julio 13, 2021

Control de la Inteligencia Artificial (IA)

(AI) could be the “worst event in the history of our civilization” unless society finds a way to control its development.

Stephen Hawkings

Índice:

  • Que es la IA
  • A quien se aplicará en Reglamento
  • Actividades regladas de IA
    • Riesgo inaceptable
    • Alto riesgo
    • Riesgo limitado
    • Riesgo mínimo
  • Apéndice normativo

Resulta paradójico que diga algo así una persona como el profesor Hawkings que pasó sus últimos 20 años comunicándose a través de un sensor colocado en la mejilla con el que activaba un ordenador con un algoritmo predictivo basado en sus libros y conferencias que le permitía hablar con cierta fluidez.

Y aunque la Inteligencia Artificial (IA) suene a Ciencia Ficción, a un futurible aún lejano y distante, nada hay más lejos de la realidad.

Ese aspirador que conoce mi casa mejor que yo porque ha creado (literalmente) un plano de la misma al milímetro; Los filtros de SPAM de mi correo que deciden qué es de mi interés y qué no lo es; Los ‘teleoperadores’ con los que chateamos o hablamos por teléfono que no son más que una máquina (chatbots) sin que tan siquiera lo notemos porque a veces hasta hacen bromas; Los anuncios que me salen en el ordenador o en el teléfono justo de lo que me interesa comprar; Las noticias que me aparecen por defecto y que son, curiosamente, las que más se ajustan a mis opiniones y que me hacen pensar si se pueden ‘orientar‘ esas opiniones; Los Asistentes Virtuales de casa o del teléfono que ‘asisten‘, pero también ‘espían‘ analizando todo lo que buscamos, decimos o hacemos a partir de lo que decimos con la excusa de poder ‘asistirnos’ en la más estricta intimidad de nuestro hogar; O los vídeos de famosos diciendo o haciendo cosas increíbles, pero falsas (deepfake) que pueden ser una broma de programas de entretenimiento, pero en temas serios ¿podemos creer lo que vemos?.

Y estos son solo los usos diarios de la IA. Y solo por ello, se ha entendido que es importante una regulación necesaria para preservar la intimidad, la libertad, la autonomía de cada persona, sus derechos y su seguridad.

Que es IA

Artículo3 A los efectos del presente Reglamento, se entenderá por:

1)«Sistema de inteligencia artificial (sistema de IA)»: el software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el anexo I y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa.

A quien se aplicará el Reglamento y sus restricciones

Artículo2 Ámbito de aplicación

1.El presente Reglamento es aplicable a:

a)los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si dichos proveedores están establecidos en la Unión o en un tercer país;

b)los usuarios de sistemas de IA que se encuentren en la Unión;

c)los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión.

Actividades regladas de IA

Al ser imposible alcanzar a prever todas las aplicaciones concretas de la IA, la clasificación de las mismas que la Comisión hace en su propuesta se basa en el ‘riesgo’ que su uso conlleva, clasificándolas como de:

Riesgo inaceptable: Se prohibirán los sistemas de IA que se consideren una clara amenaza para la seguridad, los medios de vida y los derechos de las personas. Esto incluye los sistemas o aplicaciones de IA que manipulan el comportamiento humano para eludir el libre albedrío de los usuarios (por ejemplo, los juguetes que utilizan asistencia de voz y fomentan el comportamiento peligroso de los menores) y los sistemas que permiten el «scoring social» por parte de los gobiernos.

Alto riesgo: Los sistemas de IA identificados como de alto riesgo incluyen la tecnología de IA utilizada en:

  • Infraestructuras críticas (por ejemplo, el transporte), que podrían poner en riesgo la vida y la salud de los ciudadanos;
  • La formación educativa o profesional, que puede determinar el acceso a la educación y el curso profesional de alguien (por ejemplo, la calificación de los exámenes);
  • Componentes de seguridad de los productos (por ejemplo, aplicación de la IA en la cirugía asistida por robots);
  • Empleo, gestión de los trabajadores y acceso al autoempleo (por ejemplo, software de clasificación de CV para los procedimientos de contratación);
  • Servicios privados y públicos esenciales (por ejemplo, puntuación de créditos que niega a los ciudadanos la oportunidad de obtener un préstamo);
  • Aplicación de la ley que puede interferir con los derechos fundamentales de las personas (por ejemplo, evaluación de la fiabilidad de las pruebas);
  • Gestión de la migración, el asilo y el control de fronteras (por ejemplo, verificación de la autenticidad de los documentos de viaje);
  • Administración de justicia y procesos democráticos (por ejemplo, aplicación de la ley a un conjunto concreto de hechos).

Los sistemas de IA de alto riesgo estarán sujetos a estrictas obligaciones antes de poder comercializarlos:

  • Sistemas adecuados de evaluación y mitigación de riesgos;
  • Alta calidad de los conjuntos de datos que alimentan el sistema para minimizar los riesgos y los resultados discriminatorios;
  • Registro de la actividad para garantizar la trazabilidad de los resultados;
  • Documentación detallada que proporcione toda la información necesaria sobre el sistema y su finalidad para que las autoridades puedan evaluar su conformidad;
  • Información clara y adecuada al usuario;
  • Medidas adecuadas de supervisión humana para minimizar el riesgo;
  • Alto nivel de solidez, seguridad y precisión.
  • En particular, todos los sistemas de identificación biométrica a distancia se consideran de alto riesgo y están sujetos a requisitos estrictos. Su uso en vivo en espacios de acceso público con fines policiales está prohibido en principio. Las limitadas excepciones están estrictamente definidas y reguladas (como cuando es estrictamente necesario para buscar a un niño desaparecido, para prevenir una amenaza terrorista específica e inminente o para detectar, localizar, identificar o procesar a un autor o sospechoso de un delito grave). Esta utilización está sujeta a la autorización de un órgano judicial u otro órgano independiente y a límites adecuados en cuanto a tiempo, alcance geográfico y bases de datos consultadas.

Riesgo limitado, es decir, sistemas de IA con obligaciones específicas de transparencia: Cuando se utilizan sistemas de IA, como los chatbots, los usuarios deben ser conscientes de que están interactuando con una máquina para poder tomar una decisión informada de continuar o retroceder.

Riesgo mínimo: La propuesta legal permite el libre uso de aplicaciones como los videojuegos con IA o los filtros de spam. La gran mayoría de los sistemas de IA entran en esta categoría. El proyecto de Reglamento no interviene aquí, ya que estos sistemas de IA representan un riesgo mínimo o nulo para los derechos o la seguridad de los ciudadanos.

Referencia normativa Propuesta de Reglamento :

  • Aplicaciones de IA de “alto riesgo” (Arts. 5 a 40): se considera que ciertas aplicaciones de la IA pueden suponer serios riesgos para los ciudadanos, por lo que:
    • establece determinados requisitos (Art. 8ss),
    • exige información a los usuarios (Art. 13)
    • o se exige ‘vigilancia humana’ de la actividad automatizada(Art. 14)  en determinados casos, como por ejemplo, el uso de IA para identificación biométrica o para el funcionamiento de infraestructuras críticas.
  • Aplicaciones de IA prohibidas: Art. 5.1
  • Aplicaciones de IA sujetas a autorización: Art. 30
  • Aplicaciones de IA con requisitos específicos: Art. 41 , por ejemplo caso de uso de  “chatbot” o sistemas de “deepfake”.

«El éxito en la creación de la inteligencia artificial podrá ser el evento más grande en la historia de la humanidad. Desafortunadamente también sería el último, a menos de que aprendamos cómo evitar los riesgos«

Stephen Hawkings

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 5, 2019

Pues no, PAYPAL no es la Dark Web

Filed under: Comercio Electrónico,Medios de pago — Etiquetas: , , — legisconsulting @ 12:43

Está extendida la idea de que PAYPAL s una especie de limbo desde el que construir estructuras de evasión fiscal. Y es igualmente frecuente en este despacho recibir cuestiones en este sentido.

La última es un comentario en una  entrada del Blog que es casi una compilación de todas las ideas que circulan por Internet, de tal forma que entiendo que bien  merecen un post aclaratorio por su interés general, más que una simple respuesta al comentario.

