mayo 10, 2019

Qué es un servicio -exclusivo- de Internet

Filed under: Comercio Electrónico,Emprender — Etiquetas: , , — legisconsulting @ 10:17

Determinar si un servicio es exclusivamente un Servicio de la Sociedad de la Información o algo más, determinará su normativa aplicable, las obligaciones a que está sometido y su régimen de sanciones. Mucho más que una mera disquisición jurídica.

Hace algo más de una semana, el Abogado General presentó sus conclusiones en un caso abierto ante el tribunal que implica a AIRBNB en Irlanda denunciada por una asociación francesa, pero que igual se pueden aplicar a una plataforma de venta de zapatos en El Escorial.

La argumentación -salvo matices- no es nueva, pero sí lo suficientemente clarificadora.

Resumiéndolo mucho, la cuestión en el caso concreto es si AIRBNB es sólo una plataforma de Internet o es algo más y se le deben aplicar las exigencias que recaen sobre las agencias inmobiliarias.

Conclusiones

A la cuestión planteada, el Abogado General plantea las siguientes conclusiones:

Sobre el servicio: Si el prestador del servicio no ejerce control algunos obre las modalidades esenciales de las prestaciones, constituye un servicio de la sociedad de la información.

Sobre las prestaciones accesorias: Y no impedirán esta calificación el hecho de que se ofrezcan prestaciones o servicios accesorios si estas prestaciones accesorias sean indivisibles y conformen un todo indisociable con esos servicios.

Sobre la normativa aplicable: Solo se podrán exigir requisitos adicionales en aplicación de normativas de terceros países (Francia en este caso)  para proteger los derechos de los consumidores.

Sobre donde se presta el servicio: Sólo se podrán establecer requisitos y exigencias adicionales al Servicio de la Sociedad de la Información en terceros países (Francia en este caso):

  • si se ha tratado caso por caso y no de forma general.
  • previo requerimiento al país de origen (Irlanda en este caso) que adopte medidas específicas en materia de servicios de la sociedad de la Información.
  • Y previa notificación a la Comisión Europea.

En conclusión, la asunción de un servicio exclusivamente como de la Sociedad de la Información permite al emprendedor prestador del servicio tener perfectamente cuáles son sus obligaciones y responsabilidades, no ya solo en su país de residencia, sino en tota la Unión Europea.

Nota de prensa TJUE

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 22, 2018

Partidos políticos y barra libre de consentimientos LOPD

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 13:24

Daños colaterales de la Ley Electoral: ¿Podrá cualquiera tratar datos personales de cuaualquiera sin consentimiento por el mero hecho de haberlos encontrado en Internet?

Ante las noticias aparecidas en medios de comunicación sobre la modificación de la Ley Orgánica del Régimen Electoral General (LOREG) en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, la Agencia Española de Protección de Datos (AEPD) quiere manifestar lo siguiente(*):

«El texto no permite el tratamiento de datos personales para la elaboración de perfiles basados en opiniones políticas.

Tampoco permite el envío de información personalizada basada en perfiles ideológicos o políticos.

Sólo permite, conforme al Considerando 56 del Reglamento Europeo de Protección de Datos, la recopilación por parte de los partidos políticos de datos personales relativos a opiniones políticas para obtener información que les permita pulsar las inquietudes de los ciudadanos con el fin de poder darles respuesta en sus propuestas electorales. Esta interpretación se fundamenta en la supresión del término “tratamiento” recogido en la enmienda 331 inicialmente presentada en el Congreso.

Este criterio se basa, asimismo, en la supresión del apartado 2 de dicha enmienda, que permitía la difusión de propaganda electoral basada en perfiles ideológicos con determinadas garantías.

El texto permite el envío de propaganda electoral sin que su contenido pueda basarse en los perfiles antes citados, identificando en cualquier caso su naturaleza electoral y garantizando el ejercicio sencillo y gratuito del derecho de oposición.

En todo caso, las previsiones del artículo recogido deben cumplir todas las garantías establecidas en el Reglamento Europeo de Protección de Datos.»

(*)Texto extraido de la web Noticias Jurídicas

Pero al margen de comunicado, veamos las normas:

1.-) REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)

Considerando (56):  Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

2.-) Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (en tramitación)

Disposición final tercera. Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.

«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.

1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.

3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.

4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.

5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.

Y  según el RGPD, tienen la consideración de fuentes de acceso público:

  • el censo promocional,
  • las guías telefónicas
  • las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
  • los diarios y boletines oficiales
  • los medios de comunicación… (Internet y las Redes Sociales no lo son, al menos hasta ahora)

Entonces, eso de «páginas Web y otras fuentes de acceso público«: ¿cambia el concepto de fuente de acceso público?; ¿podremos -cualquiera, no solo los partidos- tratar datos de cualquiera que cumpla la LSSI en su Web?; ¿o de cualquiera con un perfil de Linkedin o Facebook?; ¿¡…sin consentimiento expreso!?

Personalmente pienso que no puede ser, pero aquello de la seguridad jurídica parece ser un bien cada vez más escaso…

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

junio 5, 2018

Entender el RGPD como paso previo para adaptarse

Filed under: Comercio Electrónico,Informática,Protección de Datos,RGPD — Etiquetas: , , — legisconsulting @ 12:08

El RGPD es un ladrillo. Ya asustan de entrada los 173 considerandos en sus primeras 32 páginas antes de llegar al artículo 1. Pero en la práctica, implementarlo no es para tanto si se ha entendido…

«Efecto Reglamento»

Para quien tenga edad y memoria, con el RGPD ha pasado lo mismo que con el principio del milenio con ‘el efecto 2000‘.  Los ordenadores colapsarían y las consecuencias sería impredecibles.

Han pasado ya varios días desde la entrada en vigor del RGPD  y aún no ha pasado de moda. Siguen llegando los emails pidiendo consentimientos o comunicando unas condiciones de privacidad «adaptadas al reglamento» que dejan la enciclopedia británica como relato breve. Parece que aquello de que la información debe ser «en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo« no debe venir en todas las ediciones del reglamento.

Las consultas que entran son básicamente del tipo: «¿qué papeles debo tener en el cajón  para cumplir con el RGPD?«. Y en respuesta a tal pregunta surgen la ofertas para adaptarse al RGPD con un simple sistema informático que prometen cumplir con todas las exigencias y hasta notificar los ficheros a la AGPD. Cuando hasta la AGPD facilita la documentación para bajo nivel de riesgo.

A esta confusión contribuyen hasta las televisiones con expertos que dicen cosas cuando menos extrañas: como el alto responsable de una empresa informática que vi el otro día que, simplificando el RGPD hasta el extremo, mantenía que lo importante era el consentimiento. Que había que pedirlo de nuevo y que si el interesado lo denegaba, pues que tocaba volver a pedirlo hasta que se consiguiera… Pero muchos de los consentimientos que todo el mundo tenía antes del viernes 25 de mayo de 2018 eran válidos. La operativa de aquellos que lo venía haciendo bien sigue siendo válida; y el tratamiento de los datos de quien cumplía la LOPD necesitará de pocas adaptaciones al RGPD.

Pero muy pocos lo hacían bien porque lo limitaban a una lista de formalismos y papeles.

Qué es el RGPD

Si se ha entendido y se hace bien, la adaptación en la inmensa mayoría de los casos debería ser fácil y rápida. Pero para ello es necesario asimilar lo que NO es el RGPD

  • –        El RGPD NO es un caos: los requisitos y exigencias no son tantos si se hace debidamente.
  • –        NO es una lista de papeles: Sí hay documentos que hay que tener (que no depositar ante ala AGPD), pero no más de los que se exigían antes.
  • –        NO es una lista de formalismos
  • –        Y NO es algo que pueda hacer cualquiera

Y sí entender lo que Sí es el RGPD.

«La protección efectiva de los datos personales en la Unión exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal…»

  • –        Es una forma de pensar
  • –        Es una forma de actuar
  • –        Es sentido común y empatía

Obviamente, como no puede ser de otra manera, el RGPD establece una serie de formalismos concretos, pero junto a ellos plantea una serie de obligaciones, requisitos, formas de actuar e incluso conceptos jurídicos mucho menos concretos y detallados pero que sí exige que sean demostrables: «sé proactivo en la ‘protección de datos por la protección de datos’ y demuéstrame que lo eres«.

Y la única forma de hacer eso y realmente cumplir con el reglamento es entendiendo el reglamento.

Entender el Reglamento

Legalmente, prestar servicios de asesoramiento jurídico sólo lo podemos hacer los abogados. Como profesión regulada que es, el ordenamiento jurídico entiende que para prestar tales servicios se necesita de unos estudios y conocimientos específicos. Pero el Reglamento (RGPD) fija algo que parece contradictorio: El Delegado de protección de datos es por ejemplo el máximo responsable de informar, asesorar y supervisar el cumplimiento de las disposiciones del reglamento, pero no se le exige ser jurista.

Ello es porque la primera exigencia del Reglamento es entender  el entorno para saber cómo proteger los datos. Y entiende -desde mi punto de vista erróneamente- que los conocedores del entorno serán los que mejor podrán protegerlos. Y quien vive en y por esos entornos, normalmente no son juristas.

Pero el paso previo es leer y entender el Reglamento para poder aplicarlo en un entorno concreto. Y leer y entender el Reglamento es algo propio de juristas. No porque seamos más listos o menos, sino porque nuestra mente funciona de forma distinta en un ecosistema propio. Es conocido por un estudiante de primero de Derecho -y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un sistema con capacidad de auto y hetero-integración en el que todo está conectado.

(1) La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.

(2) … El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.

Por ello parece que en un tema tan particularmente complejo y tan lleno de pequeños matices sean los juristas los más apropiados, aunque siempre necesitaremos de otros profesionales para cualquier adaptación plena.

Se acabaron las notificaciones de archivos a la AGPD y la tenencia de papeles en un cajón colocados allí el día antes de la anunciada visita de los inspectores de la Agencia. El Reglamento establece ahora una gestión activa de los datos, unas obligaciones en la operativa diaria del tratamiento de los datos y unas funciones de autocontrol a través de órganos internos que antes estaban reservadas a la agencia. Igual que hacienda externaliza el cobro del IVA en manos de los empresarios, el reglamento externaliza la gestión y control de los datos en manos de todo el que trate datos personales con cualquier fin fuera del ‘ejercicio de actividades exclusivamente personales o domésticas‘. Y la AGPD controlará que se hace igual que hacienda controla que se cargue el IVA en las facturas.

Adaptación al RGPD

Como decía antes, la adaptación al RGPD debería ser en la mayoría de los casos fácil y rápida. Y si bien es posible crear herramientas que faciliten la labor y/o aporten un valor añadido, estas sólo pueden ser a día de hoy una solución parcial. Se requiere más: siempre serán necesarias acciones adicionales específicas sobre todo en (y en función de) la operativa.

Aprenderse de memoria el RGPD no basta. Hay que entender qué bien está protegiendo y los objetivos y límites de tal protección. La inteligencias artificial tiene un grandísimo futuro, pero para la adaptación al RGPD, la inteligencia mejor Emocional.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 27, 2018

Medidas de responsabilidad activa — RGPD XI

Filed under: Comercio Electrónico,Protección de Datos,RGPD — legisconsulting @ 10:10

El nuevo RGPD, plenamente en vigor desde el 25 de mayo de 2018, entraña varias obligaciones que han sido tratadas con anterioridad en este blog, pero es la nueva obligación de adoptar «medidas de responsabilidad activa» la que parece en principio menos concreta.

Con Legisconsulting cumplirá esas obligaciones de forma fácil, segura y sin papeles.

En concreto, sobre el desarrollo que de esta obligación hace la propia Agencia Española de Protección de Datos, le aportamos los medios para que la pueda dar por satisfecha y -lo más importante- demostrar que las ha adoptado.

Ø Análisis de riesgos

Sus archivos con el máximo nivel de protección

Ø  Registro de actividades de tratamiento

Le proporcionamos el documento de Registro de Actividades personalizado y adaptado.

Además se lo adaptamos ante cualquier cambio o ampliación de su actividad

Ø Protección de Datos desde la Protección de Datos

Aportamos y asesoramos sobre las medidas organizativas y técnicas para integrar en los tratamientos garantías que permiten aplicar de forma efectiva los principios del RGPD.

Ø Medidas de seguridad

Con el máximo nivel de seguridad en el depósito de los archivos, aportamos a los responsables y encargados del tratamiento de los datos el asesoramiento continuo y medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos a que vienen obligados.

Ø Notificación de “violaciones de seguridad de los datos”

Si en su actividad diaria se llegara a producir una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

En estas caso, le ayudaremos a valorar la procedencia o no de la Notificación y en su caso le proporcionaremos la vía, debidamente adaptada al RGPD, para realizarla y la forma en que debe quedar documentada.

Ø Evaluación de impacto sobre la Protección de Datos

Le proporcionamos y mantenemos con el máximo nivel de protección la documentación acreditativa de haber realizado la preceptiva evaluación de impacto.

Ø Delegado de Protección de Datos

En su caso, si en base a la actividad que desarrolla o al tipo de datos tratados le fuera exigible un Delegado de Protección de datos, en Legisconsulting estamos en disposición atendiendo a la experiencia y conocimientos, de asumir tal figura.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de «si sigue navegando acepta«. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del «si quiere seguir navegando con cookies, acepta«.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo «Aviso de Privacidad» porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la «Actitud»

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 16, 2018

Modelo 720: cuestiones y casos especiales

Filed under: Actualidad,Comercio Electrónico,Economía,Emprender,Medios de pago,Otros — Etiquetas: , , , — legisconsulting @ 20:08

Llegada la hora de presentar el modelo 720 de declaración de bienes en el extranjero, me ha llegado alguna cuestión sobre «intereses» en el extranjero poco convencionales y si debían ser declarados.

Hace ya años, cuando era aún un proyecto de ley, escribimos un post que, aunque fue actualizado con posterioridad, bien merece un repaso y la contestación a cuestiones concretas sobre bienes y/o derechos concretos.

Obligados

Están obligados a presentar el modelo 720 aquellas personas físicas y jurídicas residentes en territorio español, los establecimientos permanentes en dicho territorio de personas o entidades no residentes

No existirá obligación de informar ningún bien de aquellos grupos en los que la suma de los bienes que lo integran no supere los 50.000 euros.

Qué hay que declarar

  • Cuentas situadas en el extranjero abiertas en entidades que se dediquen al tráfico bancario o crediticio de las que sean titulares o beneficiarios o en las que figuren como autorizados o de alguna otra forma ostenten poder de disposición.
  • Cualesquiera títulos, activos, valores o derechos representativos del capital social, fondos propios o patrimonio de todo tipo de entidades, o de la cesión a terceros de capitales propios, de los que sean titulares y que se encuentren depositados o situados en el extranjero, así como de los seguros de vida o invalidez de los que sean tomadores y de las rentas vitalicias o temporales de las que sean beneficiarios como consecuencia de la entrega de un capital en dinero, bienes muebles o inmuebles, contratados con entidades establecidas en el extranjero.
  • Bienes inmuebles y derechos sobre bienes inmuebles de su titularidad situados en el extranjero.

Casos especiales

Cuentas de Paypal

Como ya hemos señalado hasta la saciedad es este blog, en los textos y en las respuestas a cuestiones planteadas a través de comentarios de lectores, las cuentas de PAYPAL no son ‘cuentas‘ en el sentido legal del mismo como ‘depósito‘ (un término más exacto jurídicamente), sino que es sólo un instrumento necesario para que una entidad de crédito como es PAYPAL preste un servicio de pago, que es lo que realmente hace PAYPAL . Y estos ‘instrumentos necesarios para prestar el servicio, hay una ley que dice expresamente que no pueden ser considerados como depósitos. Por lo tanto, según el texto del RD 1065/2007, no estaría dentro de los supuestos obligados a declarar.

No obstante esta interpretación ,hace ya también años que Hacienda, en respuesta a una consulta vinculante hace una interpretación  extensiva de la norma y señala que

«Por su parte, el portal de “PayPal” define el servicio que presta del siguiente modo:

“PayPal permite a las empresas o consumidores que dispongan de correo electrónico enviar y recibir pagos en Internet de forma segura, cómoda y rentable. La red de PayPal se basa en la infraestructura financiera existente de cuentas bancarias y tarjetas de crédito para crear una solución global de pago en tiempo real. Le ofrecemos un servicio especialmente pensado para pequeñas empresas, vendedores por Internet, particulares y otros a los que no satisfacen los mecanismos de pago tradicionales.”

Y concluye la consulta vinculante,

Finalmente, respecto de la declaración de la cuenta PayPal, podría entenderse, en su caso, que dicha cuenta debe tomarse en consideración a efectos del Impuesto sobre el Patrimonio, o de la obligación de declarar bienes situados en el extranjero.»

Por lo tanto, según esta respuesta, sí habría que declarar las ‘cuentas‘  de PAYPAL.

Crowdlending

Como su propio nombre indica, se trata de un préstamo que como es conocido se realiza a empresas o personas, pero siempre entre ‘particulares’, entendiendo como tal la no presencia de institución financiera alguna  en la operación.

En este caso no se trata de una consulta vinculante con la trascendencia legal que ello conlleva, sino de una  de las preguntas frecuentes contenidas en la página de la AEAT que señala textualmente.

–        Pregunta:  ¿Existe obligación de informar sobre: préstamos concedidos a entidades extranjeras, créditos provenientes de operaciones comercial o de servicios, cuentas en participación o cualquier otra modalidad de préstamo o crédito?

–        Respuesta: Solamente existe obligación de informar sobre la cesión a terceros de capitales propios si estos están representados por valores.

Como vemos, la postura general de Hacienda ante los préstamos es que no habría que declararlos. Pero es que además, dada la naturaleza del Crowdlending, sería cuestionable en primer lugar la naturaleza y extensión del derecho de crédito en base a la exigibilidad del mismo a incluso —atendiendo  al límite de los 50.000€— el valor real del derecho.

Crowdfunding

En España está regulado por la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial, pero como hablamos de inversiones en el extranjero, estas no se encuentran sujetas a esa ley y objeto sabemos que puede ser mucho más variado que el establecido por la ley. Por ello la obligación de declarar dependerá de la naturaleza del contrato de crowfunding.

Si se trata de un préstamo participativo, ya hemos visto que no sería obligatorio declararlo.

Si se trata de suscripción de obligaciones, acciones ordinarias y privilegiadas u otros valores representativos de capital, en este caso la inversión sí estaría representada por ‘valores’ de cualquier tipo y sí habría obligación de declararlos.

Si se trata de emisión o suscripción de participaciones de sociedades de responsabilidad limitada, se rataría de participaciones en sociedades y ello sí entra dentro de los supuestos de la Ley y del Real Decreto.

Betfair

Sirva solo como ejemplo de plataformas que para uso en sus servicios mantienen ‘cuentas‘ que pueden llegar a contener por encima del límite legal. Pero como es un caso que conozco profesionalmente de primera mano, de ahí por ejemplo de Betfair en Reino Unido por las importantes cantidades que maneja.

Es cierto que para operar en esta plataforma en reino unido es obligatorio contar con un domicilio allí y no se puede operar desde aquí, pero también es cierto que existen vías más o menos legales para hacerlo, aunque en este caso nos limitaremos a analizar sólo el modelo 720.

La plataforma permite —o no prohíbe— registrar a una sociedad (LTD) como usuario de la plataforma, con lo que sería perfectamente posible dada la facilidad y bajo coste de crear una sociedad en Reino Unido, utilizarla con este fin. Para ello no es necesario que la persona física detrás de la sociedad sea residente en Reino Unido, así que siendo residente en España podría operar allí en la plataforma. En este caso la obligación dependerá del valor de la sociedad (LTD) y no directamente de la cantidad de dinero que la LTD tenga en Betfair.

También cabe la posibilidad —menos legal— de que alguien usando una VPN desde aquí muestre la apariencia de residir en Reino Unido cuando realmente lo hace en España operando desde España. En este caso vendría obligado a cumplir todas las obligaciones fiscales en España por el mero hecho de residir aquí más de 186 días al año, incluyendo la obligación de presentar el modelo 720 si la necesaria cuenta bancaria vinculada a la plataforma supera el límite de los 50.000€. Pero si es la ‘cuenta‘ de Betfair la que supera esa cantidad, al no ser Betfair en Reino Unido una entidad financiera, ni estar representado ese dinero en título o valor alguno, entiendo que no habría obligación de presentar el modelo 720 aún cuando se residiera en España -oficial o extraoficialmente- y se tuvieran más de 50.000€ como ‘saldo’ en la plataforma.

Crowdcontent

¿Tiene más casos no estrictamente ‘convencionales’?. Platéelos en los comentarios a este post o en Twitter y haremos crecer su contenido.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 2, 2018

Obligados a la protección de datos — RDPD VIII

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 13:07

El 25 de mayo entra plenamente en vigor en nuevo Reglamento Europeo de Protección de Datos que afecta a PYMES, autónomos y muchas personas que ni se les pasa por la imaginación que pudiesen estar obligados y por lo tanto expuestos a cuantiosas sanciones.

Obligados

En resumen, todo el mundo, ya sean personas físicas o jurídicas, con datos en ficheros personalmente total o parcialmente automatizados, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero de personas físicas, en actividades que no sean  exclusivamente personales o domésticas.

Es decir, cualquier dato personal en cualquier actividad que no esté exclusiva y únicamente relacionado con nuestra vida privada personal.

Artículo 2 Ámbito de aplicación material

2.El presente Reglamento NO se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Es casi textualmente lo mismo que señala la vigente LOPD y, como normativa complementaria en el campo que le es propio, la LSSI. Por ello disponemos de un amplio y detallado desarrollo de lo que esto significa. Así, quedarán dentro de las actividades sujetas a la ley todas las actividades económicas, incluidos «los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios«.

Pero esto es sólo el resumen y conviene analizar cada elemento  para ver si realmente se está sujeto a las obligaciones del Reglamento (RGPD).

Que son ‘Datos Personales’

Toda información sobre una persona física identificada o identificable cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Es decir, casi cualquier dato referido a una persona, desde su nombre o número de DNI hasta la dirección IP de su ordenador.

Que es un ‘Fichero’

Fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, desde las bases de datos en la nube, la agenda del teléfono, hasta la agenda de teléfonos en papel que dejó el abuelo en el cajón del despacho o hasta los Post-it con los teléfonos que pegamos a la pantalla son ‘ficheros‘ a efectos de la Ley .

Que es el ‘Tratamiento de datos’

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, desde un punto de vista legal, desde guardas las IP de las personas que visitan nuestra Web hasta tirar el Post-it que decíamos antes a la papelera es ‘tratamiento‘ de datos.

En qué ‘Actividad’

La obligación se extiende a todo tratamiento datos personales independientemente de la actividad u objetivo que se persiga con los datos personales. Sólo existe una excepción general a esa norma si se ‘tratan‘  en un ámbito exclusivamente personal o doméstico.

Soy consciente de que el concepto puede ser lo suficientemente abstracto para que genere dificultad aplicarlo a un caso concreto, por lo que tal vez trasladarlo ejemplos concretos puede facilitar su comprensión.

Ejemplos

  • La agenda que los abuelos guardan en la mesita del teléfono: obviamente no hay nada tan doméstico ni personal como eso y por tanto estaría excluido de las obligaciones del RGPD.
  • El frutero de la abuela (o cualquier tienda física)  que le lleva a la compra a casa porque pesa.  Es igual de obvio que la dirección de la abuela no es una dato personal ni doméstico del frutero y debería cumplir todas las exigencias de la normativa de protección de datos aún cuando tenga la dirección en un papel en la caja.
  • Una Web en la que se venden productos, se ofrecen servicios o funciona como mero ‘escaparate’. En este casi Sí estará obligada a cumplir las disposiciones en materia de protección de datos aún cuando no se venda o contrate nada online. Aunque si a través de la Web no se recaba ningún tipo de dato personal ni se recaban datos ya sea de forma consciente o inconsciente (por uso de cookies por ejemplo). En ese caso NO estaría obligada por el simple hecho de que no hay datos que tratar.
  • Un blog en el que se enseña a diseñar y montar centros de mesa y en el que, como en la mayoría de los blogs, se permite dejar comentarios o hacer consultas con la dirección de Email, que es un dato personal:
  • Si el blog se mantiene -o desde la asociación de vecinos o la biblioteca municipal- y quien lo hace no tiene ninguna actividad profesional relacionada, esta persona NO estaría obligada.
  • Pero si el titular del blog tiene o es socio o trabajador con según qué responsabilidad en algún tipo de negocio relacionado con las flores en el sentido más amplio -desde una floristería; a un salón de banquetes; o a una funeraria, se me ocurre-, en este caso estaría fuera de su esfera estrictamente personal o doméstica y  SÍ estaría obligado a cumplir con todas las obligaciones aunque el único dato personal al que tenga acceso sea el Email de los usuarios con sus comentarios.
  • Un canal de Youtube en que se enseñan a fabricar anzuelos para la pesca. Al igual que en el caso anterior, en tanto se haga por diversión y se realice a titulo estrictamente personal, NO estaría obligado.  Al menos durante el tiempo en que las visitas no se cuenten por miles, porque cuando sea así y se empiece a cobrar, por poco que sea, entonces SÍ se pasará a estar obligado.
  • Médicos, dentistas, fisioterapeutas, etc. Los datos que tratan y a los que acceden están especialmente protegidos y sus obligaciones son mayores que las de resto de interesados y las sanciones por incumplimiento de dichas obligaciones, sustancialmente mayores. SÍ, SIEMPRE están obligados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 27, 2018

La (obligatoria) nueva actitud ante los datos personales — RDPD VII

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 15:44

Actitud proactiva real y demostrable del Encargado del tratamiento; tratamiento de datos a medida;  y seguridad creativa a medida. Son las nuevas obligaciones para el tratamiento que nos trae el Reglamento europeo de Protección de datos – RGPD.

Si bien se ha hecho hincapié en los últimos tiempos en la supresión de la obligación de notificación de ficheros ante la AGPD -obligación que efectivamente no recogen ni el RGPD ni el proyecto de Ley- lo cierto es que el Reglamento Europeo (RGPD) trae una  serie de obligaciones concebidas para involucrar directa y activamente en la protección del derecho fundamental que es el tratamiento de datos personales a las tres figuras centrales en este campo: el Encargado del tratamiento; el Responsable del Tratamiento; y el Delegado de Protección de Datos (DPO).

«Medidas De Responsabilidad Activa«

Es el encabezado que tanto el RGPD como la Ley le dan a este conjunto de medidas.

En ellas, el Responsable de los ficheros pasa de una tener una responsabilidad «pasiva-reactiva» (sólo miro hasta que surja el problema y entonces reacciono) a una responsabilidad «proactiva« que mediante la adopción de medidas específicas —tratamiento a medidaa su caso, busque el cumplimiento no sólo de las normas y obligaciones específicas sino del cumplimiento de los principios de protección de datos. Y ello debiendo documentar como medio de prueba a ante la AGPD  toda su actividad en este sentido.

En concreto, y sin que como hemos señalado pueda tratarse de una lista tasada,  crea obligaciones o sugerencias que más vale cumplir en torno a distintas figuras, marcos y de actuación y códigos de conducta.

Encargado del tratamiento

Deberá ofrecer «garantías suficientes» en la aplicación de las medidas técnicas y organizativas necesarias al cada caso concreto.

El tratamiento de los datos que haga se regirá mediante contrato para el cual dispondremos de cláusulas tipo.

Estará subordinado al Responsable del Tratamiento y le proporcionará todo el apoyo técnico y organizativo así como toda la información de que disponga, incluida específicamente cualquier violación de la seguridad de los datos.

Y si llegara a cambiar los fines y medios del tratamiento usándolos en contra de la ley o RGPD, será considerado Responsable del tratamiento a todos los efectos, sobre todos los sancionadores.

Medidas técnicas

Las obligaciones dependerán de las circunstancias concretas de cada caso atendiendo a variables que van desde la naturaleza de los datos a los posibles riesgos o hasta a los costes y disponibilidad técnica que en todo caso puedan incluir entre otras

  1. la seudonimización (y/o tokenización)  y el cifrado de datos personales. Cifrado que no será obligatorio en todos los casos pero cuya implementación o no podrá acarrear distintas obligaciones o consecuencias caso de haber sido o no aplicadas, por lo que la recomendación general es establecer un sistema de cifrado adecuado y específico que además eximirá del deber de notificar en su caso brechas de seguridad ;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.  Esto implica un análisis de los riesgos concretos del tratamiento para los interesados —seguridad a medida , debiéndose tener en consideración a la hora d la evaluación la posibilidad de peligros concretos en su caso como la destrucción, pérdida o alteración de los datos, la comunicación o acceso no autorizados o aquellos cuya vulneración sea susceptible de ocasionar daños y perjuicios físicos, materiales o inmateriales a los interesados.

El proceso de verificación, por supuesto, deberá quedar debidamente documentado.

Además, atendiendo a la inevitable falibilidad humana —por no decir algo peor—, el RGPD insta sin mencionarlo expresamente en el articulado a mitigar riesgos mediante la implementación de otros mecanismos que protejan los datos de acciones de los interesados lamentablemente tan extendidas como la pérdida del papelito donde apuntamos la contraseña, poner la fecha de nacimiento o picar en las extendidas campañas de «phishing» destinadas a obtener acceso a datos o cuentas.

Así, no hay duda cómo mecanismos como por ejemplo el de doble autenticación (2FA), demostrarían la diligencia y el deseo de proteger los principios inspiradores del RGPD. Y ello, como no, mitigaría sustancialmente las consecuencias de posibles infracciones llegado el caso.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

febrero 23, 2018

DELEGADO DE PROTECCIÓN DE DATOS (DPO-DPD)—RGPD VI

Filed under: Actualidad,Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 11:33

El DPO -según sus siglas en inglés- ó DPD -en español- es la figura central del sistema de protección de datos de las empresas obligadas a partir del 25 de mayo y estrella indiscutible de la reforma que trae el Reglamento Europeo (RGPD). Y no es para menos.

Es tan importante la figura del DPO que el legislador, en un proyecto de ley que no se ha molestado ni en hacer el tradicional copia/pega con que se trasponen la mayoría de las normas comunitarias haciendo meras menciones a artículos del Reglamento, sí desarrolla de forma más detallada y extensa esta figura.

En primer lugar, vaya por delante antes de nada que NO toda la empresa o profesional tendrá la obligación de disponer de un Delegado de Protección de Datos.

Obligados a tener un DPO

El Reglamento Europeo de Protección de datos RGPD es claro y conciso. Están obligados a tener un Delegado de Protección de Datos (DPO):

a)      Autoridades u organismos públicos;

b)      Cuando se traten  de forma habitual y sistemática datos de interesados a gran escala, o

c)       Se traten datos especialmente protegidos o relativos a condenas e infracciones penales.

Pero es la Ley la que desarrolla un listado más detallado de los obligados:

a)      Los colegios profesionales.

b)      Los centros docentes que ofrezcan enseñanzas reguladas.

c)       Las entidades que exploten redes y presten servicios de comunicaciones electrónicas, cuando traten habitual y sistemáticamente datos personales a gran escala.

d)      Los prestadores de servicios de la sociedad de la información (*) cuando elaboren a gran escala perfiles de los usuarios del servicio.

e)      Las entidades de crédito.

f)       Los establecimientos financieros de crédito.

g)      Las entidades aseguradoras.

h)      Las empresas de servicios de inversión,.

i)        Distribuidores y comercializadores de energía eléctrica.

j)        Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude (blanqueo).

k)      Las entidades que desarrollen actividades de publicidad y prospección comercial, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.

l)        Los centros sanitarios.

m)    Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.

n)      Los operadores de juego

o)      Empresas de Seguridad Privada.

Como debe ser el DPO (certificación)

El DPO es garante del cumplimiento de la normativa de la protección de datos en las organizaciones e interlocutor con las Autoridades de Control (AGPD). Y como tal, su nombramiento debe ser comunicado a la AGPD.

Para cumplir sus funciones,  el RGPD sólo exige conocimientos especializados en derecho y que sus cualidades profesionales y experiencia le permitan cumplir con las funciones que detallamos más adelante.

«5.El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.»

Ante este planteamiento tan poco concreto la AGPD, en su potestad de aportar la mayor seguridad a los titulares de los datos, está procediendo a fijar el detalle de los requisitos que deberá cumplir el Delegado de Protección de Datos y las formas de acceder a la cualificación como tal.

Así ha manifestado la AGPD que en principio, según lo dispuesto en el RGPD, no parece que sea exigible una titulación en Derecho para acceder al puesto, aunque la exigencia de «conocimientos especializados del derecho» parecen aconsejarlo así.

También fija la AGPD el foco buscando las ‘cualidades profesionales’, en la posible experiencia anterior del DPD en Protección de Datos, en su conocimiento del ‘entorno‘ o incluso y en su caso en el conocimiento de idiomas.

Como forma de cumplir o concretar todos esos ‘requisitos’ la propia AGPD, junto con una entidad privada, está fomentando un sistema ‘oficial’ de certificación de Delegados de Protección de Datos que a día de hoy no tiene agentes certificadores que ofrezcan cursos, es posible que sea el germen en un futuro (probablemente lejano) sistema de certificación que venga del desarrollo reglamentario del proyecto de Ley LOPD que ya señala que «el cumplimiento de los requisitos (…) podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación«. Pero eso llegará a muy largo plazo.

Al menos hasta que se apruebe la ley -que comentan en la propia AGPD que no será en este año- no habrá ni cursos oficiales y certificaciones oficiales para los Delegados de Protección de Datos.Y sin embargo, el día 25 de mayo sí habrá obligación de tener un DPO. Si tiene la obligación de tener un DPO, busque experiencia y conocimiento, porque no existen a día de hoy ni cursos ‘homologados‘ ni certificaciones oficiales que habiliten a los Delegados, aunque haya quien los venda como tal.

Funciones del DPO

El DPO deberá:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de sus obligaciones en relación con los Datos;
  • supervisar el cumplimiento de la Ley. Entendido el asesoramiento de la forma más amplia y extendida a todos los campos y departamentos que alcance el tratamiento de Datos Personales.
  • Asesorar al responsable del tratamiento sobre la evaluación de impacto en el tratamiento que se haga de los Datos.
  • Ser el contacto y cooperar con la autoridad de control. AGPD o autoridades autonómicas, señala el proyecto de ley (nota: ¡viva la multiplicación de la burocracia!).
  • Recibir reclamaciones de interesados sobre los datos personales tratados.

Posición del DPO en la empresa

EL RGPD y la ley colocan al Delegado de Protección de Datos en una posición de poder en ciertos aspectos casi ‘blindada‘, por lo que es posible que muchas empresas obligadas opten por externalizar el servicio aún cuando cuentan en sus plantillas con personal suficientemente preparado y con un conocimiento definitivamente superior de los mecanismos internos.

Así la Ley y el RGPD fijan la siguiente posición para el DPO

  • Participará de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
  • Se le respaldará en el desempeño de sus  funciones, se le facilitarán los recursos necesarios para el desempeño de dichas funciones y el acceso a TODOS los datos personales y a TODAS las operaciones de tratamiento. Si bien sí tiene un deber de confidencialidad.
  • No podrá recibir ninguna instrucción u orden en lo que respecta al desempeño de sus funciones  ni podrá ser destituido ni sancionado por desempeñar sus funciones salvo que incurra en dolo o negligencia grave. Además sólo rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado del tratamiento.
  • Se le permite desempeñar otras funciones y cometidos bajo el control del responsable o encargado del tratamiento, que  garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.

Entrada en vigor

Me contaba alguien hace unos días que corre el rumor de que la Unión Europea tendrá el detalle de retrasar la entrada en vigor del Reglamento (RGPD) y que tendremos tiempo para adaptarnos más tranquilamente a su exigencias. Pues igual que le dije a esa persona, el RGPD es una norma con rango de Ley de aplicación directa publicada en un documento oficial y no existe ningún mecanismo legal que permita retrasar la entrada en vigor antes del 25 de mayo.

Aunque es previsible que la AGPD sí se comporte de una forma algo más flexible, al menos desde el punto de vista de sancionador, la realidad legal es que las empresas obligadas a tener  un Delegado de protección de datos DPO, el 25 de mayo deberán tener un nombre que notificar a la AGPD.

.

.

.

(*)«Servicios de la sociedad de la información» o «servicios» es todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios.

Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes:

  1. º La contratación de bienes o servicios por vía electrónica.
  2. º La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.
  3. º La gestión de compras en la red por grupos de personas.
  4. º El envío de comunicaciones comerciales.
  5. º El suministro de información por vía telemática.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

« Newer PostsOlder Posts »