diciembre 5, 2019

Pues no, PAYPAL no es la Dark Web

Filed under: Comercio Electrónico,Medios de pago — Etiquetas: , , — legisconsulting @ 12:43

Está extendida la idea de que PAYPAL s una especie de limbo desde el que construir estructuras de evasión fiscal. Y es igualmente frecuente en este despacho recibir cuestiones en este sentido.

La última es un comentario en una  entrada del Blog que es casi una compilación de todas las ideas que circulan por Internet, de tal forma que entiendo que bien  merecen un post aclaratorio por su interés general, más que una simple respuesta al comentario.

El comentario -que se puede encontrar entre los comentarios del post- dice lo siguiente:

«buenas, un conocido esta facturando unos 10€ al mes haciendo dropshipping, lleva desde junio 65€ facturados, el beneficio no es tanto, mas o menos 30.000 euros han ido a través de paypal, recientemente se dió de alta como autónomo y no ha declarado nada, sin embargo aún le quedan unos 4000€ en su cuenta de paypal, no tiene pensado declarar. Debería crearse una cuenta nueva de paypal para no llegar a los 50.000 y tener la cifra actual en negro y asi ir pasandole a conocidos cantidades pequeñas para poder retirarlo?»

De la actividad económica

Comentario.- Manifiesta el lector que, estando de alta en RETA,  se ha venido desarrollando una actividad económica que ha generado unos beneficios que no se han declarado.

Legalidad.- Todos los ingresos, sin límite mínimo, deben ser declarados a Hacienda y toda actividad, sea cual sea y se desarrolle como se desarrolle debe cumplir unas obligaciones.

El caso del Dropshipping que se nos plantea no es particularmente complejo al tratarse simplemente de una compraventa de bienes y, en este caso llevaría aparejara sin duda la obligación de presentar declaraciones trimestrales de IRPF al entender que se trata de una persona física, así como la obligación de ingresar el correspondiente IVA.

De no hacerse todo ello, se estaría cometiendo:

  • una infracción administrativa por incumplir la obligación de presentar las declaraciones obligatorias,
  • más una infracción administrativa por no ingresar el importe correspondiente al IRPF,
  • más una infracción administrativa por no ingresar lo recaudado en concepto de IVA,
  • más una infracción penal si la cuantía defraudada supera los 120.000€
  • más las infracciones que pudieran corresponder caso de importarse los productos de fuera de la UE y ser aplicable la normativa de Aduanas

Además, caso de llegar la actividad a conocimiento de hacienda, esta tomará como referencia para la imposición de las sanciones las cantidades brutas percibidas y no simplemente los beneficios, correspondiendo en su caso al inspeccionado demostrar que hay también unos costes asociados mediante facturas que permitirían rebajar el importe de la sanción. Algo no tan fácil como pudiera llegar a parecer.

De PAYPAL como ‘dark web’

Comentario.- Manifiesta que más o menos 30.000€ han pasado a través de PAYPAL y que aún quedan en ella unos 4.000€ que no tiene pensado declarar.

 Legalidad.- PAYPAL no es opaco para hacienda, sino que debe ser entendido como un simple medio de pago, como ya se ha manifestado reiteradamente en este Blog cuyo uso no afecta, ni exime  (¡ni protege!) del cumplimiento de las obligaciones anteriormente mencionadas.

Paypal es ya un banco con sede en Luxemburgo que, por tanto se encuentra sujeto a toda la normativa, obligaciones, deberes de información a las autoridades y controles de la UE. Y es esta la razón por la que, dadas las cantidades mencionadas, a estas alturas al conocido de la persona que escribe el comentario se le habrá exigido ya toda la documentación que lleve a PAYPAL a asegurarse de que la actividad que desarrolla es legal.

Ahora bien, la actividad de PAYPAL a que se refiere el comentario no es la actividad propia de un banco, sino de una Entidad de Servicios de Pago, por lo que,  lo que denominamos ‘cuenta‘ de PAYPAL, no puede ser entendida como un depósito bancario, sino como un mero ‘instrumento técnico’ necesario para prestar dicho servicio de pago.  Y ello tiene como consecuencia comúnmente aceptada variaciones en cuando a l momento en que deben ser declaradas a hacienda las cantidades percibidas a través de Paypal, pero en ningún caso eximiendo del deber de declarar y tributar por ellas ni evitando que Hacienda las pueda reclamar.

Del límite de los 50.000€

Comentario.- Manifiesta que debería crear una nueva cuenta de PAYPAL para no llegar al límite de los 50.000 €

Legalidad.- Hay obligación de informar a Hacienda de todos los bienes y derechos en el extranjero cuando todos ellos en su conjunto superen los 50.000€ (RD 1558/2012).

Se trata de una mera declaración informativa a hacienda sobre el conjunto de los bienes y derechos en el extranjero cuyo incumplimiento conlleva aún importantes sanciones a pesar de haber sido cuestionadas estas por la Comisión Europea y haber sido instado el Estado Español a modificarlas por atentar contra la normativa comunitaria.

Y  aún cuando el texto de la Ley permite cuestionar si una ‘cuenta’ de PAYPAL estaría dentro de los bienes o derechos que deben ser declarados, a Dirección General de Tributos hace ya mucho que ha dictaminado que hay obligación de declarar las cuentas de PAYPAL independientemente de si ese importe está en  una o varias cuentas.

De cualquier forma, PAYPAL conoce quien es el titular real de cada cuenta porque así le obliga la normativa sobre blanqueo de capitales y cumple con los deberes de información anteriormente mencionados.

De la estructura para no declarar

Comentario.- Manifiesta la posibilidad de traspasar pequeñas cantidades a conocidos para poder retirarlas.

Legalidad.-Toda cantidad percibida debe ser declarada independientemente de su cuantía.

Ello implica que el perceptor de esas ‘pequeñas cantidades’ tendrían el deber de incluirlas en su declaración y pagar por ellas, además de tener que explicar ante hacienda las razones que las justifican.

Pero es que si además el conocido de la persona que escribe el comentario en el post  hubiera superado el límite de la infracción penal al superar los 120.000€, todos ellos, tanto esta persona como los receptores de esas pequeñas cantidades estarían incurriendo en un delito de blanqueo de capitales independientemente de las cuantías. Si bien, obviamente, en distinto grado. Una forma de hacer incurrir en graves riesgos a los conocidos .

PAYPAL no es, ni la ‘dark web‘, ni un paraíso fiscal.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 20, 2019

Novedades (con sorpresa) en las Cookies

Filed under: Comercio Electrónico,Emprender,Informática,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 10:53

La AEPD ha actualizado Guía Sobre el Uso de las Cookies. Que no es norma, pero que son una serie de recomendaciones a la luz del RGPD y de la LOPDGDD que más nos vale seguir.

El documento es extenso, pero las novedades no son tantas.

Información

En primer lugar se mantiene la recomendación del sistema de información por capas, con una primera capa con la información esencial sin ‘rollos‘ innecesarios ni frases vacías de contenido del tipo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted«.

Así, para esta primera capa, en función de las cookies que se usen y de la funcionalidad de las mismas, la AEPD sugiere una serie de textos

Ejemplo 1:  Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.

ACEPTAR COOKIES         RECHAZAR COOKIES

Ejemplo 2: Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.

ACEPTAR

Ejemplo 3: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso.

Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.

Consentimiento (y sorpresa)

Es este último ejemplo el que probablemente marca la mayor novedad y más interés despertará entre los diseñadores de páginas Web, puesto que admite que la opción de ‘seguir navegando‘ constituye una prestación válida del consentimiento .

Si bien este tipo de consentimiento solo será válido si se cumplen requisitos de FORMA como

  • Que el aviso se encuentra  en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.
  • Que se incluya en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

Y  que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. O en dispositivos como el móvil o la tablet, cuando desliza la pantalla accediendo al contenido.

Y límites en cuento al FONDO, por cuanto  no será válido en los casos en que a través de las cookies se realicen tratamientos de datos que requieran un consentimiento expreso, tales como:

  • categorías especiales de datos personales del Art 9 RGPD
  • que se tomen decisiones individuales automatizadas del Art 22  RGPD
  • o se realicen transferencias internacionales de datos amparadas en el consentimiento de las del Capítulo V  RGPD

Tiempo  

Por una parte la AEPD recomienda valorar si es necesario la instalación de cookies persistentes en lugar de las de sesión,  puesto que señala que, «para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad«. Y que es mucho más probable que se consideren como exceptuadas del deber de  consentimiento  las cookies de sesión que las persistentes.

Y en cuanto a las cookies persistentes instaladas, la AEPD viene a recomendar una actualización del consentimiento cada 2 años: «Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.»

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 7, 2019

Bloqueo de cuenta Paypal o en el Banco

Filed under: bancos,Comercio Electrónico,Medios de pago — Etiquetas: , , — legisconsulting @ 12:36

Es cada vez más frecuente el bloqueo de cuentas y su contenido por bancos o Servicios de Pago como PAYPAL. Y en su mayor parte se trata de meros errores burocráticos

Porqué se bloquean las cuentas

La Ley de prevención del Blanqueo de Capitales y Financiación del Terrorismo establece una serie de obligaciones para muchas personas (de bancos a inmobiliarias o abogados entre muchas otras) que en su mayor parte no están ni tasadas ni detalladas.

Así, la ley obliga a los bancos o a Paypal a

  • La identificación formal de la persona con la que tratan
  • A la identificación del titular real (y no sólo al nominal)
  • Conocer la naturaleza de los negocios o movimientos de dinero
  • A un seguimiento y escrutinio continuo de la actividad de la persona que se trate
  • Y -aquí viene lo difícil- a la aplicación de medidas de diligencia debida.

Y si tienen la más mínima sospecha, indicio o duda sobre cualquier de operación, tienen obligación de:

  • notificarla al SEPBLAC,
  • suspender la operación o restringir el uso (transferencia o uso de cuentas, por ejemplo)
  • y la prohibición expresa de notificar al interesado que se ha producido tal notificación al SEPBLAC.

Traducido a un lenguaje llano, sin detallar como deben hacerlo, la ley obliga a estas entidades a conocer y entender todos los detalles de las relaciones comerciales o de negocios de sus clientes.

De ahí que los bancos o entidades de pago (PAYPAL o similares) soliciten en cualquier momento o incluso de forma reiterada documentación concreta y específica.

Y si no se les da una explicación que ellos entiendan como ‘convincente‘ incluso lleguen a bloquear cuentas u operaciones concretas caso de la operación pudiera llegar a generar dudas de que se trate de una operación de blanqueo o algo peor.

Como se ve, la norma es poco concreta en cuanto al detalle de cómo cumplir las obligaciones a que vienen obligados bancos o entidades de servicios de pago como PAYPAL(*). Y aún cuando existe una extensa normativa sobre los deberes de transparencia de operaciones financieras y de protección de la clientela, no hay una norma específica que proteja a los usuarios de estos servicios de las posibles sospechas que se tengan sobre ellos, así que habrá que acudir a otra normativa más general.

El primer paso es acudir a la entidad de que se trate solicitando explicaciones y ofreciendo cuanta documentación, justificantes o escritos explicativos entendamos como necesarios para justificar las operaciones.  Ello se puede hacer bien en la propia sucursal si se trata de un banco o una entidad aseguradora o a través de los servicios de atención al cliente que estas entidades (incluido PAYPAL) tienen la obligación de poner al servicio de sus clientes. Pero siembre por escrito y dejando constancia de la documentación que se aporta.

La entidad es cierto que tiene prohibido notificar al usuario que ha elevado una notificación al SEPBLAC, pero sí tiene la obligación de exigir al usuario cuanta documentación estime pertinente. Si no lo ha hecho estará incumpliendo sus obligaciones.

Si a pesar de las explicaciones la cuenta u operación continúa bloqueada podremos suponer que se ha dado traslado de las sospechas al SEPBLAC y, en su caso, los fondos se han ingresado en la cuenta de este organismo que, caso de estimar las sospechas de infracción, las elevará al organismo judicial o administrativo que corresponda y que será quien resuelva.

En ningún caso el SEPBLAC prohíbe o autoriza la operativa de un cliente concreto. Lo hacen los obligados por la Ley de Blanqueo como bancos, PAYPAL o entidades aseguradoras. Y es  estos a quienes hay que convencer por todos los medios de que no se trata  de operaciones de blanqueo de capitales ni de financiación del terrorismo.

(*) Aunque PAYPAL es un banco, en su mayor parte actúa como prestador de servicios de pago

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 10, 2019

Qué es un servicio -exclusivo- de Internet

Filed under: Comercio Electrónico,Emprender — Etiquetas: , , — legisconsulting @ 10:17

Determinar si un servicio es exclusivamente un Servicio de la Sociedad de la Información o algo más, determinará su normativa aplicable, las obligaciones a que está sometido y su régimen de sanciones. Mucho más que una mera disquisición jurídica.

Hace algo más de una semana, el Abogado General presentó sus conclusiones en un caso abierto ante el tribunal que implica a AIRBNB en Irlanda denunciada por una asociación francesa, pero que igual se pueden aplicar a una plataforma de venta de zapatos en El Escorial.

La argumentación -salvo matices- no es nueva, pero sí lo suficientemente clarificadora.

Resumiéndolo mucho, la cuestión en el caso concreto es si AIRBNB es sólo una plataforma de Internet o es algo más y se le deben aplicar las exigencias que recaen sobre las agencias inmobiliarias.

Conclusiones

A la cuestión planteada, el Abogado General plantea las siguientes conclusiones:

Sobre el servicio: Si el prestador del servicio no ejerce control algunos obre las modalidades esenciales de las prestaciones, constituye un servicio de la sociedad de la información.

Sobre las prestaciones accesorias: Y no impedirán esta calificación el hecho de que se ofrezcan prestaciones o servicios accesorios si estas prestaciones accesorias sean indivisibles y conformen un todo indisociable con esos servicios.

Sobre la normativa aplicable: Solo se podrán exigir requisitos adicionales en aplicación de normativas de terceros países (Francia en este caso)  para proteger los derechos de los consumidores.

Sobre donde se presta el servicio: Sólo se podrán establecer requisitos y exigencias adicionales al Servicio de la Sociedad de la Información en terceros países (Francia en este caso):

  • si se ha tratado caso por caso y no de forma general.
  • previo requerimiento al país de origen (Irlanda en este caso) que adopte medidas específicas en materia de servicios de la sociedad de la Información.
  • Y previa notificación a la Comisión Europea.

En conclusión, la asunción de un servicio exclusivamente como de la Sociedad de la Información permite al emprendedor prestador del servicio tener perfectamente cuáles son sus obligaciones y responsabilidades, no ya solo en su país de residencia, sino en tota la Unión Europea.

Nota de prensa TJUE

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 22, 2018

Partidos políticos y barra libre de consentimientos LOPD

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 13:24

Daños colaterales de la Ley Electoral: ¿Podrá cualquiera tratar datos personales de cuaualquiera sin consentimiento por el mero hecho de haberlos encontrado en Internet?

Ante las noticias aparecidas en medios de comunicación sobre la modificación de la Ley Orgánica del Régimen Electoral General (LOREG) en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la Agencia Española de Protección de Datos (AEPD) quiere manifestar lo siguiente(*):

«El texto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.

Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.

Sólo permite, conforme al Considerando 56 del Reglamento Europeo de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.

Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.

El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.

En todo caso, las previsiones del artículo recogido deben cumplir todas las garantías establecidas en el Reglamento Europeo de Protección de Datos.»

(*)Texto extraido de la web Noticias Jurídicas

Pero al margen de comunicado, veamos las normas:

1.-) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)

Considerando (56):  Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

2.-) Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (en tramitación)

Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2.
Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

Y  según el RGPD, tienen la consideración de fuentes de acceso público:

  • el censo promocional,
  • las guías telefónicas
  • las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  • los diarios y boletines oficiales
  • los medios de comunicación… (Internet y las Redes Sociales no lo son, al menos hasta ahora)

Entonces, eso de «páginas Web y otras fuentes de acceso público«: ¿cambia el concepto de fuente de acceso público?; ¿podremos -cualquiera, no solo los partidos- tratar datos de cualquiera que cumpla la LSSI en su Web?; ¿o de cualquiera con un perfil de Linkedin o Facebook?; ¿¡…sin consentimiento expreso!?

Personalmente pienso que no puede ser, pero aquello de la seguridad jurídica parece ser un bien cada vez más escaso…

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 5, 2018

Entender el RGPD como paso previo para adaptarse

Filed under: Comercio Electrónico,Informática,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 12:08

El RGPD es un ladrillo. Ya asustan de entrada los 173 considerandos en sus primeras 32 páginas antes de llegar al artículo 1. Pero en la práctica, implementarlo no es para tanto si se ha entendido…

«Efecto Reglamento»

Para quien tenga edad y memoria, con el RGPD ha pasado lo mismo que con el principio del milenio con ‘el efecto 2000‘.  Los ordenadores colapsarían y las consecuencias sería impredecibles.

Han pasado ya varios días desde la entrada en vigor del RGPD  y aún no ha pasado de moda. Siguen llegando los emails pidiendo consentimientos o comunicando unas condiciones de privacidad «adaptadas al reglamento» que dejan la enciclopedia británica como relato breve. Parece que aquello de que la información debe ser «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo« no debe venir en todas las ediciones del reglamento.

Las consultas que entran son básicamente del tipo: «¿qué papeles debo tener en el cajón  para cumplir con el RGPD?«. Y en respuesta a tal pregunta surgen la ofertas para adaptarse al RGPD con un simple sistema informático que prometen cumplir con todas las exigencias y hasta notificar los ficheros a la AGPD. Cuando hasta la AGPD facilita la documentación para bajo nivel de riesgo.

A esta confusión contribuyen hasta las televisiones con expertos que dicen cosas cuando menos extrañas: como el alto responsable de una empresa informática que vi el otro día que, simplificando el RGPD hasta el extremo, mantenía que lo importante era el consentimiento. Que había que pedirlo de nuevo y que si el interesado lo denegaba, pues que tocaba volver a pedirlo hasta que se consiguiera… Pero muchos de los consentimientos que todo el mundo tenía antes del viernes 25 de mayo de 2018 eran válidos. La operativa de aquellos que lo venía haciendo bien sigue siendo válida; y el tratamiento de los datos de quien cumplía la LOPD necesitará de pocas adaptaciones al RGPD.

Pero muy pocos lo hacían bien porque lo limitaban a una lista de formalismos y papeles.

Qué es el RGPD

Si se ha entendido y se hace bien, la adaptación en la inmensa mayoría de los casos debería ser fácil y rápida. Pero para ello es necesario asimilar lo que NO es el RGPD

  • –        El RGPD NO es un caos: los requisitos y exigencias no son tantos si se hace debidamente.
  • –        NO es una lista de papeles: Sí hay documentos que hay que tener (que no depositar ante ala AGPD), pero no más de los que se exigían antes.
  • –        NO es una lista de formalismos
  • –        Y NO es algo que pueda hacer cualquiera

Y sí entender lo que Sí es el RGPD.

«La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal…»

  • –        Es una forma de pensar
  • –        Es una forma de actuar
  • –        Es sentido común y empatía

Obviamente, como no puede ser de otra manera, el RGPD establece una serie de formalismos concretos, pero junto a ellos plantea una serie de obligaciones, requisitos, formas de actuar e incluso conceptos jurídicos mucho menos concretos y detallados pero que sí exige que sean demostrables: «sé proactivo en la ‘protección de datos por la protección de datos’ y demuéstrame que lo eres«.

Y la única forma de hacer eso y realmente cumplir con el reglamento es entendiendo el reglamento.

Entender el Reglamento

Legalmente, prestar servicios de asesoramiento jurídico sólo lo podemos hacer los abogados. Como profesión regulada que es, el ordenamiento jurídico entiende que para prestar tales servicios se necesita de unos estudios y conocimientos específicos. Pero el Reglamento (RGPD) fija algo que parece contradictorio: El Delegado de protección de datos es por ejemplo el máximo responsable de informar, asesorar y supervisar el cumplimiento de las disposiciones del reglamento, pero no se le exige ser jurista.

Ello es porque la primera exigencia del Reglamento es entender  el entorno para saber cómo proteger los datos. Y entiende -desde mi punto de vista erróneamente- que los conocedores del entorno serán los que mejor podrán protegerlos. Y quien vive en y por esos entornos, normalmente no son juristas.

Pero el paso previo es leer y entender el Reglamento para poder aplicarlo en un entorno concreto. Y leer y entender el Reglamento es algo propio de juristas. No porque seamos más listos o menos, sino porque nuestra mente funciona de forma distinta en un ecosistema propio. Es conocido por un estudiante de primero de Derecho -y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un sistema con capacidad de auto y hetero-integración en el que todo está conectado.

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.

(2) … El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

Por ello parece que en un tema tan particularmente complejo y tan lleno de pequeños matices sean los juristas los más apropiados, aunque siempre necesitaremos de otros profesionales para cualquier adaptación plena.

Se acabaron las notificaciones de archivos a la AGPD y la tenencia de papeles en un cajón colocados allí el día antes de la anunciada visita de los inspectores de la Agencia. El Reglamento establece ahora una gestión activa de los datos, unas obligaciones en la operativa diaria del tratamiento de los datos y unas funciones de autocontrol a través de órganos internos que antes estaban reservadas a la agencia. Igual que hacienda externaliza el cobro del IVA en manos de los empresarios, el reglamento externaliza la gestión y control de los datos en manos de todo el que trate datos personales con cualquier fin fuera del ‘ejercicio de actividades exclusivamente personales o domésticas‘. Y la AGPD controlará que se hace igual que hacienda controla que se cargue el IVA en las facturas.

Adaptación al RGPD

Como decía antes, la adaptación al RGPD debería ser en la mayoría de los casos fácil y rápida. Y si bien es posible crear herramientas que faciliten la labor y/o aporten un valor añadido, estas sólo pueden ser a día de hoy una solución parcial. Se requiere más: siempre serán necesarias acciones adicionales específicas sobre todo en (y en función de) la operativa.

Aprenderse de memoria el RGPD no basta. Hay que entender qué bien está protegiendo y los objetivos y límites de tal protección. La inteligencias artificial tiene un grandísimo futuro, pero para la adaptación al RGPD, la inteligencia mejor Emocional.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 27, 2018

Medidas de responsabilidad activa — RGPD XI

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 10:10

El nuevo RGPD, plenamente en vigor desde el 25 de mayo de 2018, entraña varias obligaciones que han sido tratadas con anterioridad en este blog, pero es la nueva obligación de adoptar «medidas de responsabilidad activa» la que parece en principio menos concreta.

Con Legisconsulting cumplirá esas obligaciones de forma fácil, segura y sin papeles.

En concreto, sobre el desarrollo que de esta obligación hace la propia Agencia Española de Protección de Datos, le aportamos los medios para que la pueda dar por satisfecha y -lo más importante- demostrar que las ha adoptado.

Ø Análisis de riesgos

Sus archivos con el máximo nivel de protección

Ø  Registro de actividades de tratamiento

Le proporcionamos el documento de Registro de Actividades personalizado y adaptado.

Además se lo adaptamos ante cualquier cambio o ampliación de su actividad

Ø Protección de Datos desde la Protección de Datos

Aportamos y asesoramos sobre las medidas organizativas y técnicas para integrar en los tratamientos garantías que permiten aplicar de forma efectiva los principios del RGPD.

Ø Medidas de seguridad

Con el máximo nivel de seguridad en el depósito de los archivos, aportamos a los responsables y encargados del tratamiento de los datos el asesoramiento continuo y medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos a que vienen obligados.

Ø Notificación de “violaciones de seguridad de los datos”

Si en su actividad diaria se llegara a producir una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

En estas caso, le ayudaremos a valorar la procedencia o no de la Notificación y en su caso le proporcionaremos la vía, debidamente adaptada al RGPD, para realizarla y la forma en que debe quedar documentada.

Ø Evaluación de impacto sobre la Protección de Datos

Le proporcionamos y mantenemos con el máximo nivel de protección la documentación acreditativa de haber realizado la preceptiva evaluación de impacto.

Ø Delegado de Protección de Datos

En su caso, si en base a la actividad que desarrolla o al tipo de datos tratados le fuera exigible un Delegado de Protección de datos, en Legisconsulting estamos en disposición atendiendo a la experiencia y conocimientos, de asumir tal figura.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de «si sigue navegando acepta«. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del «si quiere seguir navegando con cookies, acepta«.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo «Aviso de Privacidad» porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la «Actitud»

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 16, 2018

Modelo 720: cuestiones y casos especiales

Llegada la hora de presentar el modelo 720 de declaración de bienes en el extranjero, me ha llegado alguna cuestión sobre «intereses» en el extranjero poco convencionales y si debían ser declarados.

Hace ya años, cuando era aún un proyecto de ley, escribimos un post que, aunque fue actualizado con posterioridad, bien merece un repaso y la contestación a cuestiones concretas sobre bienes y/o derechos concretos.

Obligados

Están obligados a presentar el modelo 720 aquellas personas físicas y jurídicas residentes en territorio español, los establecimientos permanentes en dicho territorio de personas o entidades no residentes

No existirá obligación de informar ningún bien de aquellos grupos en los que la suma de los bienes que lo integran no supere los 50.000 euros.

Qué hay que declarar

  • Cuentas situadas en el extranjero abiertas en entidades que se dediquen al tráfico bancario o crediticio de las que sean titulares o beneficiarios o en las que figuren como autorizados o de alguna otra forma ostenten poder de disposición.
  • Cualesquiera títulos, activos, valores o derechos representativos del capital social, fondos propios o patrimonio de todo tipo de entidades, o de la cesión a terceros de capitales propios, de los que sean titulares y que se encuentren depositados o situados en el extranjero, así como de los seguros de vida o invalidez de los que sean tomadores y de las rentas vitalicias o temporales de las que sean beneficiarios como consecuencia de la entrega de un capital en dinero, bienes muebles o inmuebles, contratados con entidades establecidas en el extranjero.
  • Bienes inmuebles y derechos sobre bienes inmuebles de su titularidad situados en el extranjero.

Casos especiales

Cuentas de Paypal

Como ya hemos señalado hasta la saciedad es este blog, en los textos y en las respuestas a cuestiones planteadas a través de comentarios de lectores, las cuentas de PAYPAL no son ‘cuentas‘ en el sentido legal del mismo como ‘depósito‘ (un término más exacto jurídicamente), sino que es sólo un instrumento necesario para que una entidad de crédito como es PAYPAL preste un servicio de pago, que es lo que realmente hace PAYPAL . Y estos ‘instrumentos necesarios para prestar el servicio, hay una ley que dice expresamente que no pueden ser considerados como depósitos. Por lo tanto, según el texto del RD 1065/2007, no estaría dentro de los supuestos obligados a declarar.

No obstante esta interpretación ,hace ya también años que Hacienda, en respuesta a una consulta vinculante hace una interpretación  extensiva de la norma y señala que

«Por su parte, el portal de “PayPal” define el servicio que presta del siguiente modo:

“PayPal permite a las empresas o consumidores que dispongan de correo electrónico enviar y recibir pagos en Internet de forma segura, cómoda y rentable. La red de PayPal se basa en la infraestructura financiera existente de cuentas bancarias y tarjetas de crédito para crear una solución global de pago en tiempo real. Le ofrecemos un servicio especialmente pensado para pequeñas empresas, vendedores por Internet, particulares y otros a los que no satisfacen los mecanismos de pago tradicionales.”

Y concluye la consulta vinculante,

Finalmente, respecto de la declaración de la cuenta PayPal, podría entenderse, en su caso, que dicha cuenta debe tomarse en consideración a efectos del Impuesto sobre el Patrimonio, o de la obligación de declarar bienes situados en el extranjero.»

Por lo tanto, según esta respuesta, sí habría que declarar las ‘cuentas‘  de PAYPAL.

Crowdlending

Como su propio nombre indica, se trata de un préstamo que como es conocido se realiza a empresas o personas, pero siempre entre ‘particulares’, entendiendo como tal la no presencia de institución financiera alguna  en la operación.

En este caso no se trata de una consulta vinculante con la trascendencia legal que ello conlleva, sino de una  de las preguntas frecuentes contenidas en la página de la AEAT que señala textualmente.

–        Pregunta:  ¿Existe obligación de informar sobre: préstamos concedidos a entidades extranjeras, créditos provenientes de operaciones comercial o de servicios, cuentas en participación o cualquier otra modalidad de préstamo o crédito?

–        Respuesta: Solamente existe obligación de informar sobre la cesión a terceros de capitales propios si estos están representados por valores.

Como vemos, la postura general de Hacienda ante los préstamos es que no habría que declararlos. Pero es que además, dada la naturaleza del Crowdlending, sería cuestionable en primer lugar la naturaleza y extensión del derecho de crédito en base a la exigibilidad del mismo a incluso —atendiendo  al límite de los 50.000€— el valor real del derecho.

Crowdfunding

En España está regulado por la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial, pero como hablamos de inversiones en el extranjero, estas no se encuentran sujetas a esa ley y objeto sabemos que puede ser mucho más variado que el establecido por la ley. Por ello la obligación de declarar dependerá de la naturaleza del contrato de crowfunding.

Si se trata de un préstamo participativo, ya hemos visto que no sería obligatorio declararlo.

Si se trata de suscripción de obligaciones, acciones ordinarias y privilegiadas u otros valores representativos de capital, en este caso la inversión sí estaría representada por ‘valores’ de cualquier tipo y sí habría obligación de declararlos.

Si se trata de emisión o suscripción de participaciones de sociedades de responsabilidad limitada, se rataría de participaciones en sociedades y ello sí entra dentro de los supuestos de la Ley y del Real Decreto.

Betfair

Sirva solo como ejemplo de plataformas que para uso en sus servicios mantienen ‘cuentas‘ que pueden llegar a contener por encima del límite legal. Pero como es un caso que conozco profesionalmente de primera mano, de ahí por ejemplo de Betfair en Reino Unido por las importantes cantidades que maneja.

Es cierto que para operar en esta plataforma en reino unido es obligatorio contar con un domicilio allí y no se puede operar desde aquí, pero también es cierto que existen vías más o menos legales para hacerlo, aunque en este caso nos limitaremos a analizar sólo el modelo 720.

La plataforma permite —o no prohíbe— registrar a una sociedad (LTD) como usuario de la plataforma, con lo que sería perfectamente posible dada la facilidad y bajo coste de crear una sociedad en Reino Unido, utilizarla con este fin. Para ello no es necesario que la persona física detrás de la sociedad sea residente en Reino Unido, así que siendo residente en España podría operar allí en la plataforma. En este caso la obligación dependerá del valor de la sociedad (LTD) y no directamente de la cantidad de dinero que la LTD tenga en Betfair.

También cabe la posibilidad —menos legal— de que alguien usando una VPN desde aquí muestre la apariencia de residir en Reino Unido cuando realmente lo hace en España operando desde España. En este caso vendría obligado a cumplir todas las obligaciones fiscales en España por el mero hecho de residir aquí más de 186 días al año, incluyendo la obligación de presentar el modelo 720 si la necesaria cuenta bancaria vinculada a la plataforma supera el límite de los 50.000€. Pero si es la ‘cuenta‘ de Betfair la que supera esa cantidad, al no ser Betfair en Reino Unido una entidad financiera, ni estar representado ese dinero en título o valor alguno, entiendo que no habría obligación de presentar el modelo 720 aún cuando se residiera en España -oficial o extraoficialmente- y se tuvieran más de 50.000€ como ‘saldo’ en la plataforma.

Crowdcontent

¿Tiene más casos no estrictamente ‘convencionales’?. Platéelos en los comentarios a este post o en Twitter y haremos crecer su contenido.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »