Septiembre 3, 2014

UBER: caso de “creatividad legal” en que inspirarse

Archivado en: Comercio Electrónico, Emprender — legisconsulting @ 10:55

La creatividad del emprendedor Ecommerce necesita del apoyo y el soporte de la necesaria ‘Creatividad legal’  para hacer sus servicios seguros o hasta posibles. Y UBER es un ejemplo en que inspirarse.

Se extienden por Internet nuevos modelos de negocio o versiones de los mismos que los hacen más fáciles, accesibles y atractivos a los consumidores  pero que pueden chocar con la Ley. Y la  solución ante la creatividad del emprendedor es la ‘Creatividad Legal‘, que es ese necesario lado de artistas que tenemos los abogados para crear ‘obras’ que hagan posibles los proyectos de nuestros clientes y que va más allá de unos conocimientos que siempre se presuponen.

Aunque nos hayan contado otra cosa, el Ecommerce no es global ni fácil y hay numerosas puertas en el campo, como demuestra el reciente y aún no cerrado caso de UBER.

Impedimentos legales solventados

UBER nació en EEUU como una APP de servicios P2P para el transporte de viajeros. Un servicio que en origen no es de taxis pero se parece mucho y que se parece aún más cada las nueva versión del mismo creada posteriormente por la empresa.

Como el servicio de transporte de viajeros es un sector regulado hasta el extremo (licencias, requisitos personales, legales, de material y un largo etc.) la primera obra de creatividad legal fue establecer que no se trataba de un servicio de Taxi, sino de alquiler de vehículos con conductor.  Algo fácil de justificar cuando se empieza a prestar servicios en vehículos de muy alta gama con conductor.

Pero después llegaron nuevos servicios que cuestionaban el planteamiento y que obligaron a la compañía a establecer nuevos marcos legales para los distintos servicios y que van desde acuerdos con taxistas con licencia (perfectamente legal) a la mera compartición de vehículos (legal, por ejemplo, si se establece el matiz de que se cobra por el uso de la aplicación y no por el transporte).

Pero aún tras la creación de esas estructuras surgen nuevos problemas legales. En el caso de la reciente suspensión de UBER en Alemania, el problema ha venido de la vulneración de la norma local de derecho de la Competencia y no de la norma relativa al trasporte de viajeros. Una suspensión que es meramente temporal y un problema para el que sin duda se encontrará una solución legal.

Así, poco a poco, se va creando el marco necesario pare el ejercicio legal de la actividad a través de lo que algunos llamarían ingeniería jurídica pero para lo que yo prefiero el concepto de

‘Creatividad legal’

UBER es sólo un ejemplo de un caso casi extremo -en un sector extremadamente regulado y restrictivo frente a disrupciones- de que para casi todos los proyectos y nuevas ideas de negocio pueden encontrarse una estructura que les permita encajan en el marco legal.

Y también es un ejemplo de todo negocio está expuesto a sorpresas desagradables e inesperadas como la aplicación de las normas de la Competencia alemanas que acarrean una suspensión que visto el historial estoy convencido que no pasará de un mero incidente en el desarrollo del negocio.

Pero por encima de todo es un ejemplo de cómo casi todo es posible en Derecho con tan sólo un poco –o un mucho– de esa ‘Creatividad Legal’ necesaria para cualquier negocio.  Sólo hay que encontrarle la perspectiva adecuada para hacer posible lo que parecía imposible o para asegurar o proteger lo que parecía que no se podía legalmente asegurar ni proteger.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Agosto 27, 2014

Nueva ‘Ley de Cookies’ y navegadores

Archivado en: Comercio Electrónico, Informática, Propiedad Intelectual e Industrial — Etiquetas: , , , — legisconsulting @ 09:41

La nueva Ley de Telecomunicaciones aprovechó sus Disposiciones Derogatorias para meterse en jardines que no le son propios y modificar, entre otras, la ‘Ley de Cookies’

El cambio en la ‘Ley’

Como ya sabe todo el mundo, la ‘Ley de Cookies’ no es una Ley, sino el artículo 22.2 de la LSSI

Antes se permitía prestar en consentimiento del usuario a las Cookies mediante la configuración de su navegador para que de forma automática las admitiera siempre que ello proviniera de una acción expresa por parte del usuario en esta sentido.

Ahora se elimina el requerimiento de tal acción expresa por parte del usuario.

Pero como es más fácil mostrarlo que explicarlo, a continuación la ‘Ley’ en su redacción antigua y en color azul la parte eliminada en la reforma (el resto queda igual):

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

¿Supone algún cambio?

Desde mi punto de vista vaya por delante que entiendo que no.

Parece que se está eliminando la exigencia de una acción ‘expresa‘ del usuario modificando la configuración de su navegador, pero no es realmente así.

En primer lugar porque se mantiene el texto del párrafo primero que exige el consentimiento del usuario, lo que junto a la referencia a la LOPD determina que tal consentimiento sea expreso y previo para algunos tipos de cookies que no corresponde aquí analizar.

En segundo lugar por lo que hay detrás de la ‘Ley’ y que utilizará la AGPD para establecer la interpretación de la norma y cuando se estará vulnerando y proceda imponer una sanción.

Y en este sentido, la AGPD tendrá que acudir a Grupo de Trabajo de la Comisión Europea creado por la Directiva 95/46/CE de protección de datos como órgano consultivo para armonizar la interpretación de la normativa en toda Europa. Y este órgano ya ha interpretado que el consentimiento del usuario sólo se entenderá prestado a través de la configuración de los buscadores u otras aplicaciones cuando por defecto estos rechacen cookies de terceros y requieran que el usuario realice una acción expresa para hacer que la configuración acepte las cookies.

Es decir, que si el navegador no debe ser configurado expresamente por el usuario para aceptar cookies, o simplemente el dispositivo no permite tal configuración, el consentimiento no se tendrá por prestado de forma expresa y es probable que la AGPD entienda que se ha cometido una infracción si no se busca un consentimiento expreso previo a su instalación.

Habrá que esperar como siempre a la interpretación que haga la AGPD, pero da la impresión de que esto no supondrá cambio alguno y que servirá para poco más que para obligarnos a hacer nuevas elucubraciones de lo que pretendía el legislador en lugar de simplificarnos la vida como debería.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Mayo 16, 2014

Aclaraciones sobre Medios de Pago en Internet

Archivado en: Comercio Electrónico, Medios de pago — Etiquetas: , , — legisconsulting @ 10:56

¿Qué pasa si usamos un medio de pago que no es tal?. Es la pregunta que me plantean como comentario en uno de los post y que me parece interesante como base para aclarar algunos puntos importantes sobre Servicios de Pago.

He aquí el comentario:

Yo opero con paypal pero tambien con CLICKBANK, si Vd. conoce esta plataforma, esta muy extendida en internet, casi es la segunda en cobro para promocionar productos de terceras personas.
Clickbank opera como paypal, es decir actua de mera intermediación de pago, la unica diferencia que le veo es que su sede está en EEUU.
En este aspecto, la normativa ante hacienda supongo que es la misma que con paypal, es decir, es una mera pasarela de pago?
Gracias.

Respuesta general

Hay muchas plataformas y tipos de contratos que tiene la apariencia de ‘intermediar’ en los pagos o incluso garantizar ciertos pagos, pero que no son Entidades ni prestan Servicios de pago.

Serán exclusivamente Servicios de Pago en el sentido de la pregunta planteada: “La ejecución de operaciones de pago en las que se transmita el consentimiento del ordenante a ejecutar una operación de pago mediante dispositivos de telecomunicación, digitales o informáticos y se realice el pago a través del operador de la red o sistema de telecomunicación o informático, que actúa únicamente como intermediario entre el usuario del servicio de pago y el prestador de bienes y servicios.

En este sentido, la legislación Europea establece que sólo podrán prestar servicios de pago (como Paypal):

  • · Entidades de Crédito
  • · Entidades de Dinero Electrónico
  • · Entidades de Pago

E incluso siendo una de esas entidades, sólo están legitimados para prestar tales servicios en España quienes hayan solicitado la autorización que por residencia les corresponda y por lo tanto aparezcan en la lista del Banco de España que todo el mundo puede consultar.

Las consecuencias para el usuario de que la Entidad con la que opera no esté en esa lista van mucho más allá de la falta de seguridad para el mismo que ya se ha manifestando anteriormente en este Blog (aquí o aquí) y que se compensa con la mera ‘confianza’ del mismo. Las consecuencias más directas y palpables de no estar en esa lista son más objetivas que esa falta de seguridad, puesto que los derechos de crédito que se tengan con esas entidades; los saldos en sus ‘cuentas’; los contratos; o las operaciones corrientes, tendrán un tratamiento y unas exigencias fiscales y legales mucho más restrictivas, complejas, exigentes y jurídicamente complejas que las operaciones con Entidades de Pago debidamente legalizadas.

Respuesta particular

Paypal, como se ha dicho anteriormente en este blog, es una entidad domiciliada en Luxemburgo debidamente acreditada y autorizada para prestar servicios de pago en España.

Por contra Clickbank no parece en el listado del banco de España como ninguna de las figuras que habilitan para prestar este tipo de servicios, por lo tanto en ningún caso puede ser asimilado ni fiscal ni jurídicamente a Paypal ni a ninguna otra Entidad de Pago.

Pero es que Clickbank tampoco es una Entidad de Pago ni financiera de ningún tipo en Estados Unidos donde tiene su sede, sino que dentro de unos servicios mucho más generales y menos financieros ofrece el de una Pasarela de Pago que entiendo tras una rápida lectura de sus Condiciones bajo el soporte de PAYPAL.

Así podemos decir que lo que se mantiene es una contrato particular sin regulación legal específica con una empresa que fija unas obligaciones y prestaciones recíprocas a las partes cuyo cumplimiento (de cada una de las obligaciones o prestaciones individualizadamente) puede tener unas obligaciones fiscales, formales o legales que deben ser cumplidas.

En esta situación, las comisiones que se cobren al usuario del Servicio (Afiliado en este caso), las penalizaciones al mismo (que existen en ciertos caos ), los derechos de Crédito (dinero que Clickbank tenga la obligación de abonar) , o los pagos en cualquier sentido, generarán cada uno de ellos sus propias obligaciones o derechos específicos que el usuario debería conocer en su totalidad para poder ejercerlos y que en ningún caso tienen nada que ver con las obligaciones y derechos que tendríamos operando simplemente con una Entidad de Pago.

En concusión

Hay muchos servicios para actividades económicas en internet que pueden parecer lo que no son (no sólo Servicios de Pago) y que, siendo perfectamente legales, generan derechos y obligaciones que el usuario de los mismos debería conocer para obtener el máximo beneficio de las mismas. Tener muy claro qué es lo que se está contratando, sus implicaciones legales y fiscales y las obligaciones que se asumen supone un análisis en toda regla que determinará realmente el beneficio y el costa de la actividad. Sin ese análisis, el análisis de costes y beneficios será siempre irreal.

Legisconsulting ofrece el soporte jurídico imprescindible para las actividades económicas en internet

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 9, 2014

Formas rápidas e indoloras de suicidarse

Hay muchas formas de ‘suicidar‘ un negocio, pero una lenta y dolorosa es ofrecer o contratar servicios sin cumplir todas las normas o garantías legales.

Un negocio trabajado

La semana pasada recibí una solicitud de contacto en Linkedin que resultó ser alguien que sólo un día después me envió un correo ‘presentando’ sus servicios. Lo que se llama en términos legales publicidad.

Se presentaban los servicios a través de una Web muy buena, con servicios ofertados claros y las tarifas increíbles. Sin duda, de los suyo sabían lo que hacían y habían hecho un grandísimo trabajo y una importante inversión. Pero no sabían de leyes:

· El art. 10 de la LSSI no es toda la LSSI o sobrarían 44 artículos y varias disposiciones adicionales.

· Las exigencias de Protección de Datos no se limitan a registrarse ante la AGPD (estaría muy bien).

· Decían que habían conseguido los ‘certificados de seguridad‘ exigidos para su actividad,

· pero no decían cual era su actividad, porque evidentemente la que parecían ofertar no era tal.

· Y no era tal porque tras una rápida búsqueda en Internet para saber si tenían la preceptiva autorización resultó negativa.

Hasta aquí una bonita lista de infracciones y sanciones derivada de una bonita lista de leyes distintas.

Pero es que aún cumpliendo la LSSI, la LOPD y con los certificados de seguridad, hay cosas que no puedo hacer; no puedo ofrecer un servicio de correo sin licencia; no puedo ofrecer servicios de pago si no soy una entidad de pago o un agente de una de ellas; no puedo ejercer de médico o abogado sin el título correspondiente; ni puedo ser carnicero sin el de manipulador de alimentos.

¿Actividad Ilegal?.. y sanciones por error

Pues no necesariamente. Y este es el caso que inspira este Post.

En Internet es bien sabido que es fácil el no soy pero lo parezco“. Un proxy a una entidad con todos los permisos es legal y hasta habitual: presento a la apariencia de ser y prestar sin ser ni prestar. Pero no decir quién presta realmente el servicio y en qué condiciones sí es ilegal y también es motivo de jugosa sanción para quien lo presta y genera una enorme inseguridad en quien lo contrata.

Varias leyes prohíben esta falta de transparencia y establecen múltiples y graves sanciones (acumulativas) que serán impuestas por muy diversas autoridades. Algunas legítimas como las del apartado anterior, pero incluso algunas sanciones por error. Imagine por ejemplo que la autoridad reguladora piensa que -tal como parece en la Web- ofrecemos unos servicios que no ofrecemos (la falta de trasparencia que decíamos antes)sin licencia, pues es probable que directamente envíe una sanción y la orden automática de suspender actividades antes incluso de preguntar.

El riesgo del usuario

Quien está contratando este servicio en concreto no sabe realmente quien se lo va a prestar, ni en qué condiciones, ni con qué garantías. Pero tampoco sabe quién va a acceder a sus datos -en muchos casos como el de las Entidades de Pago, muy sensibles- ni quién los va tratar, ni dónde, ni con qué fin, ni en qué forma.

Es legal y no acarrea en principio responsabilidad para el usuario contratar con este tipo de servicio, pero supone un enorme riesgo para él la renuncia a las garantías legales que de hecho supone. Las leyes están hechas con mayor o menor fortuna, pero la intención de todas las exigencias, registros y autorizaciones es siempre la misma: la seguridad del usuario.

De safari por la jungla

En este caso, como en muchos otros, además de las normas generales de actividades por Internet hay que cumplir

· las normas y autorizaciones específicas de la actividad en Internet;

· otras normas generales no específicas de Internet;

· además de normas ‘generales

· y normas específicas de la actividad con su especialidad para negocios online.

Una maraña normativa que afecta a cualquier negocio y que se incrementa más incluso si el negocio es Online o se contrata Online.

Internarse en esta jungla sin guía (legal) es como ir a cazar leones con tirachinas. Tanto para quien ofrece como para quien contrata servicios observar la ley y asegurarse de que se observa es esencial. No todo lo que contratamos es lo que parece ni todos los peligros de la jungla son leones o hipopótamos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 24, 2014

Cookies: Información y consentimiento (actualizado)

Archivado en: Actualidad, Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 10:29

La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.

Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse  a través de lo que la propia AGPD llama ‘información por capas.

El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.

La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que

  • la falta de información previa  la instalación de cookies SÍ es sancionable
  • que la falta de autorización previa a la instalación de cookies NO es sancionable

Así, la forma correcta de plantear el aviso de cookies queda como sigue

Información por capas

La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.

Así, se plantea la información en dos capas:

Primera capa: debe contener la siguiente  información mínima

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
    • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
    • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Segunda capa: debe contener la siguiente información

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
    • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
    • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
    • Definición y función de las Cookies

Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’  e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies

(Falta de) autorización no sancionable

De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”

Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción

En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el  modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 22, 2014

Que pasarela de pago es la más ‘fiable’

Archivado en: Comercio Electrónico, Emprender, Medios de pago — Etiquetas: , — legisconsulting @ 12:09

Yo uso Paypal, ¿pero hay otras pasarelas de pago?; ¿me puedes sugerir alguna fiable?”

Es una pregunta repetida hasta la saciedad que tiene una fácil respuesta: en principio todas son fiables con condiciones. Pero respondamos antes a algunas preguntas ‘derivadas’

¿Qué es una pasarela de pago?

Una pasarela de pago no es más que el instrumento que usa una determinada Entidad para prestar esos servicios que de pago (o de cobro sería más exacto desde el punto de vista del ‘Ecommerciante’).

Esos servicios sólo pueden ser prestados por entidades debidamente registradas y autorizadas.  Y los tipos de entidades autorizados a prestar servicios de pago son

  • Entidades de Crédito: los bancos de toda la vida.
  • Entidades de Dinero Electrónico: el Paypal de la pasarela de pagos es de hecho, una de estas.
  • Entidades de Pago: Entidades que han sido específicamente creadas para prestar este tipo de servicios.

¿Puedo usar una pasarela extranjera?

Siguiendo con el ejemplo de la archiconocida Paypal, esta es una entidad extranjera sin establecimiento permanente en España. Pero ello no quiere decir que todas las extranjeras puedan ser usadas en la misma forma y tengan las mismas garantías.

Para usar una pasarela de pago operada por una entidad de pago localizada en el extranjero, esta debe estar sometida a unos controles que no tiene que estar necesariamente asumidos por el Banco de España, pero sí que es este el que nos dice que tales controles y garantías existen.

Es decir, que la entidad de pago puede estar supervisada por banco central de una país con análogos controles a los ejercidos por el Banco de España.

¿Como puedo saber si es ‘de fiar’?

Hay básicamente dos formas en que una Entidad está legitimada para prestar estos servicios en España:

  • Solicitar una autorización al Tesoro y,  cumpliendo todas las exigencias, quedar  bajo el control y la supervisión en cuanto a la operativa y garantías del Banco de España.
  • Siendo una entidad de la UE, someterse a las exigencias y controles en su país de origen y simplemente esperar a la notificación que su Banco Central haga al Banco de España (caso Paypal, radicada en Luxemburgo).

De esta forma, podemos entrar en la Web de la pasarela que nos interese y ver todo lo que nos cuenta de sus maravillosos y novedosísimos servicios, pero sólo tendrá garantías si aparece en  el listado de Entidades del banco de España (pdf actualizado).

De las que parecen en ese listado, todas están sujetas a los mismos o análogos controles y garantías en función de su país de residencia. Así, siguiendo con el ejemplo,  Paypal está sujeta a la supervisión del banco central de Luxemburgo.

¿Y si está en la lista, cual es la que más me conviene?

Para eso siempre digo que es imposible dar una respuesta única. La elección dependerá de las necesidades de pago (o cobro) del negocio al que se vaya a aplicar, ya que no todas las pasarelas  de pago ofrecen los mismos servicios ni las mismas funcionalidades. Y navegar por ellas  requiere tiempo y esfuerzo para encontrar la que mejor se adapte a nuestras necesidades al mejor precio, ya que no todos suponen el mismo coste.

Sirva como ejemplo de las múltiples posibilidades -además de útil instrumento para la elección de una plataforma- la Web Cobraronline.es. Una Web que entiendo que aporta interesantes claves para la elección de pasarela aún cuando no a incluya la totalidad de los prestadores de estos servicios -aunque sí a la mayoría y a los más destacados-  y de la que recomiendo atenta lectura aunque no aporte nada -o precisamente por ello- a la parte jurídica objeto de este Blog,.

En resumen”¿qué hacer?

Busca una pasarela de pago que se ajuste a las necesidades exactas del negocio, que sea barata y que, sobre todo, aparezca en la lista del banco de España.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 13, 2013

Modelo de documento de información al consumidor sobre el desistimiento

Archivado en: Actualidad, Comercio Electrónico — Etiquetas: , , — legisconsulting @ 10:48

Hoy, 13 de diciembre de 2013, vence el plazo para la trasposición de la Directiva que establece para el consumidor del eCommerce la posibilidad de desistimiento en 14 días y establece un formulario que le debe ser enviado en cada compra.

Ya se han tratado en un post anterior en este Blog las importantes modificaciones que este nueva normativa implicará para el Comercio electrónico. Y aunque es cierto que la Ley está aún en el Congreso, la Directiva cumple el plazo fijado para su trasposición hoy y por tanto su texto es imperativo desde hoy mismo.

Es cierto que no hay muchos usuarios del E-Commerce que conozcan que hoy es el día, pero sí que puede haber alguno en toda Europa que sí lo conozca y que no se conforme con las formas de devolución utilizadas hasta hoy y quiera exigir su derecho al desistimiento más allá de los 7 días que fija la ley nacional… y tiene derecho a ello.

Según la Directiva citada, cada producto enviado a un consumidor debe incluir un formulario para que este pueda ejercer su derecho de desistimiento sin causa alguna en un plazo de 14 días naturales. Y por ello, a continuación se reproduce el Modelo de documento de información al consumidor sobre el desistimiento” .

Formulario Desistimiento

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 15, 2013

Hacienda, ¿objetivo tarjeta Paypal?

Archivado en: Comercio Electrónico, Emprender, Informática, Medios de pago — Etiquetas: , , — legisconsulting @ 12:30

Tweet Hacienta tarjetas 1

Podría entenderse por el anuncio de Hacienda publicado en un diario nacional (y por el tweet reproducido) que la tarjeta de Paypal podría ser el nuevo objetivo de Hacienda para recaudar. Pero en mi opinión –aunque puedo estar equivocado– no es así.

Como bien sabe quien tenía interés en gastar el dinero acumulado en Paypal, con su tarjeta prepago nació un estupendo mecanismo para comprar en el Mercadona de debajo de casa bajo la errónea creencia de que al no haber pasado el dinero por el banco, Hacienda nunca podría tener conocimiento de sus existencia.

¿Puede saberlo Hacienda?

Pues la respuesta corta es que sí.

Como ya se ha mencionado diversas veces en este Blog, tanto en posts como en los comentarios a los mismos (aquí y aquí), Hacienda puede acceder a los movimientos de Paypal dentro de un procedimiento de investigación abierto al sujeto pasivo (el contribuyente) por una razón concreta.

Un procedimiento de solicitud de información con los mismos requisitos y que tendría el mismo resultado que pedir los movimientos de una cuenta en una Caja Rural. Con la única diferencia de que Paypal es una entidad con sede en Luxemburgo y tardaría algo más, pero la información llegaría igual porque para eso existe la Unión Europea.

¿Anuncia Hacienda una ofensiva a estas cuentas?

Aún cuando los designios de Hacienda son inescrutables, mi opinión es que no es eso lo que se está anunciando.

En primer lugar se vincula el anuncio a la normativa que obligaba a declarar cuentas en el extranjero, y no a operaciones con entidades de servicios de pago.

En segundo lugar se refiere el anuncio a ‘tarjetas de cuentas en el extranjero’. Y aunque efectivamente Luxemburgo es el extranjero desde 1714, lo que sus usuarios tienen en Paypal no es una ‘cuenta’ desde el punto de vista de la ley española. Y hacienda conoce la ley.

Y en tercer lugar, si Hacienda hubiera querido ir contra ese tipo de ‘cuentas’ habría hablado de una ofensiva contra las actividades a través de Entidades de Pago o Entidades de Dinero Electrónico que presten Servicios de Pago. Que es lo que es Paypal.

¿Objetivo Servicios de Pago?

La ‘cuentas’ de Paypal se usan por los usuarios de forma ‘inapropiada’ de acuerdo con la ley española por cuento esta señala que tales ‘cuentas’  no son tales, sino meras ‘cuentas de pago’ (merchant accounts) cuya única función es servir de puente en los pagos hacia una cuenta convencional y en las cuales el dinero sólo puede permanecer el tiempo estrictamente necesario para tal trasferencia de fondos. Nunca actuar como una cuenta convencional como se está haciendo.

Hacienda estoy convencido de que lo sabe y puede anunciar en cualquier momento una ofensiva sobre usuarios de servicios como Paypal.

También estoy convencido de que el mero anuncio generaría una avalancha de regularización de operaciones que a día de hoy se realizan exclusivamente a través de este medio al margen de obligaciones tanto con Hacienda como con la Seguridad Social.

Pero por el contrario, también pienso que la imposibilidad legar que tiene hacienda de pedirle a Paypal un listado general de todos sus clientes con todos sus movimientos dificulta enormemente una persecución efectiva general por parte de hacienda de este tipo de operaciones en su conjunto, aunque no individualizadamente ante casos concretos.

En resumen, creo que no es ese el anuncio… aunque como decía, los caminos de Hacienda son inescrutables y el tener una Web que admite Paypal ya puede dar pie a Hacienda para pedir más explicaciones. Y ante la duda, lo más seguro y barato es ‘regularizar’ y actuar siempre dentro de la legalidad.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 3, 2013

¿Cumplir la Ley de Cookies y no morir en el intento?

Pretende este poste aclarar, dentro de lo posible, las opciones para el uso ‘legal’ de Cookies en las web y el porqué de la inseguridad legal que las rodea y genera tantas opiniones y soluciones creativas en torno a las mismas.

Aún  a riesgo de ser un poco simplista, el punto de partida es saber de qué va la ley para saber cuando debe preocuparnos y cuando no.

1.- Un Ladrillo

La idea de este Post me surge al leer que alguien decía que la Ley de Cookies  es un ‘ladrillo’ . Un ‘ladrillo’ que es sólo el punto 2 del Art. 22 de la Ley 24/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico . Casi más corto el texto que el título si pensamos que TODA la ‘ley’ de cookies tiene 3 párrafos y 180 palabras:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Un ladrillo que obviamente no lo es en la extensión, pero sí en el contenido que vamos a tratar desentrañar párrafo por párrafo para mostrar las dudas que aún debe resolver la AEPD para saber cuando cumplimos y cuando no.

2.- Si no uso Cookies, pues cumplo la ley de Cookies

La ley no menciona en ningún momento las Cookies, sino ‘dispositivos de almacenamiento o recuperación de datos’, con lo que si usamos cualquier dispositivo  que cumpla con esa descripción general entraremos dentro del marco de exigencias de la ley por imaginativa o creativa que sea la solución de turno.

3.- ¿Qué pinta en esto la AEPD?

Aparte de la evidente mención que se hace a la LOPD,  puesto que con esos dispositivos se accede a Datos de Carácter Personal, será de aplicación la LOPD y todas sus consecuencias.

Así, son Datos Personales “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Es decir, prácticamente todo, desde la IP del usuario a su historial de navegación, son datos personales.

4.- Requisitos para usar Cookies

Dice la ley que podemos usar las estrictamente necesarias para que aparezca algo en la pantalla. Y para las demás,

  • cuando se cuente con el consentimiento previo del usuario
  • tras haberle informado previamente de las cookies que se le van a instaler
  • y de la finalidad de las mismas

Pero el problema viene de si es posible un consentimiento tácito mediante la mera navegación; o si es necesaria la aceptación expresa; o si es imprescindible hacerle al usuario un test de idoneidad (como con las preferentes de los bancos); o darle el correspondiente cursillo personalizado de desactivación de Cookies en función de las Webs que visite y del navegador que utilice antes de instalar cualquier Cookie.

5.- Cuando se pueden usar Cookies legalmente

La AEPD tiene abierto un expediente sancionador por denuncia de un usuario a una Web que le instaló Cookies antes de que este hubiera prestado su consentimiento previo y expreso a las mismas. Y ello aún cuando la Web denunciada contaba con un aviso sobre su política de Cookies con toda la información.

A día de hoy el expediente no está resuelto y no sabemos si a la Web le será impuesta una sanción o no, pero al margen de lo que suceda en el caso concreto –que espero a título personal que la AEPD exonere completamente a la Web–, es de esperar que la AEPD nos de unas directrices más exactas sobre como actuar en este campo. Hasta entonces, podemos tener teorías diversas de cuando y como usar Cookies legalmente. Pero sólo serán eso, teorías.

6.- Entonces: ¿que hacemos con las Cookies?

Opción 1.- Renunciar a ellas

Opción 2.- Se puede colocar como pantalla previa a la entrada a la web exclusivamente el texto de la política de cookies y el preceptivo consentimiento previo sobre un fondo blanco de tal forma que si no se aceptan las cookies no se pueda acceder.

Opción 3.- O bien, y ante la imposibilidad de saber exactamente como hacerlo legalmente (punto 5), y caso de usar en nuestra Web cualquier tipo de dispositivo (punto 2), deberemos cumplir las exigencias legales para la instalación de cookies (punto 4) y seguir en todo caso las recomendaciones de la AEPD para el uso de cookies.

Como decía, a día de hoy no sabemos si así esteremos cumpliendo la ley, pero cumplir las recomendaciones y tener un texto de información y aceptación de la Política de Cookies acorde con las mismas, al menos probará la buena fe y la intención de cumplir la Ley. Algo que al menos está bien visto (y ayuda) ante la AEPD

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Septiembre 25, 2013

Modelo de Aviso y Política de Cookies según la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , , , — legisconsulting @ 11:49

El modelo de texto que se reproduce a continuación ha sido creado a partir de las directrices mostradas por la propia AGPD con copia literal de algunos de los párrafos directamente de la guía.

Ha vuelto a la actualidad el necesario aviso sobre la Política de Cookies algún tiempo después de que la AGPD publicara una guía y aún cuando no existe una clara idea de cómo se debe materializar en la práctica para cumplir la LOPD.

La solución a sobre como implementar la política de cookies esperamos que nos sea aportada próximamente por la propia AGPD en un proceso sancionador que tiene abierto en este sentido. Pero hasta que llegue se momento no podemos sino partir de la guía mencionada para crear un texto lo más ajustado posible a esta.

Cookies (mensaje de alerta)

(Sugiere la AGPD en primer lugar situar en la home un mensaje de alerta avisando al usuario de la utilización de cookies con el siguiente texto -literal de la AGPD-)

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

(El ‘aquí’ del mensaje de alerta debe ser un link que lleva al texto íntegro sobre la política de cookies)

POLITICA DE COOKIES

Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mayoría de las mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.

Sin su expreso consentimiento –mediante la activación de las cookies en su navegador–XXXXX no enlazará en las cookies los datos memorizados con sus datos personales proporcionados en el momento del registro o la compra..

¿Qué tipos de cookies utiliza esta página web?

- Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.

- Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.

- Cookies de análisis: Son aquéllas que bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.

- Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.

- Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Cookies de terceros: La Web de XXXXX puede utilizar servicios de terceros que, por cuenta de XXXXX, recopilaran información con fines estadísticos, de uso del Site por parte del usuario y para la prestacion de otros servicios relacionados con la actividad del Website y otros servicios de Internet.

En particular, este sitio Web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc. con domicilio en los Estados Unidos con sede central en 1600 Amphitheatre Parkway, Mountain View, California 94043.  Para la prestación de estos servicios, estos utilizan cookies que recopilan la información, incluida la dirección IP del usuario, que será transmitida, tratada y almacenada por Google en los términos fijados en la Web Google.com. Incluyendo la posible transmisión de dicha información a terceros por razones de exigencia legal o cuando dichos terceros procesen la información por cuenta de Google.

(En este punto la AGPD sugiere incluir cada una de las cookies de terceros utilizadas y los datos de dichos terceros. Por evidentes razones en este modelo sólo se ha incluido la Google en el uso de Analytics por ser la más extendida y común.)

El Usuario acepta expresamente, por la utilización de este Site, el tratamiento de la información recabada en la forma y con los fines anteriormente mencionados. Y asimismo reconoce conocer la posibilidad de rechazar el tratamiento de tales datos o información rechazando el uso de Cookies mediante la selección de la configuración apropiada a tal fin en su navegador. Si bien esta opción de bloqueo de Cookies en su navegador puede no permitirle el uso pleno de todas las funcionalidades del Website.

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador:

Si tiene dudas sobre esta política de cookies, puede contactar con XXXXX en info@XXXXX(punto)com

Garantía de cumplimiento de la ley

El modelo de texto mostrado ha intentado seguir todas las directrices de la AGPD, pero como he manifestado anteriormente en este post, el hacerlo así o con este texto a día de hoy no puede garantizar en modo alguno que se esté cumpliendo la ley de cookies de acuerdo con la interpretación de la AGPD (aunque entiendo que es lo más aproximado). Para ello habrá que esperar a las aclaraciones que sin duda nos proporcionará próximamente la AGPD.

Ante la imposibilidad de quedar con cada usuario ante un notario para que preste su consentimiento con todos los datos y explicaciones antes de poder navegar por la Web, hay quien defiende que lo más seguro sería que todo el texto de la política de cookies estuviera antes de la entrada en la Web, antes de cargar cualquier cookie y antes de poder iniciar cualquier la navegación, pero ¿es ello posible?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

« Entradas más recientesEntradas más antiguas »