El comentario -que se puede encontrar entre los comentarios del post- dice lo siguiente:

«buenas, un conocido esta facturando unos 10€ al mes haciendo dropshipping, lleva desde junio 65€ facturados, el beneficio no es tanto, mas o menos 30.000 euros han ido a través de paypal, recientemente se dió de alta como autónomo y no ha declarado nada, sin embargo aún le quedan unos 4000€ en su cuenta de paypal, no tiene pensado declarar. Debería crearse una cuenta nueva de paypal para no llegar a los 50.000 y tener la cifra actual en negro y asi ir pasandole a conocidos cantidades pequeñas para poder retirarlo?»

De la actividad económica

Comentario.- Manifiesta el lector que, estando de alta en RETA,  se ha venido desarrollando una actividad económica que ha generado unos beneficios que no se han declarado.

Legalidad.- Todos los ingresos, sin límite mínimo, deben ser declarados a Hacienda y toda actividad, sea cual sea y se desarrolle como se desarrolle debe cumplir unas obligaciones.

El caso del Dropshipping que se nos plantea no es particularmente complejo al tratarse simplemente de una compraventa de bienes y, en este caso llevaría aparejara sin duda la obligación de presentar declaraciones trimestrales de IRPF al entender que se trata de una persona física, así como la obligación de ingresar el correspondiente IVA.

De no hacerse todo ello, se estaría cometiendo:

  • una infracción administrativa por incumplir la obligación de presentar las declaraciones obligatorias,
  • más una infracción administrativa por no ingresar el importe correspondiente al IRPF,
  • más una infracción administrativa por no ingresar lo recaudado en concepto de IVA,
  • más una infracción penal si la cuantía defraudada supera los 120.000€
  • más las infracciones que pudieran corresponder caso de importarse los productos de fuera de la UE y ser aplicable la normativa de Aduanas

Además, caso de llegar la actividad a conocimiento de hacienda, esta tomará como referencia para la imposición de las sanciones las cantidades brutas percibidas y no simplemente los beneficios, correspondiendo en su caso al inspeccionado demostrar que hay también unos costes asociados mediante facturas que permitirían rebajar el importe de la sanción. Algo no tan fácil como pudiera llegar a parecer.

De PAYPAL como ‘dark web’

Comentario.- Manifiesta que más o menos 30.000€ han pasado a través de PAYPAL y que aún quedan en ella unos 4.000€ que no tiene pensado declarar.

 Legalidad.- PAYPAL no es opaco para hacienda, sino que debe ser entendido como un simple medio de pago, como ya se ha manifestado reiteradamente en este Blog cuyo uso no afecta, ni exime  (¡ni protege!) del cumplimiento de las obligaciones anteriormente mencionadas.

Paypal es ya un banco con sede en Luxemburgo que, por tanto se encuentra sujeto a toda la normativa, obligaciones, deberes de información a las autoridades y controles de la UE. Y es esta la razón por la que, dadas las cantidades mencionadas, a estas alturas al conocido de la persona que escribe el comentario se le habrá exigido ya toda la documentación que lleve a PAYPAL a asegurarse de que la actividad que desarrolla es legal.

Ahora bien, la actividad de PAYPAL a que se refiere el comentario no es la actividad propia de un banco, sino de una Entidad de Servicios de Pago, por lo que,  lo que denominamos ‘cuenta‘ de PAYPAL, no puede ser entendida como un depósito bancario, sino como un mero ‘instrumento técnico’ necesario para prestar dicho servicio de pago.  Y ello tiene como consecuencia comúnmente aceptada variaciones en cuando a l momento en que deben ser declaradas a hacienda las cantidades percibidas a través de Paypal, pero en ningún caso eximiendo del deber de declarar y tributar por ellas ni evitando que Hacienda las pueda reclamar.

Del límite de los 50.000€

Comentario.- Manifiesta que debería crear una nueva cuenta de PAYPAL para no llegar al límite de los 50.000 €

Legalidad.- Hay obligación de informar a Hacienda de todos los bienes y derechos en el extranjero cuando todos ellos en su conjunto superen los 50.000€ (RD 1558/2012).

Se trata de una mera declaración informativa a hacienda sobre el conjunto de los bienes y derechos en el extranjero cuyo incumplimiento conlleva aún importantes sanciones a pesar de haber sido cuestionadas estas por la Comisión Europea y haber sido instado el Estado Español a modificarlas por atentar contra la normativa comunitaria.

Y  aún cuando el texto de la Ley permite cuestionar si una ‘cuenta’ de PAYPAL estaría dentro de los bienes o derechos que deben ser declarados, a Dirección General de Tributos hace ya mucho que ha dictaminado que hay obligación de declarar las cuentas de PAYPAL independientemente de si ese importe está en  una o varias cuentas.

De cualquier forma, PAYPAL conoce quien es el titular real de cada cuenta porque así le obliga la normativa sobre blanqueo de capitales y cumple con los deberes de información anteriormente mencionados.

De la estructura para no declarar

Comentario.- Manifiesta la posibilidad de traspasar pequeñas cantidades a conocidos para poder retirarlas.

Legalidad.-Toda cantidad percibida debe ser declarada independientemente de su cuantía.

Ello implica que el perceptor de esas ‘pequeñas cantidades’ tendrían el deber de incluirlas en su declaración y pagar por ellas, además de tener que explicar ante hacienda las razones que las justifican.

Pero es que si además el conocido de la persona que escribe el comentario en el post  hubiera superado el límite de la infracción penal al superar los 120.000€, todos ellos, tanto esta persona como los receptores de esas pequeñas cantidades estarían incurriendo en un delito de blanqueo de capitales independientemente de las cuantías. Si bien, obviamente, en distinto grado. Una forma de hacer incurrir en graves riesgos a los conocidos .

PAYPAL no es, ni la ‘dark web‘, ni un paraíso fiscal.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 20, 2019

Novedades (con sorpresa) en las Cookies

Filed under: Comercio Electrónico,Emprender,Informática,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 10:53

La AEPD ha actualizado Guía Sobre el Uso de las Cookies. Que no es norma, pero que son una serie de recomendaciones a la luz del RGPD y de la LOPDGDD que más nos vale seguir.

El documento es extenso, pero las novedades no son tantas.

Información

En primer lugar se mantiene la recomendación del sistema de información por capas, con una primera capa con la información esencial sin ‘rollos‘ innecesarios ni frases vacías de contenido del tipo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted«.

Así, para esta primera capa, en función de las cookies que se usen y de la funcionalidad de las mismas, la AEPD sugiere una serie de textos

Ejemplo 1:  Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.

ACEPTAR COOKIES         RECHAZAR COOKIES

Ejemplo 2: Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.

ACEPTAR

Ejemplo 3: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso.

Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.

Consentimiento (y sorpresa)

Es este último ejemplo el que probablemente marca la mayor novedad y más interés despertará entre los diseñadores de páginas Web, puesto que admite que la opción de ‘seguir navegando‘ constituye una prestación válida del consentimiento .

Si bien este tipo de consentimiento solo será válido si se cumplen requisitos de FORMA como

  • Que el aviso se encuentra  en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.
  • Que se incluya en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

Y  que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. O en dispositivos como el móvil o la tablet, cuando desliza la pantalla accediendo al contenido.

Y límites en cuento al FONDO, por cuanto  no será válido en los casos en que a través de las cookies se realicen tratamientos de datos que requieran un consentimiento expreso, tales como:

  • categorías especiales de datos personales del Art 9 RGPD
  • que se tomen decisiones individuales automatizadas del Art 22  RGPD
  • o se realicen transferencias internacionales de datos amparadas en el consentimiento de las del Capítulo V  RGPD

Tiempo  

Por una parte la AEPD recomienda valorar si es necesario la instalación de cookies persistentes en lugar de las de sesión,  puesto que señala que, «para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad«. Y que es mucho más probable que se consideren como exceptuadas del deber de  consentimiento  las cookies de sesión que las persistentes.

Y en cuanto a las cookies persistentes instaladas, la AEPD viene a recomendar una actualización del consentimiento cada 2 años: «Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.»

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 7, 2019

Bloqueo de cuenta Paypal o en el Banco

Filed under: bancos,Comercio Electrónico,Medios de pago — Etiquetas: , , — legisconsulting @ 12:36

Es cada vez más frecuente el bloqueo de cuentas y su contenido por bancos o Servicios de Pago como PAYPAL. Y en su mayor parte se trata de meros errores burocráticos

Porqué se bloquean las cuentas

La Ley de prevención del Blanqueo de Capitales y Financiación del Terrorismo establece una serie de obligaciones para muchas personas (de bancos a inmobiliarias o abogados entre muchas otras) que en su mayor parte no están ni tasadas ni detalladas.

Así, la ley obliga a los bancos o a Paypal a

  • La identificación formal de la persona con la que tratan
  • A la identificación del titular real (y no sólo al nominal)
  • Conocer la naturaleza de los negocios o movimientos de dinero
  • A un seguimiento y escrutinio continuo de la actividad de la persona que se trate
  • Y -aquí viene lo difícil- a la aplicación de medidas de diligencia debida.

Y si tienen la más mínima sospecha, indicio o duda sobre cualquier de operación, tienen obligación de:

  • notificarla al SEPBLAC,
  • suspender la operación o restringir el uso (transferencia o uso de cuentas, por ejemplo)
  • y la prohibición expresa de notificar al interesado que se ha producido tal notificación al SEPBLAC.

Traducido a un lenguaje llano, sin detallar como deben hacerlo, la ley obliga a estas entidades a conocer y entender todos los detalles de las relaciones comerciales o de negocios de sus clientes.

De ahí que los bancos o entidades de pago (PAYPAL o similares) soliciten en cualquier momento o incluso de forma reiterada documentación concreta y específica.

Y si no se les da una explicación que ellos entiendan como ‘convincente‘ incluso lleguen a bloquear cuentas u operaciones concretas caso de la operación pudiera llegar a generar dudas de que se trate de una operación de blanqueo o algo peor.

Como se ve, la norma es poco concreta en cuanto al detalle de cómo cumplir las obligaciones a que vienen obligados bancos o entidades de servicios de pago como PAYPAL(*). Y aún cuando existe una extensa normativa sobre los deberes de transparencia de operaciones financieras y de protección de la clientela, no hay una norma específica que proteja a los usuarios de estos servicios de las posibles sospechas que se tengan sobre ellos, así que habrá que acudir a otra normativa más general.

El primer paso es acudir a la entidad de que se trate solicitando explicaciones y ofreciendo cuanta documentación, justificantes o escritos explicativos entendamos como necesarios para justificar las operaciones.  Ello se puede hacer bien en la propia sucursal si se trata de un banco o una entidad aseguradora o a través de los servicios de atención al cliente que estas entidades (incluido PAYPAL) tienen la obligación de poner al servicio de sus clientes. Pero siembre por escrito y dejando constancia de la documentación que se aporta.

La entidad es cierto que tiene prohibido notificar al usuario que ha elevado una notificación al SEPBLAC, pero sí tiene la obligación de exigir al usuario cuanta documentación estime pertinente. Si no lo ha hecho estará incumpliendo sus obligaciones.

Si a pesar de las explicaciones la cuenta u operación continúa bloqueada podremos suponer que se ha dado traslado de las sospechas al SEPBLAC y, en su caso, los fondos se han ingresado en la cuenta de este organismo que, caso de estimar las sospechas de infracción, las elevará al organismo judicial o administrativo que corresponda y que será quien resuelva.

En ningún caso el SEPBLAC prohíbe o autoriza la operativa de un cliente concreto. Lo hacen los obligados por la Ley de Blanqueo como bancos, PAYPAL o entidades aseguradoras. Y es  estos a quienes hay que convencer por todos los medios de que no se trata  de operaciones de blanqueo de capitales ni de financiación del terrorismo.

(*) Aunque PAYPAL es un banco, en su mayor parte actúa como prestador de servicios de pago

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 10, 2019

Qué es un servicio -exclusivo- de Internet

Filed under: Comercio Electrónico,Emprender — Etiquetas: , , — legisconsulting @ 10:17

Determinar si un servicio es exclusivamente un Servicio de la Sociedad de la Información o algo más, determinará su normativa aplicable, las obligaciones a que está sometido y su régimen de sanciones. Mucho más que una mera disquisición jurídica.

Hace algo más de una semana, el Abogado General presentó sus conclusiones en un caso abierto ante el tribunal que implica a AIRBNB en Irlanda denunciada por una asociación francesa, pero que igual se pueden aplicar a una plataforma de venta de zapatos en El Escorial.

La argumentación -salvo matices- no es nueva, pero sí lo suficientemente clarificadora.

Resumiéndolo mucho, la cuestión en el caso concreto es si AIRBNB es sólo una plataforma de Internet o es algo más y se le deben aplicar las exigencias que recaen sobre las agencias inmobiliarias.

Conclusiones

A la cuestión planteada, el Abogado General plantea las siguientes conclusiones:

Sobre el servicio: Si el prestador del servicio no ejerce control algunos obre las modalidades esenciales de las prestaciones, constituye un servicio de la sociedad de la información.

Sobre las prestaciones accesorias: Y no impedirán esta calificación el hecho de que se ofrezcan prestaciones o servicios accesorios si estas prestaciones accesorias sean indivisibles y conformen un todo indisociable con esos servicios.

Sobre la normativa aplicable: Solo se podrán exigir requisitos adicionales en aplicación de normativas de terceros países (Francia en este caso)  para proteger los derechos de los consumidores.

Sobre donde se presta el servicio: Sólo se podrán establecer requisitos y exigencias adicionales al Servicio de la Sociedad de la Información en terceros países (Francia en este caso):

  • si se ha tratado caso por caso y no de forma general.
  • previo requerimiento al país de origen (Irlanda en este caso) que adopte medidas específicas en materia de servicios de la sociedad de la Información.
  • Y previa notificación a la Comisión Europea.

En conclusión, la asunción de un servicio exclusivamente como de la Sociedad de la Información permite al emprendedor prestador del servicio tener perfectamente cuáles son sus obligaciones y responsabilidades, no ya solo en su país de residencia, sino en tota la Unión Europea.

Nota de prensa TJUE

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 22, 2018

Partidos políticos y barra libre de consentimientos LOPD

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 13:24

Daños colaterales de la Ley Electoral: ¿Podrá cualquiera tratar datos personales de cuaualquiera sin consentimiento por el mero hecho de haberlos encontrado en Internet?

Ante las noticias aparecidas en medios de comunicación sobre la modificación de la Ley Orgánica del Régimen Electoral General (LOREG) en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la Agencia Española de Protección de Datos (AEPD) quiere manifestar lo siguiente(*):

«El texto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.

Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.

Sólo permite, conforme al Considerando 56 del Reglamento Europeo de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.

Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.

El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.

En todo caso, las previsiones del artículo recogido deben cumplir todas las garantías establecidas en el Reglamento Europeo de Protección de Datos.»

(*)Texto extraido de la web Noticias Jurídicas

Pero al margen de comunicado, veamos las normas:

1.-) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)

Considerando (56):  Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

2.-) Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (en tramitación)

Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2.
Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

Y  según el RGPD, tienen la consideración de fuentes de acceso público:

  • el censo promocional,
  • las guías telefónicas
  • las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  • los diarios y boletines oficiales
  • los medios de comunicación… (Internet y las Redes Sociales no lo son, al menos hasta ahora)

Entonces, eso de «páginas Web y otras fuentes de acceso público«: ¿cambia el concepto de fuente de acceso público?; ¿podremos -cualquiera, no solo los partidos- tratar datos de cualquiera que cumpla la LSSI en su Web?; ¿o de cualquiera con un perfil de Linkedin o Facebook?; ¿¡…sin consentimiento expreso!?

Personalmente pienso que no puede ser, pero aquello de la seguridad jurídica parece ser un bien cada vez más escaso…

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 5, 2018

Entender el RGPD como paso previo para adaptarse

Filed under: Comercio Electrónico,Informática,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 12:08

El RGPD es un ladrillo. Ya asustan de entrada los 173 considerandos en sus primeras 32 páginas antes de llegar al artículo 1. Pero en la práctica, implementarlo no es para tanto si se ha entendido…

«Efecto Reglamento»

Para quien tenga edad y memoria, con el RGPD ha pasado lo mismo que con el principio del milenio con ‘el efecto 2000‘.  Los ordenadores colapsarían y las consecuencias sería impredecibles.

Han pasado ya varios días desde la entrada en vigor del RGPD  y aún no ha pasado de moda. Siguen llegando los emails pidiendo consentimientos o comunicando unas condiciones de privacidad «adaptadas al reglamento» que dejan la enciclopedia británica como relato breve. Parece que aquello de que la información debe ser «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo« no debe venir en todas las ediciones del reglamento.

Las consultas que entran son básicamente del tipo: «¿qué papeles debo tener en el cajón  para cumplir con el RGPD?«. Y en respuesta a tal pregunta surgen la ofertas para adaptarse al RGPD con un simple sistema informático que prometen cumplir con todas las exigencias y hasta notificar los ficheros a la AGPD. Cuando hasta la AGPD facilita la documentación para bajo nivel de riesgo.

A esta confusión contribuyen hasta las televisiones con expertos que dicen cosas cuando menos extrañas: como el alto responsable de una empresa informática que vi el otro día que, simplificando el RGPD hasta el extremo, mantenía que lo importante era el consentimiento. Que había que pedirlo de nuevo y que si el interesado lo denegaba, pues que tocaba volver a pedirlo hasta que se consiguiera… Pero muchos de los consentimientos que todo el mundo tenía antes del viernes 25 de mayo de 2018 eran válidos. La operativa de aquellos que lo venía haciendo bien sigue siendo válida; y el tratamiento de los datos de quien cumplía la LOPD necesitará de pocas adaptaciones al RGPD.

Pero muy pocos lo hacían bien porque lo limitaban a una lista de formalismos y papeles.

Qué es el RGPD

Si se ha entendido y se hace bien, la adaptación en la inmensa mayoría de los casos debería ser fácil y rápida. Pero para ello es necesario asimilar lo que NO es el RGPD

  • –        El RGPD NO es un caos: los requisitos y exigencias no son tantos si se hace debidamente.
  • –        NO es una lista de papeles: Sí hay documentos que hay que tener (que no depositar ante ala AGPD), pero no más de los que se exigían antes.
  • –        NO es una lista de formalismos
  • –        Y NO es algo que pueda hacer cualquiera

Y sí entender lo que Sí es el RGPD.

«La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal…»

  • –        Es una forma de pensar
  • –        Es una forma de actuar
  • –        Es sentido común y empatía

Obviamente, como no puede ser de otra manera, el RGPD establece una serie de formalismos concretos, pero junto a ellos plantea una serie de obligaciones, requisitos, formas de actuar e incluso conceptos jurídicos mucho menos concretos y detallados pero que sí exige que sean demostrables: «sé proactivo en la ‘protección de datos por la protección de datos’ y demuéstrame que lo eres«.

Y la única forma de hacer eso y realmente cumplir con el reglamento es entendiendo el reglamento.

Entender el Reglamento

Legalmente, prestar servicios de asesoramiento jurídico sólo lo podemos hacer los abogados. Como profesión regulada que es, el ordenamiento jurídico entiende que para prestar tales servicios se necesita de unos estudios y conocimientos específicos. Pero el Reglamento (RGPD) fija algo que parece contradictorio: El Delegado de protección de datos es por ejemplo el máximo responsable de informar, asesorar y supervisar el cumplimiento de las disposiciones del reglamento, pero no se le exige ser jurista.

Ello es porque la primera exigencia del Reglamento es entender  el entorno para saber cómo proteger los datos. Y entiende -desde mi punto de vista erróneamente- que los conocedores del entorno serán los que mejor podrán protegerlos. Y quien vive en y por esos entornos, normalmente no son juristas.

Pero el paso previo es leer y entender el Reglamento para poder aplicarlo en un entorno concreto. Y leer y entender el Reglamento es algo propio de juristas. No porque seamos más listos o menos, sino porque nuestra mente funciona de forma distinta en un ecosistema propio. Es conocido por un estudiante de primero de Derecho -y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un sistema con capacidad de auto y hetero-integración en el que todo está conectado.

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.

(2) … El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

Por ello parece que en un tema tan particularmente complejo y tan lleno de pequeños matices sean los juristas los más apropiados, aunque siempre necesitaremos de otros profesionales para cualquier adaptación plena.

Se acabaron las notificaciones de archivos a la AGPD y la tenencia de papeles en un cajón colocados allí el día antes de la anunciada visita de los inspectores de la Agencia. El Reglamento establece ahora una gestión activa de los datos, unas obligaciones en la operativa diaria del tratamiento de los datos y unas funciones de autocontrol a través de órganos internos que antes estaban reservadas a la agencia. Igual que hacienda externaliza el cobro del IVA en manos de los empresarios, el reglamento externaliza la gestión y control de los datos en manos de todo el que trate datos personales con cualquier fin fuera del ‘ejercicio de actividades exclusivamente personales o domésticas‘. Y la AGPD controlará que se hace igual que hacienda controla que se cargue el IVA en las facturas.

Adaptación al RGPD

Como decía antes, la adaptación al RGPD debería ser en la mayoría de los casos fácil y rápida. Y si bien es posible crear herramientas que faciliten la labor y/o aporten un valor añadido, estas sólo pueden ser a día de hoy una solución parcial. Se requiere más: siempre serán necesarias acciones adicionales específicas sobre todo en (y en función de) la operativa.

Aprenderse de memoria el RGPD no basta. Hay que entender qué bien está protegiendo y los objetivos y límites de tal protección. La inteligencias artificial tiene un grandísimo futuro, pero para la adaptación al RGPD, la inteligencia mejor Emocional.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 27, 2018

Medidas de responsabilidad activa — RGPD XI

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 10:10

El nuevo RGPD, plenamente en vigor desde el 25 de mayo de 2018, entraña varias obligaciones que han sido tratadas con anterioridad en este blog, pero es la nueva obligación de adoptar «medidas de responsabilidad activa» la que parece en principio menos concreta.

Con Legisconsulting cumplirá esas obligaciones de forma fácil, segura y sin papeles.

En concreto, sobre el desarrollo que de esta obligación hace la propia Agencia Española de Protección de Datos, le aportamos los medios para que la pueda dar por satisfecha y -lo más importante- demostrar que las ha adoptado.

Ø Análisis de riesgos

Sus archivos con el máximo nivel de protección

Ø  Registro de actividades de tratamiento

Le proporcionamos el documento de Registro de Actividades personalizado y adaptado.

Además se lo adaptamos ante cualquier cambio o ampliación de su actividad

Ø Protección de Datos desde la Protección de Datos

Aportamos y asesoramos sobre las medidas organizativas y técnicas para integrar en los tratamientos garantías que permiten aplicar de forma efectiva los principios del RGPD.

Ø Medidas de seguridad

Con el máximo nivel de seguridad en el depósito de los archivos, aportamos a los responsables y encargados del tratamiento de los datos el asesoramiento continuo y medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos a que vienen obligados.

Ø Notificación de “violaciones de seguridad de los datos”

Si en su actividad diaria se llegara a producir una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

En estas caso, le ayudaremos a valorar la procedencia o no de la Notificación y en su caso le proporcionaremos la vía, debidamente adaptada al RGPD, para realizarla y la forma en que debe quedar documentada.

Ø Evaluación de impacto sobre la Protección de Datos

Le proporcionamos y mantenemos con el máximo nivel de protección la documentación acreditativa de haber realizado la preceptiva evaluación de impacto.

Ø Delegado de Protección de Datos

En su caso, si en base a la actividad que desarrolla o al tipo de datos tratados le fuera exigible un Delegado de Protección de datos, en Legisconsulting estamos en disposición atendiendo a la experiencia y conocimientos, de asumir tal figura.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de «si sigue navegando acepta«. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del «si quiere seguir navegando con cookies, acepta«.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo «Aviso de Privacidad» porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la «Actitud»

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »