abril 21, 2023

Protección de datos empresariales: ChatGPT

¿Qué se puede hacer para proteger los datos empresariales en el mundo de la IA?

Tras la publicación del hilo sobre la seguridad de los datos empresariales y mi breve conclusión sobre qué acciones se podrían tomar para proteger esos datos empresariales ante la explosión de la IA, se me ha ocurrido plantear a ChatGPT la misma cuestión.

Juzguen ustedes:

Artículo de Legisconsulting

Datos empresariales (V): Protección (y aprendizaje)

ChatGPT

Pregunta:

Escríbeme un artículo sobre cómo podría una empresa proteger sus datos empresariales ante la recopilación de datos por parte de una inteligencia artificial de los datos publicados por la empresa, datos publicados por los empleados y relaciones de los empleados entre sí o con terceros en redes sociales. Datos que combinados pueden mostrar a terceros y a la competencia las estrategias de la empresa y posible futuras acciones de la misma. Y con ello complicar su viabilidad. ¿Qué pautas debería implementar la empresa para protegerse?

Respuesta:

La recopilación de datos por parte de la inteligencia artificial es una práctica cada vez más extendida en el mundo empresarial. A través de esta técnica, se pueden recopilar y analizar grandes cantidades de información de diferentes fuentes para obtener conocimientos valiosos que pueden ayudar a las empresas a tomar mejores decisiones comerciales. Sin embargo, también puede ser una amenaza para la privacidad y la seguridad de los datos empresariales.

Cuando se recopilan datos empresariales, se pueden obtener información sobre las estrategias, planes, futuras acciones y otras informaciones confidenciales de la empresa. Estos datos pueden ser combinados con información sobre empleados y relaciones en las redes sociales para mostrar a terceros y a la competencia las estrategias de la empresa y sus posibles futuras acciones, lo que puede complicar su viabilidad.

Por lo tanto, es importante que las empresas tomen medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. A continuación, se presentan algunas pautas que las empresas pueden implementar para protegerse:

  1. Política de privacidad y seguridad de datos: La empresa debe tener una política clara de privacidad y seguridad de datos que establezca las normas para el tratamiento de datos empresariales y personales. Esta política debe ser comunicada a los empleados y a cualquier tercero que tenga acceso a los datos de la empresa.
  2. Control de acceso: La empresa debe implementar medidas para limitar el acceso a los datos empresariales a aquellos empleados que necesitan tener acceso a ellos para realizar sus funciones. Además, se deben establecer medidas de seguridad para controlar el acceso a los datos empresariales desde fuera de la empresa.
  3. Encriptación de datos: La encriptación de los datos empresariales es una medida efectiva para protegerlos contra el acceso no autorizado. Los datos encriptados son inútiles para aquellos que no tienen la clave de descifrado.
  4. Monitorización del tráfico de red: La empresa debe supervisar el tráfico de red para detectar cualquier actividad sospechosa, como la transferencia de grandes cantidades de datos fuera de la red de la empresa.
  5. Sensibilización y formación de empleados: La empresa debe sensibilizar y formar a sus empleados sobre los riesgos asociados a la recopilación de datos y la importancia de proteger los datos empresariales. Los empleados deben ser conscientes de que la información que publican en las redes sociales o en otros lugares en línea puede ser utilizada para recopilar datos sobre la empresa.
  6. Actualización de software y hardware: La empresa debe mantener actualizados sus sistemas de hardware y software para protegerse contra las amenazas de seguridad más recientes.

En conclusión, las empresas deben tomar medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. La implementación de medidas de seguridad adecuadas, junto con la sensibilización y formación de los empleados, puede ayudar a reducir los riesgos y proteger los datos empresariales de la empresa.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 16, 2022

Datos empresariales (IV): datos expuestos

Aunque no sea consciente, hay una gran cantidad de datos de la empresa que son públicos.

Datos Online

La recopilación de Datos Personales dispersos en Internet es algo que se lleva haciendo años. Hay empresas en países con legislación de protección de datos más laxas que mantienen bases de datos masivas de individuos perfectamente individualizados e identificados con fines políticos, comerciales, médicos (los datos más valiosos del mercado), etc. Probablemente usted como lector y yo como redactor estamos en alguna (o muchas) de esas bases de datos.

Si de una persona se pueden reunir datos para confeccionar un expediente detallado a través de sus contactos en Linkedin, las fotos de sus vacaciones publicadas en Facebook o el reloj que le cuenta las pulsaciones y le marca el track cuando sale a correr, imagínese lo que se podría averiguar con los datos en Internet de cualquier empresa.

Seguir la redes sociales de la empresa aporta una visión muy limitada, pero si a eso se suman las redes sociales de sus empleados, las de sus proveedores o clientes. Sus contactos, relaciones, mensajes y/o publicaciones, la imagen se convierte en algo más claro y desvela de forma indirecta datos de la empresa que nunca sospecharíamos.

Servicios para la Empresa

¿Qué empresa no tiene un servidor externo y servicio de Backup donde guarda toda su documentación?. En principio son servidores seguros pero, ¿han leído detenidamente el contrato de servicio?.

Es posible que los datos no se vendan a terceros (tal vez), pero ¿están seguros de que Amazon, Google o quien sea no va a utilizar esos datos en beneficio propio de otra forma?.  Ya hemos visto en casos como Facebook o Google usan los datos personales que les confiamos (aparentemente datos sin valor) para su propio beneficio convirtiéndolos en la base de su negocio. Pero, ¿qué nos hace suponer que no lo harán con datos empresariales que son potencialmente mucho más valiosos?.

Y es posible que los datos de una sola empresa puedan parecer poco valiosos. Pero los datos de muchas empresas (metadatos) sí lo son. Cada dato forma parte de un árbol de ramas infinitas que sólo tiene sentido en su conjunto. Y que visto en su conjunto proporciona otras informaciones aparentemente inconexas (metadatos otra vez) muy valiosas.

El Internet de las cosas: hacia una empresa conectada

El Internet de las cosas es un concepto nacido en 1999 en el MIT que se refiere a la interconexión digital de objetos cotidianos a través de Internet.

Para negocios de todo tipo: de la ganadería a la industria, los servicios o la consultoría,   supone una oportunidad de rebajar costes, de hacer más eficiente el trabajo, de generar nuevos productos o servicios con la potencialidad de todo ello de incrementar ingresos. Pero estar conectado supone el riesgo de la conexión. El riesgo de los servidores utilizados y el riesgo de los datos que se exponen: datos que variarán en función de los dispositivos, maquinaria o hasta las cabezas de ganado a que se apliquen.  Porque todo son datos.

Aún sin entrar en aplicaciones de IA (Inteligencia Artificial) que sería ya más complejo y con otras implicaciones legales y posibilidades, podemos afirmar:

  • por un lado, que el simple rastreo de todos los datos de la empresa en Internet y el cruce de los mismos dibuja una radiografía exacta de la empresa: desde la situación financiera actual a proyectos, futuro, viabilidad, etc.
  • Y por otro, que como se ha visto en esta serie anteriormente, no existen garantías reales del uso que el prestador del servicio que contratamos (o usamos) vaya a hacer de la información obtenida.

La información, per se, tiene un valor económico directo. Pero la información supone además control del mercado y, sobre todo, la información supone poder.

¿Y podemos proteger de forma absoluta la información de la empresa?. La respuesta es que no de forma absoluta. Pero, como se verá en la próxima entrega de este hilo, sí podemos aislar nuestra pequeña ‘ramita’ por nuestra seguridad… Y hasta aprender a observar tras el análisis de nuestra ‘ramita’ las ‘ramitas’ de alrededor.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 14, 2022

Datos empresariales (III): vulnerabilidad de los Datos

Todo negocio maneja datos sensibles que marcan la viabilidad del mismo.

Podemos estar hablando de empresas de proyectos innovadores que, aunque no lo parezcan, son públicos a poco que crucemos suficientes datos y a suficientes personas.

Pero también podemos estar hablando de empresas o negocios que tiene una ventaja competitiva simplemente por haber encontrado un proveedor mejor o haber implementado mecanismos internos más eficientes. Esos datos que no parecen tan ‘espectaculares’, si se liberan -y lo harán si alguien se toma el suficiente interés porque son igual de ‘públicos’- acabarán con esa ventaja competitiva haciéndola accesible al local de al lado.

Piense qué datos concretos de su empresa supondrían un problema caso de ser conocidos por su competencia, por sus clientes o por terceros. Por si no se le ocurren muchos, a continuación enumero una lista que no pretende ser en modo alguno cerrada: 

  • Know-how.
  • Datos de clientes.
  • Datos de proveedores.
  • Datos de productos.
  • Datos de empleados (piense en el desarrollador del nuevo proyecto con su perfil en Linkedin y sus contactos).
  • Contabilidad.
  • Facturación.
  • Tarifas.
  • etc.

Pero pensará al mismo tiempo que esos datos no son públicos. El problema es que, como se mostrará en este ‘hilo’, si alguien se toma el suficiente interés y lo sabe cómo hacerlo, sí pueden serlo.

¿De verdad quiere público para esos datos?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 7, 2022

Datos empresariales II: Vulnerabilidad (legal) de los datos empresariales

De forma previa a las sus consecuencias, riesgos y posibilidades, veremos el distinto nivel de protección que la ley da a un tipo de datos frente a otros.

El Derecho ‘absoluto’ de los datos personales

A pesar de que ya sabemos que ningún Derecho tiene carácter ‘absoluto’, en el campo de los Datos Personales, como Derecho Fundamental que es, la formulación se acerca bastante a ese grado ‘absoluto’ (si obviamos el cajón de sastre del “Interés Legítimo”, por supuesto).

Sin entrar el elevadísimo grado de protección que tienen, no podemos sino empezar por ver qué son los datos personales:

Artículo 4 RGPD. Definiciones. A efectos del presente Reglamento se entenderá por: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho ‘condicional’ de los datos empresariales

En el caso de los Datos Empresariales, por supuesto tenemos toda la protección legal de la propiedad industrial e intelectual, pero llena de lagunas en una normativa muy dispersa y en buena parte no adecuada a la realidad actual.

De forma específica y general sólo existe la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Que brinda una protección limitada (no todos los datos) y condicionada (y no en todos los casos):

Qué son “Secretos empresariales”:

Artículo 1. Objeto. 1. El objeto de la presente ley es la protección de los secretos empresariales.

A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y cuándo se produce una ‘violación’

Artículo 3. Violación de secretos empresariales.

1. La obtención de secretos empresariales sin consentimiento de su titular se considera ilícita cuando se lleve a cabo mediante:

a) El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir; y

b) Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.

Y además, los datos empresariales obtenidos legalmente se pueden almacenar, tratar y utilizar prácticamente sin límite.  Como se ve, los datos empresariales con legalmente más vulnerables que los datos personales.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

septiembre 30, 2022

Datos empresariales I-introducción: Comercio de Datos Personales vs Empresariales

Empiezo aquí este ‘hilo’ de posts para mostrar como los datos empresariales son vulnerables, su valor en el mercado las posibles acciones para protegerlos.

LOPD vs Ley de Secretos Empresariales.

Google, Facebook, Amazon, etc, venden y/o usan sus datos personales, ¿Qué le hace suponer que los datos empresariales mucho más valiosos no son utilizados o no están a la venta?

Particulares y empresas usamos utilísimos servicios de internet para comunicarnos, para almacenar datos, para comunicar con terceros, para relacionarnos o conectar con terceros; para nuestras actividades personales y para nuestras actividades profesionales.

El comercio de los Datos personales.

Es extensamente sabido por un lado que los Datos Personales son un enorme mercado con un inmenso valor que va mucho más allá de la publicidad dirigida en nuestros móviles, sino que tienen un mercado donde se compran y se venden desde datos de contraseñas, de tarjetas de crédito o datos médicos –por los que más se paga en el mercado- que van desde esos datos que ‘regalamos’ con nuestras búsquedas en Internet; con nuestros relojes; con esas divertidas apps del teléfono que te cuentan los pasos, cuándo y por donde los das; o hasta de expedientes médicos completos. Datos que ‘liberamos’ las 24 horas del día (¿duerme con su smartwatch o su pulsera de correr?, pues una empresa conoce las pautas de todo lo que hace en la cama) y que tienen un valor económico.

Con esos datos se elaboran exhaustivos ‘dosieres’ individualizados aunque erróneamente pensemos que en ese inmenso océano que es Internet somos solo una gota indistinguible de las demás de cada persona obtenidos con robots o con invitaciones masiva en redes sociales a través de las cuales acceden a datos que compartimos solo con nuestros contactos. Y que se venden a empresas o instituciones en función de los perfiles específicos que demanden los compradores.

El comercio de los datos empresariales.

Menos conocido, aunque igual de preocupante, el mercado de esos Datos Empresariales o Profesionales que liberamos a través de esos medios de internet oponemos en manos de terceros de forma consciente o inconsciente. 

Más allá del evidente uso de datos concretos de cada empresa, algunos de los cuales pueden ser el mismísimo corazón del negocio, Metadatos, tendencias del mercado, anticipación e incluso manipulación del mismo lo hacen un ‘mercado’ para quien lo quiera aprovechar aún más interesante y lucrativo que el de los datos personales.

Desde ‘backup’ colgado en ‘la nube’ aparentemente tan inocente y que nos hace sentir tan seguros. Los datos colgados en páginas Web, en redes sociales, los contactos de sus empleados, clientes y proveedores; Los comentarios, imágenes o mensajes de estos en redes sociales.

Todos esos datos se cruzan o son susceptibles de ser cruzados para obtener un beneficio potencialmente mucho mayor que le ya grandísimo de los Datos Personales, porque en este caso el beneficio potencial es mucho mayor que vender una camisa, un implante coronario o un coche.

Y se preguntará: ¿es todo eso legal? En su mayor parte -particularmente los datos personales-, no, pero existe recomiendo leer para quien no esté familiarizado ‘La privacidad es poder’ de Carissa Veliz )..

La normativa se preocupa en extremo del primero de ellos, los Datos Personales: categorizados como Derechos Fundamentales regula lo que pueden hacer con nuestros datos, del valor que tienen en el mercado y del coste que tiene su cesión para nosotros

Pero no ocurre lo mismo y la regulación no es la misma en el caso de los Datos Empresariales. ¿Cuál es la protección de la parte ‘empresarial’ de potencial y directamente de mucho mayor valor?. ¿Protegemos adecuadamente los secretos de nuestras empresas?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

enero 28, 2022

TJUE declara nula la obligación de declarar bienes en el extranjero (mod. 720)

Filed under: Actualidad,Economía,Emprender,Fiscal — Etiquetas: , , — legisconsulting @ 11:46

Europa declara nula la obligación de declarar bienes en el extranjero (modelo 720) y se verá en la obligación de devolver el importe de las sanciones impuestas.

Disposición Anulada

Ley General Tributaria. Disposición adicional decimoctava. Obligación de información sobre bienes y derechos situados en el extranjero.

Queda anulada tan solo en la parte que contraviene los pintos detallados en sentencia.

Sentencia

El Tribunal de Justicia declara que España ha incumplido las obligaciones que le incumben en virtud del principio de libre circulación de capitales. En efecto, la obligación de presentación del «modelo 720» y las sanciones derivadas del incumplimiento o del cumplimiento imperfecto o extemporáneo de dicha obligación, que no tienen equivalente en lo que respecta a los bienes o derechos situados en España, establecen una diferencia de trato entre los residentes en España en función del lugar de localización de sus activos. Esta obligación puede disuadir a los residentes de ese Estado miembro de invertir en otros Estados miembros, impedirles hacerlo o limitar sus posibilidades de hacerlo, y constituye, por tanto, una restricción a la libre circulación de capitales.

Sentencia del Tribunal de Justicia (Sala Primera) de 27 de enero de 2022Asunto C-788/19

Comisión Europea contra Reino de España

Incumplimiento de Estado — Artículo 258 TFUE — Libertad de circulación de capitales — Obligación de información sobre bienes o derechos poseídos en otros Estados miembros de la Unión Europea o del Espacio Económico Europeo (EEE) — Incumplimiento de esta obligación — Prescripción — Sanciones

Conclusiones Abogado General (previo a las Sentencia)

Declarar que el Reino de España ha incumplido las obligaciones que le incumben en virtud del artículo 63 TFUE y del artículo 40 del Acuerdo sobre el Espacio Económico Europeo:

–        al establecer que el incumplimiento de la obligación informativa respecto de cuentas bancarias nuevas en el extranjero o la presentación extemporánea del modelo 720 conllevan la calificación de dichos activos como ganancias patrimoniales no justificadas con independencia de la fecha de adquisición de los correspondientes activos;

–        al imponer una multa proporcional del 150 % aplicable en caso de incumplimiento de la obligación informativa respecto de cuentas bancarias nuevas en el extranjero o de presentación extemporánea del modelo 720 con independencia de la fecha de adquisición de los correspondientes activos;

–        al imponer, en caso de incumplimiento de la obligación de información respecto de los bienes y derechos en el extranjero o de presentación extemporánea del modelo 720, multas fijas más severas que las sanciones establecidas en el régimen sancionador general para infracciones similares.

Efectos

Se podrá solicitar la devolución de las sanciones impuestas en los últimos cuatro años al amparo de la normativa mencionada, independientemente de si los bienes se encontraban en Europa o no.

Previsiblemente, en un futuro próximo se adaptará la normativa para adaptar la normativa a la sentencia para bienes que se encuentren en territorio de aplicación de la normativa de la Unión. Para bienes situados fuera del territorio de aplicación de la normativa comunitaria (paraísos fiscales, por ejemplo), si se adapta la norma en este punto, es posible que  se pudieran mantener los mismos términos válidos hasta la publicación de la sentencia.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 23, 2021

Aportar valor o destruirlo, una historia personal.

Una historia real de cómo un abogado puede aportar soluciones o como puede destruir el negocio de su cliente.

Querido lector, discúlpeme por contar una historia real estrictamente personal, como no podría ser de otra manera, ya que si fuera profesional no podría hacerla pública.

Por razones que no vienen al caso me he visto envuelto en unas obras de cierta envergadura a realizar en una Comunidad de Propietarios para las que, como es habitual, he contactado con varias empresas con el fin de solicitar presupuestos.  Y de los presupuestos recibidos, me he fijado en uno, en primer lugar por el detalle y desglose de los conceptos y en segundo lugar porque era conocedor que esta empresa ya había realizado trabajos para la Comunidad de Propietarios.

Esos detalles contenidos en el presupuesto me permitían acercarme a los costes reales, así que, a pesar de estar haciendo todo esto a nivel personal y por consiguiente de forma gratuita, no puedo evitar dedicar cierto tiempo a hacer un estudio del coste de mercado de los medios auxiliares necesarios, así como de los materiales. Obviamente de forma aproximada porque no soy un profesional de la construcción.

Del estudio de los presupuestos y de los cálculos descubro —además de que los márgenes son francamente elevados—, que hay un elevado sobrecoste sobre el precio de mercado especialmente en los medios auxiliares necesarios para realizar el trabajo. Así que, dado el positivo historial previo de trabajos de la empresa en la comunidad, me pongo en contacto con ellos a fin de que me den explicaciones e intentar reducir el importe.

Para ello,en busca del mejor acuerdo y para que sea todo lo más calro posible, envío un correo a la empresa señalando concretamente:

  1. Que el tipo aplicable al IVA según los trabajos a realizar es del 10% en lugar del 21%.
  2. Que el coste de los medios auxiliares sobre el precio de mercado es muy elevado.
  3. Que tal como está planteado el presupuesto, se está cargando a la Comunidad en concepto de IVA el 21% la factura de terceros por los medios auxiliares que, al ser incluida íntegra, hay que sumar un 10% del total aplicable a la factura (21%+10%). Y que a pesar de ser esto estrictamente legal, sugiero que hay otras formas de plantearlo para evitar ese sobrecoste.
  4. Incluso, a fin de mostrar los beneficios, incluso fiscales,  para la empresa remito detalle del resultado final del IVA a final del trimestre en que se deducirán más de lo que tendrán que ingresar, con lo que les sale un resultado positivo que, incluso insistiendo en que se trata de algo estrictamente legal, ello da margen para rebajar el presupuesto sin afectar a sus márgenes.  

Nada más recibir el correo me llama por teléfono el responsable de la empresa y de forma muy educada me justifica verbalmente el sobrecoste en ‘los riesgos’ que asume, sobre todo en la contratación de los medios auxiliares. A lo que propongo: 1.-) que sea la comunidad quien asuma esos ‘riesgos’ dado que ello es perfectamente posible planteando parte de los medios lo como «suplidos» en lugar de cómo «gastos»; 2.-) que a la vista del resultado fiscal del IVA, tendría también margen para rebajar el importe final; y 3.-) que si a su asesor, como profesional que es, se le ocurre alguna otra opción para rebajar la factura sin tocar los márgenes de la empresa, que estaría encantado de estudiarla.

Pero como soy consciente de que son conceptos que no tiene porqué conocer un trabajador le sugiero que lo consulte con su asesor y que directamente le reenvíe mi correo.

Hoy he recibido una escueta respuesta de su asesor a todo lo planteado—del que por respeto a un colega omitiré los datos—que copio textualmente porque entiendo que sobran los comentarios:

Si el material que yo pago es al 21% y repercuto al 10%,  evidentemente puede que me salga menos IVA a pagar o incluso que me devuelvan a la hora de hacer el trimestre, PERO ESO NO ES ASUNTO SUYO, es el propio funcionamiento del IVA y si sale a devolver o a pagar menos es porque antes se lo he pagado yo a mis proveedores. En definitiva, si hay desfase o no ( con Ud dice en su correo), es un asunto que a Ud. no le incumbe.

La función del abogado es aportar soluciones

Se puede decir cualquier cosa y se debe decir de forma distinta si se trata de un trabajador, un empresario o un abogado con 25 años de ejercicio. Pero siempre y en todo caso, se debe hacer de forma respetuosa y educada, sea lo que sea lo que se diga y a quien uno se dirija.

Cada cliente es distinto y único.

Los intereses de mi cliente son siempre los míos, aún cuando, como en mi caso en este proceso, ni siquiera cobre por ello al ser un tema personal y excepcional.

Sobre todo y por encima de todo, nuestra función debe ser aportar siempre Valor Añadido para el cliente en nuestras actuaciones de asesoría. Soluciones que a mí, como a la mayoría de los colegas que conozco, me hacen sentir especialmente satisfecho cuando me exigen un plus de esfuerzo y creatividad.

Pero siempre, siempre, siempre en beneficio del cliente. Si él pierde, como es el caso de esta empresa, yo pierdo.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

noviembre 20, 2019

Novedades (con sorpresa) en las Cookies

Filed under: Comercio Electrónico,Emprender,Informática,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 10:53

La AEPD ha actualizado Guía Sobre el Uso de las Cookies. Que no es norma, pero que son una serie de recomendaciones a la luz del RGPD y de la LOPDGDD que más nos vale seguir.

El documento es extenso, pero las novedades no son tantas.

Información

En primer lugar se mantiene la recomendación del sistema de información por capas, con una primera capa con la información esencial sin ‘rollos‘ innecesarios ni frases vacías de contenido del tipo «usamos cookies para personalizar su contenido y crear una mejor experiencia para usted«.

Así, para esta primera capa, en función de las cookies que se usen y de la funcionalidad de las mismas, la AEPD sugiere una serie de textos

Ejemplo 1:  Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes obtener más información y configurar tus preferencias AQUÍ.

ACEPTAR COOKIES         RECHAZAR COOKIES

Ejemplo 2: Utilizamos cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Clica AQUÍ para más información. Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso clicando AQUÍ.

ACEPTAR

Ejemplo 3: Utilizamos cookies propias y de terceros para analizar nuestros servicios y mostrarte publicidad relacionada con tus preferencias, en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Si continúas navegando, consideraremos que aceptas su uso.

Puedes configurar o rechazar la utilización de cookies u obtener más información AQUÍ.

Consentimiento (y sorpresa)

Es este último ejemplo el que probablemente marca la mayor novedad y más interés despertará entre los diseñadores de páginas Web, puesto que admite que la opción de ‘seguir navegando‘ constituye una prestación válida del consentimiento .

Si bien este tipo de consentimiento solo será válido si se cumplen requisitos de FORMA como

  • Que el aviso se encuentra  en un lugar claramente visible, de modo que por su forma, color, tamaño o ubicación pueda existir seguridad de que el aviso no ha pasado desapercibido para el usuario.
  • Que se incluya en el panel un botón para rechazar todas las cookies, para respetar el requisito de que sea tan fácil retirar el consentimiento como darlo.

Y  que el usuario realice una acción que pueda calificarse como una clara acción afirmativa. A modo de ejemplo, podrá considerarse una clara acción afirmativa navegar a una sección distinta del sitio web (que no sea la segunda capa informativa sobre cookies ni la política de privacidad), deslizar la barra de desplazamiento, cerrar el aviso de la primera capa o pulsar sobre algún contenido del servicio, sin que el mero hecho de permanecer visualizando la pantalla, mover el ratón o pulsar una tecla del teclado pueda considerarse una aceptación. O en dispositivos como el móvil o la tablet, cuando desliza la pantalla accediendo al contenido.

Y límites en cuento al FONDO, por cuanto  no será válido en los casos en que a través de las cookies se realicen tratamientos de datos que requieran un consentimiento expreso, tales como:

  • categorías especiales de datos personales del Art 9 RGPD
  • que se tomen decisiones individuales automatizadas del Art 22  RGPD
  • o se realicen transferencias internacionales de datos amparadas en el consentimiento de las del Capítulo V  RGPD

Tiempo  

Por una parte la AEPD recomienda valorar si es necesario la instalación de cookies persistentes en lugar de las de sesión,  puesto que señala que, «para que una cookie pueda estar exenta del deber de consentimiento informado, su caducidad debe estar relacionada con su finalidad«. Y que es mucho más probable que se consideren como exceptuadas del deber de  consentimiento  las cookies de sesión que las persistentes.

Y en cuanto a las cookies persistentes instaladas, la AEPD viene a recomendar una actualización del consentimiento cada 2 años: «Esta Agencia considera buena práctica que la validez del consentimiento prestado por un usuario para el uso de una determinada cookie no tenga una duración superior a 24 meses y que durante este tiempo se conserve la selección realizada por el usuario sobre sus preferencias, sin que se le solicite un nuevo consentimiento cada vez que visite la página en cuestión.»

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 31, 2019

Obligaciones ante Hacienda y Seguridad Social en nuevos negocios

Filed under: Emprender — Etiquetas: , , , , — legisconsulting @ 12:17

Las nuevas formas de negocio,—o como se percibe de forma más coloquial,  las nuevas formas de conseguir ingresos—, han generado numerosas preguntas sobre si hay obligación de darse de alta en la Seguridad Social, declarar IRPF, factura IVA, etc  … y muchos bulos.

Mentiras

  • No se supera el límite del SMI, así que no hay obligación del alta en Seguridad Social.
  • Gano menos de 3.000,00€
  • Si no es la actividad principal, no es necesario el alta en RETA: «mi trabajo es otro y hago esto algunas tardes».
  • Las extensiones de los juegos que hago las vende una plataforma alemana o mi música una plataforma de California que no me pide factura (aunque si las vende la plataforma o la persona ya es otra historia) .
  • (Re)vender por Wallapop no es una actividad.
  • No me piden factura.
  • Me pagan por PAYPAL

Seguridad Social

Uno. A los efectos de este régimen especial, se entenderá como trabajador por cuenta propia o autónomo aquel que realiza de forma habitual, personal y directa una actividad económica a título lucrativo sin sujeción por ella a contrato de trabajo y aunque utilice el servicio remunerado de otras personas.

Verdades

  • –        Tendrá la obligación de declara a Hacienda todo el que perciba cualquier ingreso independientemente de la cuantía.
  • –        Tendrá la obligación de repercutir el IVA todo el que preste un servicio o venda algo sujeto al impuesto y no exento.
  • –        Tendrá la obligación de cotizar a la Seguridad Social todo aquel que :
    • Realice una actividad de forma habitual,
    • de forma personal,
    • de forma directa,
    • a título lucrativo,
    • aunque use el servicio de terceros.

En cuanto a Seguridad Social, como se ve, la norma no fija límites ni de tiempo empleado ni de ingresos percibidos, aunque sí establece un requisito muy subjetivo que ha tenido que ser delimitado por los tribunales: la habitualidad.

Aunque recientemente han corrido los bulos  que mencionábamos con más insistencia, lo cierto es que la delimitación de esa Habitualidad viene siendo detallada nada menos que des una sentencia del 29 de octubre de 1997.

Y a esta siguieron otras (STS 21-12-1987 y 2-12-1988, entre otras) que señalan que tal requisito hace referencia a una práctica de la actividad profesional desarrollada no esporádicamente sino con una cierta frecuencia o continuidad.

Así, el trabajadores que de forma habitual, personal y directa, realizan una actividad económica a título lucrativo, sin sujeción a contrato de trabajo. Se presumirá, salvo prueba en contrario, que es un trabajador por cuenta propia o autónomo

Pero como la posibilidad de probar el tiempo que se dedica a una actividad es difícil, los tribunales han optado por tomar de forma complementaria el nivel de ingresos (inferior al Salario Mínimo) de la actividad. Nivel de ingresos que sólo será tomado como referencia si no hay otros indicios que puedan determinar la habitualidad o no de la actividad ales como el tipo de actividad, la reiteración en las percepciones económicas, etc.

En conclusión, si se desempeña una actividad habitualmente (desde dar clase de inglés dos tardes por semana  a vender extensiones de juego en Alemania), se está obligado a cumplir con la Seguridad Social independientemente del nivel de ingresos. Y si por el contrario se trata de un único o varios trabajos esporádicos, pues no.

Deberes

Con Hacienda:

  • –        Alta en IAE (tranquilos, es grátis)
  • –        Obligación en su caso de repercutir el IVA al comprador.
  • –        Declaraciones trimestrales de IVA en su caso
  • –        Declaración de TODOS los ingresos en IRPF independientemente  de su cuantía

Con la Seguridad Social

  • –        Si es una actividad ‘habitual‘ alta en RETA. Y si no lo es, pues no … y rogar porque la administración de la Seguridad Social también considere que no lo es.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 10, 2019

Qué es un servicio -exclusivo- de Internet

Filed under: Comercio Electrónico,Emprender — Etiquetas: , , — legisconsulting @ 10:17

Determinar si un servicio es exclusivamente un Servicio de la Sociedad de la Información o algo más, determinará su normativa aplicable, las obligaciones a que está sometido y su régimen de sanciones. Mucho más que una mera disquisición jurídica.

Hace algo más de una semana, el Abogado General presentó sus conclusiones en un caso abierto ante el tribunal que implica a AIRBNB en Irlanda denunciada por una asociación francesa, pero que igual se pueden aplicar a una plataforma de venta de zapatos en El Escorial.

La argumentación -salvo matices- no es nueva, pero sí lo suficientemente clarificadora.

Resumiéndolo mucho, la cuestión en el caso concreto es si AIRBNB es sólo una plataforma de Internet o es algo más y se le deben aplicar las exigencias que recaen sobre las agencias inmobiliarias.

Conclusiones

A la cuestión planteada, el Abogado General plantea las siguientes conclusiones:

Sobre el servicio: Si el prestador del servicio no ejerce control algunos obre las modalidades esenciales de las prestaciones, constituye un servicio de la sociedad de la información.

Sobre las prestaciones accesorias: Y no impedirán esta calificación el hecho de que se ofrezcan prestaciones o servicios accesorios si estas prestaciones accesorias sean indivisibles y conformen un todo indisociable con esos servicios.

Sobre la normativa aplicable: Solo se podrán exigir requisitos adicionales en aplicación de normativas de terceros países (Francia en este caso)  para proteger los derechos de los consumidores.

Sobre donde se presta el servicio: Sólo se podrán establecer requisitos y exigencias adicionales al Servicio de la Sociedad de la Información en terceros países (Francia en este caso):

  • si se ha tratado caso por caso y no de forma general.
  • previo requerimiento al país de origen (Irlanda en este caso) que adopte medidas específicas en materia de servicios de la sociedad de la Información.
  • Y previa notificación a la Comisión Europea.

En conclusión, la asunción de un servicio exclusivamente como de la Sociedad de la Información permite al emprendedor prestador del servicio tener perfectamente cuáles son sus obligaciones y responsabilidades, no ya solo en su país de residencia, sino en tota la Unión Europea.

Nota de prensa TJUE

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »