos y hacen el mismo uso de los mismos planteado para Sinterklaas, pero como resulta evidente, lo tienen más difícil y el uso y ‘manejo’ de esos datos tendrá muchas más exigencias.

Los Reyes Magos lo son de Oriente y, por lo tanto, son ciudadanos extracomunitarios.  No sabemos a día de hoy si como jefes de Estado tendrán pasaporte diplomático, si FRONTEX les permitirá llegar este año, si habrán conseguido ya el preceptivo visado o si habrán hecho la los trámites aduaneros necesarios para los regalos. Pero como este post va de protección de datos y no de extranjería o fiscalidad, dejaremos de lado este complicado tema y pasemos a lo que nos ocupa.

Los datos sobre los niños y su bondad o maldad a lo largo del año se recaban aquí por un -o tres en este caso- no residente/s. Y, como hemos visto,  posteriormente son trasladado a su domicilio social en territorio extracomunitario. Ello implica una transferencia internacional de datos que exigiría:

  • Normas corporativas vinculantes para responsables y Encargados del tratamiento
  • Aceptación expresa para la transferencia por parte del mayor de 13 años(2) o sus tutores legales .
  • Autorización expresa por parte de la AGPD.
  • Cláusulas contractuales para el tratamiento de datos y los correspondientes garantías en Oriente que deberán ofrecer los Reyes magos debidamente firmadas.

Los Reyes magos sólo podrían transmitir los datos sin autorización previa al lugar de su domicilio social sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos, imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados…. Algo para lo que no parece que se adapte a la norma por mucho que forcemos la interpretación alegando los únicos interesados son los niños (muy limitado) y que es temporal hasta que cuando crezcan descubran “LA VERDAD” de los Reyes Magos y Sinterklaas.

Magos Intenational Network

Me preguntaba hace ya un tiempo una persona profundamente preocupada por el tema: “¿¡Sinterklaas se ‘chiva’ a los Reyes magos!?”. Y yo pienso: si Sinterklaas se ‘chiva‘, es una transferencia extracomunitaria de datos.

Si los datos son comunicados por Sinterklaas porque es un chivato, entonces estamos ante una transferencia extracomunitaria de datos a un tercero fuera de la UE en un lugar que suponemos -viendo en las noticias  como está por el ‘Oriente’-  que no es un “lugar que ofrezca un nivel de protección adecuado” de acuerdo con la Comisión Europea y que por lo tanto exigirá a Sinterklaas obtener los mismos datos que hemos visto en el punto anterior que se exigirían a los Reyes magos y, además la notificación expresa a los niños mayores de 13 años(2) o a sus tutores legales, el detalle de los términos concretos de su acuerdo con los Reyes Magos (medidas de seguridad a adoptar en Oriente, plazo de cesión, uso de los datos, etc. etc., etc )

Mantener la ilusión: nota para interesados

Para caso de que lleguen a leer esto a pesar de la elevada carga de trabajo que deben tener en estas fechas, queremos aprovechar este post para instar encarecidamente tanto a Sinterklaas como a los Reyes Magos  que cumplan todas las obligaciones legales expuestas anteriormente. Con el nuevo RGPD y la nueva LOPD la Agencia de Protección de Datos mantiene sus facultades para aplicar unas sanciones para las que, a la espera del desarrollo reglamentario, ve reforzadas su discrecionalidad, su capacidad para graduarlas…. y su cuantía:

  • Para algunas infracciones, el importe de mayor cuantía entre: hasta 10.000.000,00€ o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior
  • Para otras infracciones consideradas más graves, el importe de mayor cuantía entre: hasta 20.000.000,00€ o hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior
  • Y esta última sanción de igual importe por no atender las resoluciones de la  AGPD

Para mantener la ilusión de niños y mayores, les rogamos desde aquí que cumplan ustedes con las obligaciones, no vaya a ser que el presupuesto se resienta por el paso de la AGPD y la magia los Reyes la tengan que usar de verdad para que los regalos tras la publicación del RGPD no se limiten a los excedentes de carbón del cierre de las térmicas o como mucho a juguetes de los chinos.

Deseamos desde aquí que tengamos todos un año lleno de ilusión y magia -a ser posible no financiera-.

.

.

(1) ‘Zwarte Pieten’ son los pajes ayudantes de Sinterklaas(San Nicolás, nada que ver con Papa Noel  o Santa Claus que llega en 24 de diciembre)

(2) La edad mínima fijada por el RGPD  para dar validez para prestar consentimiento menores es de 16 años, aunque autoriza a los estados a fijar una edad menor que en ningún caso se a inferior a 13 años. La edad actual en la LOPD es de 14 años, pero el proyecto de ley parece que lo adelanta hasta los 13 años que fija el RGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 8, 2017

Fin de la comunicación de ficheros a la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — legisconsulting @ 10:40

El 25 de mayo acaba la obligación de notificar a la AGPD la existencia de ficheros que contengan datos personales… salvo que la nueva Ley no llegue a tiempo para derogar la que existe o que el proyecto cambie

El nuevo Reglamento de Protección de Datos incorpora importantes novedades, pero tal vez una a las que se les ha dado menos publicidad es a la cuestión de inscripción de ficheros que hasta ahora se realizaba mediante el famoso formulario NOTA.

Nueva obligación de mantener un “Registro de Actividades”

Para adaptarse a ese Reglamento, se está tramitando una nueva Ley de Protección de Datos que derogará a la  actualmente vigente y que no establece la obligación de inscribir ficheros pero establece la obligación de mantener un Registro de las actividades de Tratamiento de datos personales:

“Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.”

Ese Registro, que deberá conservarse por escrito inclusive en formato electrónico, deberá contener en todo caso:

a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

b) los fines del tratamiento;

c) una descripción de las categorías de interesados y de las categorías de datos personales;

d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;

e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identi­ficación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;

f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;

g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.

Obligatorio, pero no para la mayoría

No tendrá obligación de mantener este registro quien emplee a menos de 250 personas, a menos que el tratamiento o que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales enumerados en lista tasada:

  • el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos,
  • datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud o
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

En resumen, si tiene menos de 250 empleados y el fichero no contiene datos especialmente protegidos, se elimina la obligación formal de notificar la tenencia de los ficheros y no se sustituye por ninguna… salvo que la ley finalmente no se apruebe tal como figura en el anteproyecto o -más probable- que la nueva ley no se llegue a aprobar a tiempo.

En caso de que la ley no se publique antes del 25 de mayo de 2018, no se habrá derogado la ley hoy vigente y se mantendrá la obligación de pasar por NOTA. Obligación a la que se sumará a quien corresponda la obligación de mantener el Registro de Actividades que establece el Reglamento UE que sí estará vigente.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Mayo 12, 2017

UBER y la neutralidad de las plataformas

Archivado en: Comercio Electrónico, Informática — Etiquetas: , , — legisconsulting @ 10:49

Lo que denomina como “Economía Colaborativa” no es lo que yo, dedicado a esto desde hace años,  entiendo como tal. Y con el reciente dictamen del Abogado general de la UE en el caso UBER se ha vuelto a identificar como tal en los medios lo que es una actividad empresarial.

Obligada neutralidad de las plataformas.

Ya hace años que se estableció  desde Europa la doctrina legal de que las plataformas de Internet -esas que actúan como motor o instrumentos de la economía colaborativa-, deben ser neutrales.   Eso, simplificándolo mucho, quiere decir que estas deben ser un simple instrumento técnico o escaparate donde terceros por sí mismo cuelguen sus servicios o productos por un lado y otros terceros contraten o compren sin la intervención de la plataforma. Y llega a tal claridad la doctrina que incluso obliga a que sean los propios terceros quienes puedan colgar sus productos o servicios en la misma sin intervención no-automática de la plataforma.

Si la plataforma interviene de algún modo de forma activa en el negocio jurídico de los terceros, en la promoción de sus servicios individualizados, en su organización o en cualquier otro aspecto del negocio de los terceros, pasa de ser un simple instrumento técnico a venir obligada a cumplir los requisitos propios de la actividad que sea y pasa a ser parte del negocio jurídico nacido (en teoría) entre terceros, con las responsabilidades que ello implica.

Sin sorpresas

En mi opinión, UBER siempre ha sido una empresa que desarrolla una actividad concreta y no una mera plataforma de internet. Y es eso exactamente lo que ha venido a decir el Abogado General de la UE: si prestas servicios de transporte, los organizas, cobras y fijas los precios no eres un taxista porque ellos ni siquiera pueden fijar sus propios precios. Pero desde luego tampoco eres una plataforma de economía colaborativa, sino una empresa y por lo tanto debes cumplir con las exigencias, limitaciones y responsabilidades que la ley exige a tu actividad.

Economía disruptiva

Economía disruptiva es un término que me parece más exacto que el de colaborativa para actividades como la de UBER. Es entrar en un mercado tradicional operando de forma distinta a como se ha hecho.

En mi opinión, estas actividades disruptivas son innovadoras, enriquecen la economía, crean riqueza  y pueden llegar a forzar cambios en actividades tradicionales con normativas que pueden haber quedado obsoletas, pero no por el mero hecho de ser disruptivas son legítimas ni su crecimiento o popularidad le pueden aportar per se legitimidad.

Toda actividad debe adaptarse a la normativa que le es propia independientemente si consideramoes esta normativa justa, injusta, eficiente, te favorezca o no. Porque eso es el Estado de Derecho: saber a qué atenerse y ser igual para todos .

“Tomás de Aquino se pregunta si un pueblo independiente tenían el derecho a cambiar las leyes existentes practicando usos o costumbres que se apartaban de la Ley (antigua discusión jurídica ahora planteada en un contexto teológico). Había varios argumentos en contra. El Derecho humano se funda en el Derecho Natural y en el Derecho Divino, y por lo tanto no se puede cambiar. Un acto individual contra la ley es una infracción de la Ley; por tanto, una multiplicidad de tales actos y la consiguiente formación de una costumbre no podía ser “buena Ley”. Solo el legislador puede promulgar leyes y la costumbre tiene su origen en la conducta individual de los particulares – los sometidos a la Ley –. Tomás de Aquino cita una sola autoridad, pero  decisiva: San Agustín dice: “Las costumbres del pueblo de Dios… han de ser consideradas leyes. Y los que infringen las costumbres de la Iglesia deben ser castigados”

(Texto tomado del Blog Derecho Mercantil )

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 4, 2016

Reclamar por Usurpación de Nombres de Dominio

Existen diversas formas de reclamar un nombre de dominio “usurpado” y de las circunstancias concretas dependerá elegir el más apropiado para cada caso.

Como este es un blog jurídico, vaya por delante que el término “usurpación” es un término coloquial aplicable jurídicamente por ejemplo a los ocupas de un piso, pero no a quien nos quita un nombre de dominio de Internet.

Hay diversas formas por las que un dominio llega a estar en posesión de quien no tiene derechos sobre el mismo: desde el más puro delito informático; hasta los más comunes de los socios que no planificaron debidamente su actividad en un primer momento y al final, como sucede tantas veces, la alianza se rompe de forma indeseada; o el lamentablemente más corriente del informático al que alguien encarga su WEB y se toma la libertad de registrar el dominio a su nombre en lugar de a nombre del cliente.

La mayoría de la gente nunca se ha molestado en comprobar que son titulares del nombre de dominio que usan. Algo tan fácil y rápido como consultarlo en WHOIS en caso de dominios .com o .org entre otros ó en Dominios.es en caso de dominios .es. Tales buscadores mostrarán quien figura como titular del dominio y donde está alojado, y caso de haberse activado la privacidad y no poder ver el titular, siempre se puede dirigir uno al servicio donde está registrado para comprobar que es quien debería.

Si se comprueba que no se figura como titular, si en principio se ha pagado el nombre de dominio, se han pagado las sucesivas renovaciones del mismo en su caso y se ha hecho uso del mismo, aún cuando se encuentre registrado a nombre de un tercero el nombre de dominio podría ser reclamado en una (o varias) de las siguientes vías:

  • ICANN: Es “una entidad sin fines de lucro responsable de la coordinación global del sistema de identificadores únicos de Internet y de su funcionamiento estable y seguro“. Dispone de un sistema de resolución extrajudicial de disputas sobre nombre de dominio
  • Red.es: Se trata de una entidad pública Responsable de la gestión del Registro de nombres de dominio de Internet bajo el código de país “.es”.  dispone, al igual que ICANN de un procedimiento extrajudicial para la resolución de conflictos de acuerdo y con las condiciones contenidas  en su reglamento.
  • OMPI :”es el foro mundial en lo que atañe a servicios, políticas, cooperación e información en materia de propiedad intelectual (P.I.). Es un organismo de las Naciones Unidas, autofinanciado, que cuenta con 189 Estados miembros“. Se trata, al igual que en las vías anteriores, de una vía de solución extrajudicial de conflictos.
  • Tribunales: Obviamente, al margen de las soluciones extrajudiciales existen las tradicionales soluciones judiciales ante los tribunales correspondientes. Probablemente la vía menos deseable en la mayoría de los casos por su falta de agilidad en un tema a menudo de imperativa urgencia, pero con posibles ventajas en función de las circunstancias concretas, como que permite la reclamación de elementos que no son estrictamente el nombre dominio y tas trascendentales como las bases de datos habitualmente vinculadas a los contratos de alojamiento.
  • Via penal: Compatible con las opciones extrajudiciales si se dan los elementos del ‘tipo‘ (el delito). Se puede presentar online ante el Grupo de Delitos Telemáticos por delitos que ya se ha mencionado en este post que a pesar de ser citados en conversaciones coloquiales no son ni el de Usurpación del 245ss del Código Penal ni el de Apropiación indebida del 252 CP. Las únicas condenas producidas en por este tipo de hechos se han dado en aplicación de Delitos contra la propiedad industrial del 273 CP. Este procedimiento es válido para el nombre de dominio, pero también para todos los elementos que integran la propiedad industrial y compensación de daños. Está penado con hasta 6 años de prisión.

Consejo: Si entiendo que su dominio pudiera llegar a estar en riesgo la medida más efectiva para su protección sería el registro del dominio como marca ante la Oficina Española de Patentes y Marcas ante la presunción casi inatacable de titularidad que aportan los registros públicos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 21, 2016

Pedir/Tener datos personales con el nuevo Reglamento UE

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , — legisconsulting @ 13:00

El nuevo Reglamento de protección de datos viene a introducir importantes novedades y entre ellas la base de todos los datos: el consentimiento del Usuario

El consentimiento hasta ahora

En Protección de datos el punto de partida y eje central de todo es el Consentimiento del usuario para el tratamiento y utilización de sus datos personales. Cuestiones como la utilización, el tratamiento o la seguridad de los mismos quedan supeditados a ese consentimiento previo.

La Ley Orgánica 15/1999, define Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”. Debiendo los interesados a los que se soliciten datos personales “ser previamente informados de modo expreso, preciso e inequívoco” (Art 5.1 LOPD).

Hasta ahora se prestaba la información en largos y tediosos textos que casi nadie leía y se recababa el consentimiento no sólo de forma expresa -forma reservada a determinados datos especialmente protegidos-, sino también de forma Tácita -no me opongo, luego presto consentimiento- o incluso Presunta -sigo navegando, luego presto mi consentimiento-.

Ahora, el nuevo reglamento nos obligará a replantear como recabamos el consentimiento y la forma y la información que proporcionamos al Usuario

El Consentimiento en el nuevo Reglamento UE

Al contrario que hacía y hace aún la LOPD, el nuevo reglamento viene a exigir que para que la prestación del consentimiento para el tratamiento de datos personales sea válida el usuario realice una acción activa ya sea mediante una declaración expresa ya sea mediante acción afirmativa de algún tipo.

Además se exige  al responsable del tratamiento que sea capaz de demostrar  el consentimiento del usuario para el tratamiento de sus datos personales (”Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”).

Consentimiento de menores

Distingue la LOPD actual entre menores o mayores de 14 años En el caso de menores de 14 años deberán prestar el consentimiento sus representantes legales

El Reglamento UE también introduce modificaciones en esta materia al establecer una edad mínima para prestar consentimiento de 16 años, si bien abre la puerta a que los Estados miembros en sus legislaciones nacionales establezcan una edad inferior a estos efectos que en ningún caso podrá ser de menos de 13 años. Pero esa normativa evidentemente aún no existe y tenemos que quedarnos con el límite general de los 16 años

Además exige que “El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible”. Una disposición obviamente muy vaga esta de los ‘esfuerzos razonables’ pero que seguro veremos desarrollada en su día por la práctica e informes de la AGPD

Consentimiento Informado

El consentimiento debe ser también y sobre todo “informado“. Así el nuevo Reglamento UE establece algunas nuevas obligaciones en este deber de información entre las que cabe destacar:

  • La información proporcionada al usuario debe ser “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño” .
  • La información será proporcionada “por escrito o por otros medios, inclusive, si procede, por medios electrónico”.
  • La información podrá ser facilitada verbalmente pero sólo ante petición del interesado y se demuestre la identidad del usuario por otros medios.
  • El derecho del usuario llegado el caso a acudir a una autoridad de control y a ejercitar acciones judiciales.
  • Se informará al usuario de los datos de contacto de la nueva figura creada por el reglamento del Delegado de Protección de Datos.
  • El plazo durante el cual se conservarán los datos o al menos los criterios utilizados para calcular tales plazos.
  • El derecho a la portabilidad de los datos
  • Y en su caso “la existencia de decisiones automatizas, incluida la elaboración de perfiles  …….) y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

Todas estos cambios y muchos otros que trataremos en próximos posts no entrarán en vigor hasta el 25 de mayo de 2018, pero en algunos casos no son fáciles de implementar ni hay impedimento alguno para ir adaptándose a lo inexorable.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 19, 2016

Fin del ‘ultimátum’ AGPD: qué hacer

Archivado en: Comercio Electrónico, Protección de Datos — legisconsulting @ 12:20

La AGPD anunció que el 29 de enrero empezará a poner sanciones a empresas por utilización de servicios muy habituales de Internet. Vea a continuación si le afecta y qué hacer con su Dropbox, su Google o su Facebook antes de la ofensiva de la AGPD en 10 días

De donde viene el ‘Ultimátum’

La culpa de todo la tiene un señor austriaco que denunció a Facebook ante la autoridad de protección de datos de Irlanda -donde Facebook tiene su sede en Europa- por el tratamiento que Facebook daba a sus datos personales. En concreto por ceder tales datos a la NSA estadounidense.

Para tratar datos fuera de la UE -y los servidores de Facebook están en EEUU- es necesaria de forma previa la firma de un contrato específico con el prestador del servicio fuera y  la autorización expresa del director de la AGPD. Pero para simplificar tan engorrosos trámites, la Comisión Europea adoptó la Decisión de la Comisión 2000/520 que establecía la peculiar presunción de que servicios autorizados por la Comisión Federal de Comercio de EEUU disponían del mismo nivel de protección de que disfrutamos en Europa. Lo que simplificando la idea se conocía como Safe Harbor y era en lo que se amparaban servicios de Internet para evitar engorrosos trámites.

Pero el asunto llegó al Tribunal Europeo (TJUE) que decidió que la Comisión se había excedido en sus competencias y, montando una revolución en el Cloud, decide de forma expresa que Facebook no cumple con los estándares mínimos de seguridad y acaba con el Safe Harbor declarando que las distintas Agencias de protección de Datos de Europa tienen que empezar a valorar si todos esos prestadores de servicios de fuera de Europa cumplen como los de aquí.

Y con esta Sentencia, la AGPD emitió el 29 de octubre una comunicación en que fijaba como plazo máximo el 29 de Enero de 2016 para regularizar la situación de empresas y entidades con servicios online con servidores fuera de la UE y que reitera en una  segunda comunicación posterior en que reitera que adoptará medidas pasada esa fecha.

A quién afecta

El ultimátum de la AGPD va dirigido a empresas o entidades que utilicen servicios que trasladen o traten datos fuera de la UE, lo que quiere decir que quien quiera compartir las fotos de las vacaciones de los niños con los abuelos en Dropbox o colgarlas en Facebook podrá seguir haciéndolo siempre que cuente con la autorización del otro progenitor, pero claro, ese es otro tema.

Por el contrario, quien utilice servicios y desarrolle cualquier actividad fuera de su esfera estricta y exclusivamente personal deberá cumplir con las exigencias que para la transferencia internacional de datos fija la LOPD.

Si almaceno datos de mis clientes en la nube, o las facturas, u ofrezco un servicio de vía chat, o incluso si tengo algo tan poco Online como un bar con página en Facebook y fotos de mis clientes en la barra, la AGPD quiere que regularice.

Qué hacer

Si utiliza servicios de Intenet con servidores fuera de la UE está haciendo pues una transferencia internacional de datos y ello incluye servicios que van desde el almacenamiento en la nube, el uso de redes sociales, servicios de correo, servicios de chat, etc. Por ello, para seguir usando tales servicios será necesario:

  • Cumplir con el deber de información a los usuarios
  • Incluirlo en el Documento de Seguridad
  • Disponer de un contrato firmado: la Comisión también ha aprobado Decisiones con Cláusulas contractuales tipo para estos casos
  • Solicitar autorización al Director de la Agencia de Protección de Datos

En unos días se acaba el plazo que dio la AGPD, habrá que cambiar los documentos de protección de datos, buscar un contrato -algunos servicios ya disponen de ellos- y ponerse en la cola de las autorizaciones de la AGPD y de no hacerlo, enfrentarse a las sanciones.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Septiembre 17, 2015

Cuando declarar las ‘cuentas’ de PAYPAL

Archivado en: Comercio Electrónico, Emprender, Medios de pago — Etiquetas: , , — legisconsulting @ 11:51

El Real Decreto 1558/2012 estableció en su día la obligación de declarar cuentas y derechos en el extranjero superiores a 50.000€, pero surge la duda de cuándo se supera tal límite.

Como ya se ha manifestado anteriormente en este Blog, Paypal presta un Servicio de Pago en los términos de la Ley aunque sea ya una Entidad de Crédito. Y, las ‘cuentas‘ utilizadas para prestar este servicio no son equiparables a las Cuentas en Entidades de Crédito (bancos) porque así lo fija una ley de forma expresa. Es decir, que lo que tenemos en PAYPAL no es una ‘cuenta‘ en términos legales.

Si fueran consideradas como Cuentas en Entidades de Crédito, habría obligación de declararlas ante Hacienda cuando el saldo de las mismas supere los 50.000€ a 31 de diciembre o cuando el saldo medio del último trimestre supere esa misma cantidad aunque el saldo a 31 de diciembre sea inferior:

«Artículo 42 bis Obligación de informar acerca de cuentas en entidades financieras situadas en el extranjero

4. La obligación de información prevista en este artículo no resultará de aplicación respecto de las siguientes cuentas:

e) No existirá obligación de informar sobre ninguna cuenta cuando los saldos a 31 de diciembre a los que se refiere el apartado 2.d) no superen, conjuntamente, los 50.000 euros, y la misma circunstancia concurra en relación con los saldos medios a que se refiere el mismo apartado. En caso de superarse cualquiera de dichos límites conjuntos deberá informarse sobre todas las cuentas.

Pero aunque lo que tenemos en PAYPAL no es una ‘cuenta‘, ello no excluye la obligación de declararlas a hacienda que entiendo que puede deducirse del cajón de sastre que es otro apartado de la norma:

«Artículo 42 ter Obligación de información sobre valores, derechos, seguros y rentas depositados, gestionados u obtenidas en el extranjero

3. Los obligados tributarios a que se refiere el apartado primero de este artículo deberán suministrar a la Administración tributaria información mediante una declaración anual sobre:

b) Las rentas temporales o vitalicias de las que sean beneficiarios a 31 de diciembre, como consecuencia de la entrega de un capital en dinero, de derechos de contenido económico o de bienes muebles o inmuebles, a entidades situadas en el extranjero, con indicación de su valor de capitalización a dicha fecha.

Pero para esta obligación de declarar también se establece un límite de 50.000€ por debajo de la cual no hay obligación de hacerlo:

4. La obligación de información prevista en este artículo no resultará exigible en los siguientes supuestos:

c) Cuando los valores a los que se refieren cada uno de los apartados 1.b), 1.c) y 1.d), el valor liquidativo a que se refiere el apartado 2, el valor de rescate a que se refiere el apartado 3.a) y el valor de capitalización señalado en el apartado 3.b), no superen, conjuntamente, el importe de 50.000 euros. En caso de superarse dicho límite conjunto deberá informarse sobre todos los títulos, activos, valores, derechos, seguros o rentas.

Por ello entiendo que sólo habría obligación de declarar las ‘cuentas‘ de Paypal cuando el ‘saldo‘ -aunque sería más oportuno denominarlo derechos o rentas –  a 31 de diciembre supera los 50.000€.

Aunque siempre es posible que Hacienda venga a hacer una interpretación que entiendo como muy forzada de la norma. Esta interpretación sería que al ser PAYPAL es una Entidad de Crédito -aunque actúa como Entidad de Servicios de Pago-  y tener un funcionamiento su ‘cuenta‘ en cierta medida análoga a lo que sería una Cuenta en términos legales, serían de aplicación las normas aplicables a la mismas y no a los Derechos o Rentas que decía. Pero insisto, me parecería una interpretación, aunque posible, demasiado forzada.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 23, 2015

Bloqueo de cuenta de Paypal

Archivado en: Comercio Electrónico, Medios de pago, Organización de Empresa — Etiquetas: , , , — legisconsulting @ 11:18

A finales de este mes todas las entidades de crédito bloquearán las cuentas de los clientes que no estén plenamente identificados, pero Paypal (y todas las Entidades de Pago) lo llevan haciendo desde siempre.

Cuando nos damos de alta en uno de estos Servicios de Pago, no nos están pidiendo una identificación, sino que tal exigencia sólo se da cuando se dan algunas circunstancias concretas con posterioridad. Hasta entonces la Entidad de Pago (en adelante Paypal) se apoya en la identificación del usuario que hizo en su día el banco que abrió la Cuenta o la Tarjeta vinculada.

¿Cuándo bloquearán la cuenta?

Cuando superemos una cierta cantidad.

Ante cualquier tipo de acción que la entidad considere ’sospechosa’ y que van desde movimientos inusuales de fondos hasta acceso a la cuenta desde distintos lugares o IPs.

No hay un listado cerrada de acciones que lleven a ese bloqueo de la cuenta, sino que queda casi al arbitrio de cada Entidad y a las directrices que le haya comunicado de la Autoridad para la Prevención del Blanqueo que corresponda según la nacionalidad. En el caso de Paypal, la de Luxemburgo.

¿Por qué bloquean la cuenta?

La Directiva Europea sobre blanqueo de capitales obliga a estas entidades a vigilar las actividades de sus clientes y a asegurarse que estas no son de blanqueo de capitales o financiación del terrorismo. Y el incumplimiento de tales obligaciones legales de vigilancia conlleva las correspondientes sanciones.

Por ello Paypal, dentro de su actividad ‘preventiva‘ del blanqueo,  bloquea la cuenta hasta el momento en que el usuario le demuestre que no desarrolla actividades ilícitas con la cuenta.

¿Qué nos va a pedir?

Al momento de bloqueo de la cuenta Paypal remite al usuario un Email en que le solicitará una serie de datos y documentación para desbloquear la cuenta.

El listado de documentos solicitado variará en función de las circunstancias, e incluso recibido por Paypal un primer bloque de información, es posible que solicite aclaraciones posteriores o documentación adicional, manteniéndose todo este tiempo el bloqueo de la cuenta.

¿Quién nos lo pide?

La información que solicita la Entidad de Pago (Paypal) no la está solicitando Hacienda ni ninguna otra entidad pública, que lo harían directamente, sino que lo hace la propia Paypal dentro de su deber de vigilancia de sus clientes a que hacíamos mención anteriormente.

¿Con qué finalidad se pide?

Se suele pensar que esas solicitudes de información se hacen simplemente con fines de control fiscal, pero eso no es así.

Las entidades de pago como Paypal tiene la obligación de:

  • identificación del usuario real que está detrás de las operaciones;
  • de hacer un seguimiento de la actividad personal o profesional de tal usuario;
  • de adoptar todas las ‘medidas de conocimiento de los clientes‘ que entienda necesarias
  • y tiene la obligación de seguimiento continuado de los clientes y actualización de datos de los mismos.

Y ello para la prevención de delitos y no para buscar infracciones fiscales.

¿A quién se van a entregar esos datos?

Esos datos buscan entender y conocer al usuario dentro del deber de vigilancia que mencionábamos que tiene Paypal. Por ello, si Paypal entiende que no existe indicio de delitos desbloqueará la cuenta sin más.

Si entiende que hay indicios de delito, la Directiva 2005/60/CE obligó a la creación de un organismo independiente en cada país dedicada exclusivamente a la prevención del blanqueo de capitales (SEPBLAC en el caso de España) a quien la Entidad de Pago entregará la documentación y los informes de que disponga para que sea esta quien adopte las medidas que procedan con posterioridad.

En el caso concreto de Paypal, el organismo  (UIF lo llama la Directiva) al que enviará la información en su caso será el UIP de Luxemburgo por ser una Entidad de Crédito con sede en este país. Y ello porque la información se remite a “la UIF del Estado miembro en cuyo territorio se encuentre situada la entidad o persona que facilite dicha información

Qué hacer ante el bloqueo

La respuesta corta sería proporcionar cuantos documentos y explicaciones requiera Paypal (o cualquier otra Entidad de Pago), pero esto puede tener su dificultad.

EL control de Paypal busca entender y conocer perfectamente al usuario y su actividad para asegurarse de que no está cometiendo ningún delito. Y es desde esta perspectiva desde la que debe ser construido el escrito que se remitirá a Paypal para que desbloquee la cuenta. Y si no se hace correctamente, se corre el riesgo de una investigación penal. Por supuesto con la cuenta y los fondos bloqueados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 12, 2014

La tasa Google (LPI) como oportunidad para Medios y Agregadores

La tasa Google (formalmente conocida como LPI) no tiene porqué ser el fin de los enlazadores de noticias. Quien reorganice debidamente su modelo de negocio podrá hacerse con una parte significativa del mercado.

GoogleNews  abandona el barco y otros agregadores de noticias se plantean ejercer su actividad desde el extranjero creando una sociedad con baja fiscalidad, que lo ponga fácil para crear sociedades y en lugar donde no se penalice el Internet libre. ¿Pero es ello posible?. Sí pero no es fácil ni barato. Google podría hacerlo fácilmente porque tiene medios, abogados e infraestructura y no lo hace simplemente porque no es viable.

La solución es mantener los agregadores aquí aprovechando las posibilidades que la Ley (en sentido general, no sólo LPI) nos proporciona para no abonar cánones ilógicos a quien no los quiere cobrar.

¿Hay mercado?

Los medios ‘tradicionales’ que han presionado para crear este nuevo canon buscan una forma de comunicación tradicional consistente en “si tú quieres ver mis contenidos sólo los puedes ver poniendo mi URL”. Pero hay otros muchos medios que entienden -como la mayoría de la gente en este campo- que en cuantos más sitios figures, pues más tráfico, más visibilidad y mejores resultados. Si eres bueno querrás que te comparen.

Por la parte de los Usuarios, están los que quieren leer sólo lo que piensan: me voy a este medio porque me va a reafirmar en mis pensamientos y no veo este porque me lleva la contraria.  Pero hay otros muchos usuarios que quieren una visión más amplia y abierta de la sociedad.

Googlenews ofrecía una variedad de medios en el mismo sitio generando un importante tráfico a los enlazados. Ahora el pez más grande se va y deja un enorme espacio en la pecera para los demás.

¿Es legalmente posible?

El canon es irrenunciable, ¿pero puede AEDE no podrá cobrar a favor de quien expresamente recoge que no es miembro, no quiere serlo y no tiene obligación de serlo?. La respuesta tajante es ‘¡ NO PUEDE!’ AEDE no puede lucrase ni lucrar a terceros por un hecho o una relación en la que no es parte ni protege derecho alguno. La SGAE ya perdió en su día algún pleito por esa misma razón.

¿Hay Webs de Medios?

AEDE podrá cobrar por enlaces a Webs que pertenecen a sus socios (lista). La lista es extensa, pero ante la posibilidad de cobrar un canon de dudoso cobro ahora que se ha ido la vaca que se pretendía ordeñar, es posible que los que están decidan no estar y ser enlazados y los que no están (todos conocemos algunos) decidan seguir fuera y aprovechar el seguro descenso de tráfico sobre los medios tradicionales impulsores del canon que ya se ha producido en otros países. Los lectores que pierden esos medios, sin duda irán a otro sitio. Y qué es más rentable: ¿esperar por un inseguro ‘canon’ o generar tráfico?.

Como siempre, saldrá beneficiado en esto -tanto agregadores como medios- quien sepa adaptarse  a los cambios y pescar en este río revuelto.

Por supuesto, ello necesita una estructura, previsiones y modelo distinto del que tenían hasta ahora los agregadores, pero con la adecuada planificación entiendo que es posible.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar “porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el “Aviso legal“: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas “Condiciones de Servicio:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ’supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la “Política de Privacidad: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las “Cookies”: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un “Documento de Seguridad” exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »