Agosto 27, 2014

Nueva ‘Ley de Cookies’ y navegadores

Archivado en: Comercio Electrónico, Informática, Propiedad Intelectual e Industrial — Etiquetas: , , , — legisconsulting @ 09:41

La nueva Ley de Telecomunicaciones aprovechó sus Disposiciones Derogatorias para meterse en jardines que no le son propios y modificar, entre otras, la ‘Ley de Cookies’

El cambio en la ‘Ley’

Como ya sabe todo el mundo, la ‘Ley de Cookies’ no es una Ley, sino el artículo 22.2 de la LSSI

Antes se permitía prestar en consentimiento del usuario a las Cookies mediante la configuración de su navegador para que de forma automática las admitiera siempre que ello proviniera de una acción expresa por parte del usuario en esta sentido.

Ahora se elimina el requerimiento de tal acción expresa por parte del usuario.

Pero como es más fácil mostrarlo que explicarlo, a continuación la ‘Ley’ en su redacción antigua y en color azul la parte eliminada en la reforma (el resto queda igual):

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

¿Supone algún cambio?

Desde mi punto de vista vaya por delante que entiendo que no.

Parece que se está eliminando la exigencia de una acción ‘expresa‘ del usuario modificando la configuración de su navegador, pero no es realmente así.

En primer lugar porque se mantiene el texto del párrafo primero que exige el consentimiento del usuario, lo que junto a la referencia a la LOPD determina que tal consentimiento sea expreso y previo para algunos tipos de cookies que no corresponde aquí analizar.

En segundo lugar por lo que hay detrás de la ‘Ley’ y que utilizará la AGPD para establecer la interpretación de la norma y cuando se estará vulnerando y proceda imponer una sanción.

Y en este sentido, la AGPD tendrá que acudir a Grupo de Trabajo de la Comisión Europea creado por la Directiva 95/46/CE de protección de datos como órgano consultivo para armonizar la interpretación de la normativa en toda Europa. Y este órgano ya ha interpretado que el consentimiento del usuario sólo se entenderá prestado a través de la configuración de los buscadores u otras aplicaciones cuando por defecto estos rechacen cookies de terceros y requieran que el usuario realice una acción expresa para hacer que la configuración acepte las cookies.

Es decir, que si el navegador no debe ser configurado expresamente por el usuario para aceptar cookies, o simplemente el dispositivo no permite tal configuración, el consentimiento no se tendrá por prestado de forma expresa y es probable que la AGPD entienda que se ha cometido una infracción si no se busca un consentimiento expreso previo a su instalación.

Habrá que esperar como siempre a la interpretación que haga la AGPD, pero da la impresión de que esto no supondrá cambio alguno y que servirá para poco más que para obligarnos a hacer nuevas elucubraciones de lo que pretendía el legislador en lugar de simplificarnos la vida como debería.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 24, 2014

Cookies: Información y consentimiento (actualizado)

Archivado en: Actualidad, Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 10:29

La AGPD aclara finalmente, a través de una resolución, la forma correcta de plantear las cookies a los usuarios.

Hasta ahora teníamos claro cuál era la información que se debía proporcionar al usuario en cada momento porque así lo había manifestado la propia AGPD a través de un modelo que debía ser adaptado a cada circunstancia concreta. Y quedaba claro que debía plantearse  a través de lo que la propia AGPD llama ‘información por capas.

El problema era -proporcionando esa información y sabiendo el momento en que debía prestarse al usuario- saber si también era necesaria la previa autorización expresa del usuario para la instalación de cookies. Es decir, si era necesario plantear una pantalla en blanco pidiendo de forma previa la autorización expresa para la instalación de cookies o no.

La AGPD viene ahora, a través de la Resolución de 14 de enero de 2014, a decirnos que

  • la falta de información previa  la instalación de cookies SÍ es sancionable
  • que la falta de autorización previa a la instalación de cookies NO es sancionable

Así, la forma correcta de plantear el aviso de cookies queda como sigue

Información por capas

La AGPD se reitera en la presentación por capas de la Guía sobre el uso de las cookies publicado por la propia entidad hace ya un tiempo.

Así, se plantea la información en dos capas:

Primera capa: debe contener la siguiente  información mínima

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información sobre si se trata de cookies propias o de terceros.
    • Advertencia, en su caso, de que si se realiza una determinada acción se entenderá que el usuario acepta el uso de las cookies.
    • Un enlace a la segunda capa informativa en la que se indica una información más detallada.

Esta información –manifiesta la propia AGPD– es necesaria para que el usuario conozca el uso de estos dispositivos, su finalidad, los responsables de su utilización y la conducta de la que se inferirá la prestación del consentimiento, así como para que éste pueda obtener información adicional.

Segunda capa: debe contener la siguiente información

  • Definición y función de las cookies
  • Tipo de cookies que utiliza la página web y su finalidad.
    • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
    • Identificación de quienes utilizan las cookies, incluidos los terceros con lo que el editor haya contratado la prestación de un servicio que suponga el uso de cookies.
    • Definición y función de las Cookies

Insiste la AGPD en la necesidad de que la información proporcionada en esta segunda capa sea ‘completa y clara’  e incluya en particular la ‘tipología de las cookies realmente utilizadas’, ‘finalidad de las mismas’ e ‘identidad de quienes instalan y utilizan las cookies

(Falta de) autorización no sancionable

De cumplirse estos requisitos de información, manifiesta la AGPD que se está cumpliendo la exigencia del Art. 22.2 de la LSSI del ‘consentimiento informado’. Y lo más importante, que la vulneración de ese requisito previo del ‘consentimiento informado’ no es sancionable de acuerdo con el Art 38.4.g) LSSI:

“Igualmente, ha quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, aunque la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g)”

Por el contrario, sí afirma en otro apartado de la misma resolución que la falta la información íntegra según el apartado anterior de este post, anula el consentimiento que se hubiera prestado y sería objeto de sanción

En conclusión, que la información completa por capas según se ha mostrado anteriormente en este Blog en la forma y con el  modelo de aviso de cookies de acuerdo con las directrices de la AGPD sugeridas en su momento no es sancionable según la AGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 15, 2013

Hacienda, ¿objetivo tarjeta Paypal?

Archivado en: Comercio Electrónico, Emprender, Informática, Medios de pago — Etiquetas: , , — legisconsulting @ 12:30

Tweet Hacienta tarjetas 1

Podría entenderse por el anuncio de Hacienda publicado en un diario nacional (y por el tweet reproducido) que la tarjeta de Paypal podría ser el nuevo objetivo de Hacienda para recaudar. Pero en mi opinión –aunque puedo estar equivocado– no es así.

Como bien sabe quien tenía interés en gastar el dinero acumulado en Paypal, con su tarjeta prepago nació un estupendo mecanismo para comprar en el Mercadona de debajo de casa bajo la errónea creencia de que al no haber pasado el dinero por el banco, Hacienda nunca podría tener conocimiento de sus existencia.

¿Puede saberlo Hacienda?

Pues la respuesta corta es que sí.

Como ya se ha mencionado diversas veces en este Blog, tanto en posts como en los comentarios a los mismos (aquí y aquí), Hacienda puede acceder a los movimientos de Paypal dentro de un procedimiento de investigación abierto al sujeto pasivo (el contribuyente) por una razón concreta.

Un procedimiento de solicitud de información con los mismos requisitos y que tendría el mismo resultado que pedir los movimientos de una cuenta en una Caja Rural. Con la única diferencia de que Paypal es una entidad con sede en Luxemburgo y tardaría algo más, pero la información llegaría igual porque para eso existe la Unión Europea.

¿Anuncia Hacienda una ofensiva a estas cuentas?

Aún cuando los designios de Hacienda son inescrutables, mi opinión es que no es eso lo que se está anunciando.

En primer lugar se vincula el anuncio a la normativa que obligaba a declarar cuentas en el extranjero, y no a operaciones con entidades de servicios de pago.

En segundo lugar se refiere el anuncio a ‘tarjetas de cuentas en el extranjero’. Y aunque efectivamente Luxemburgo es el extranjero desde 1714, lo que sus usuarios tienen en Paypal no es una ‘cuenta’ desde el punto de vista de la ley española. Y hacienda conoce la ley.

Y en tercer lugar, si Hacienda hubiera querido ir contra ese tipo de ‘cuentas’ habría hablado de una ofensiva contra las actividades a través de Entidades de Pago o Entidades de Dinero Electrónico que presten Servicios de Pago. Que es lo que es Paypal.

¿Objetivo Servicios de Pago?

La ‘cuentas’ de Paypal se usan por los usuarios de forma ‘inapropiada’ de acuerdo con la ley española por cuento esta señala que tales ‘cuentas’  no son tales, sino meras ‘cuentas de pago’ (merchant accounts) cuya única función es servir de puente en los pagos hacia una cuenta convencional y en las cuales el dinero sólo puede permanecer el tiempo estrictamente necesario para tal trasferencia de fondos. Nunca actuar como una cuenta convencional como se está haciendo.

Hacienda estoy convencido de que lo sabe y puede anunciar en cualquier momento una ofensiva sobre usuarios de servicios como Paypal.

También estoy convencido de que el mero anuncio generaría una avalancha de regularización de operaciones que a día de hoy se realizan exclusivamente a través de este medio al margen de obligaciones tanto con Hacienda como con la Seguridad Social.

Pero por el contrario, también pienso que la imposibilidad legar que tiene hacienda de pedirle a Paypal un listado general de todos sus clientes con todos sus movimientos dificulta enormemente una persecución efectiva general por parte de hacienda de este tipo de operaciones en su conjunto, aunque no individualizadamente ante casos concretos.

En resumen, creo que no es ese el anuncio… aunque como decía, los caminos de Hacienda son inescrutables y el tener una Web que admite Paypal ya puede dar pie a Hacienda para pedir más explicaciones. Y ante la duda, lo más seguro y barato es ‘regularizar’ y actuar siempre dentro de la legalidad.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 3, 2013

¿Cumplir la Ley de Cookies y no morir en el intento?

Pretende este poste aclarar, dentro de lo posible, las opciones para el uso ‘legal’ de Cookies en las web y el porqué de la inseguridad legal que las rodea y genera tantas opiniones y soluciones creativas en torno a las mismas.

Aún  a riesgo de ser un poco simplista, el punto de partida es saber de qué va la ley para saber cuando debe preocuparnos y cuando no.

1.- Un Ladrillo

La idea de este Post me surge al leer que alguien decía que la Ley de Cookies  es un ‘ladrillo’ . Un ‘ladrillo’ que es sólo el punto 2 del Art. 22 de la Ley 24/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico . Casi más corto el texto que el título si pensamos que TODA la ‘ley’ de cookies tiene 3 párrafos y 180 palabras:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Un ladrillo que obviamente no lo es en la extensión, pero sí en el contenido que vamos a tratar desentrañar párrafo por párrafo para mostrar las dudas que aún debe resolver la AEPD para saber cuando cumplimos y cuando no.

2.- Si no uso Cookies, pues cumplo la ley de Cookies

La ley no menciona en ningún momento las Cookies, sino ‘dispositivos de almacenamiento o recuperación de datos’, con lo que si usamos cualquier dispositivo  que cumpla con esa descripción general entraremos dentro del marco de exigencias de la ley por imaginativa o creativa que sea la solución de turno.

3.- ¿Qué pinta en esto la AEPD?

Aparte de la evidente mención que se hace a la LOPD,  puesto que con esos dispositivos se accede a Datos de Carácter Personal, será de aplicación la LOPD y todas sus consecuencias.

Así, son Datos Personales “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Es decir, prácticamente todo, desde la IP del usuario a su historial de navegación, son datos personales.

4.- Requisitos para usar Cookies

Dice la ley que podemos usar las estrictamente necesarias para que aparezca algo en la pantalla. Y para las demás,

  • cuando se cuente con el consentimiento previo del usuario
  • tras haberle informado previamente de las cookies que se le van a instaler
  • y de la finalidad de las mismas

Pero el problema viene de si es posible un consentimiento tácito mediante la mera navegación; o si es necesaria la aceptación expresa; o si es imprescindible hacerle al usuario un test de idoneidad (como con las preferentes de los bancos); o darle el correspondiente cursillo personalizado de desactivación de Cookies en función de las Webs que visite y del navegador que utilice antes de instalar cualquier Cookie.

5.- Cuando se pueden usar Cookies legalmente

La AEPD tiene abierto un expediente sancionador por denuncia de un usuario a una Web que le instaló Cookies antes de que este hubiera prestado su consentimiento previo y expreso a las mismas. Y ello aún cuando la Web denunciada contaba con un aviso sobre su política de Cookies con toda la información.

A día de hoy el expediente no está resuelto y no sabemos si a la Web le será impuesta una sanción o no, pero al margen de lo que suceda en el caso concreto –que espero a título personal que la AEPD exonere completamente a la Web–, es de esperar que la AEPD nos de unas directrices más exactas sobre como actuar en este campo. Hasta entonces, podemos tener teorías diversas de cuando y como usar Cookies legalmente. Pero sólo serán eso, teorías.

6.- Entonces: ¿que hacemos con las Cookies?

Opción 1.- Renunciar a ellas

Opción 2.- Se puede colocar como pantalla previa a la entrada a la web exclusivamente el texto de la política de cookies y el preceptivo consentimiento previo sobre un fondo blanco de tal forma que si no se aceptan las cookies no se pueda acceder.

Opción 3.- O bien, y ante la imposibilidad de saber exactamente como hacerlo legalmente (punto 5), y caso de usar en nuestra Web cualquier tipo de dispositivo (punto 2), deberemos cumplir las exigencias legales para la instalación de cookies (punto 4) y seguir en todo caso las recomendaciones de la AEPD para el uso de cookies.

Como decía, a día de hoy no sabemos si así esteremos cumpliendo la ley, pero cumplir las recomendaciones y tener un texto de información y aceptación de la Política de Cookies acorde con las mismas, al menos probará la buena fe y la intención de cumplir la Ley. Algo que al menos está bien visto (y ayuda) ante la AEPD

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 8, 2013

Cuestiones y Dudas sobre Paypal [FAQ]

Archivado en: Comercio Electrónico, Emprender, Informática, Medios de pago — Etiquetas: , , — legisconsulting @ 12:01

Desde la publicación del Post sobre la obligación de declarar a Hacienda las cuentas de Paypal, se han vienen recibiendo en este blog cuestiones sobre el uso de Paypal que me hicieron publicar en Emprenderalia un artículo que pretendía aclarar algunas de esas dudas.

Dado el interés que suscita la cuestión, reproduzco a continuación dicho artículo.

“Son numerosas las consultas y dudas que me han sido planteadas por los usuarios de Paypal, y este artículo pretende dar respuesta clara y directa a las más demandadas por estos. Desde la fiscalidad, al uso de la cuenta de la plataforma.

Los medios de pago son una parte trascendental del Comercio Electrónico, y como tal, es esencial conocer su funcionamiento y las implicaciones de la actividad con ellos.

FAQ

1. ¿ Con PAYPAL, tengo una cuenta en un banco de EEUU?

NO.

Las operaciones más habituales, y por las que es más conocido Paypal, se prestan desde una entidad con sede en Luxemburgo (UE). No desde su matriz en EEUU.

Además Paypal no es un banco, sino una Entidad de Dinero Electrónico que, como tal, puede prestar Servicios de Pago (transferencias, pagos con tarjeta, etc), que es por lo que es mayoritariamente conocida.

Y ni tan siquiera tengo una ‘cuenta’.

2. ¿Tengo una cuenta en el extranjero?

NO, si entendemos ‘cuenta’ como sinónimo de depósito bancario.

La cuenta que tenemos es lo que la ley española llama una Cuenta de Pago (merchant account). Y se concibe exclusivamente como un instrumento necesario para realizar operaciones de pago con tarjeta.

Además, la legislación española señala de forma expresa que no puede ser entendida como un ‘depósito’ en términos bancarios.

3. ¿Debo declarar la cuenta de Paypal a Hacienda?

NO, salvo que se tenga en la misma más de 50.000€ y Hacienda fuerce la interpretación de la norma.

La reciente Ley 7/2012 estableció una Obligación de información sobre bienes y derechos situados en el extranjero. Pero esta obligación se extiende a depósitos en bancos o entidades de crédito en el extranjero. Algo que ya hemos visto que no es Paypal.

Además el RD 1558/2012 limita la obligación de declarar a cuentas o depósitos en bancos o entidades de crédito en el extranjero que superen los 50.000,00 €.

Bien es cierto que hay alguna interpretación de la norma que podría exigir la declaración de las cuentas de PAYPAL en las que haya más de 50.000€. Pero es una interpretación que considero muy forzada y que espero que no llegue a hacer la AEAT. Para quien le pueda interesar, la interpretación se puede encontrar en este post.

4. ¿Debo declarar las operaciones realizadas a través de PAYPAL?

Sirva como regla general que la obligación de declaración de las operaciones viene determinada por la propia operación gravada por algún impuesto, ya sea la compraventa de algún bien o la prestación de un servicio y por la disponibilidad del dinero aunque sea en la cuenta de pago de Paypal. No por la percepción del dinero en la cuenta de un banco.

Obviamente hay particularidades y obligaciones propias en función de la prestación y de la persona que la realice, pero son demasiadas para ser tratadas en un mero artículo.

5. ¿Puede pedirme Hacienda los movimientos en la cuenta?

SÍ, con límites.

Hacienda puede solicitar información en el marco de una investigación por una infracción en un procedimiento tributario concreto.

Como ha manifestado la jurisprudencia, no podrá solicitar hacienda información de forma indiscriminada y sin estar vinculada a una investigación de una infracción fiscal concreta.

6. ¿Puede solicitar Hacienda los movimientos en la cuenta a PAYPAL?

NO directamente.

La capacidad de control de las sucursales de sociedades extranjeras en España es limitada, y en particular la supervisión de las Entidades de Pago de otros países de la UE corresponde a las autoridades de su país de origen. De ello se deduce que caso de requerir este tipo de información, es posible que se debiera hacer en función de los mecanismos de cooperación en materia fiscal en la UE. Algo no demasiado ágil y que cambiará a final de este año.

La nueva Directiva 2011/16/UE establece la obligación de envío automático de información relativa a renta y patrimonio correspondiente a los períodos impositivos a partir del 1 de enero de 2014.

Entiendo que las cuentas de Paypal, dada su particular naturaleza jurídica anteriormente formulada no entrarán dentro de este apartado de comunicación automática, si bien algunas de ellas y en particulares circunstancias, es posible que pudieran entrar en otro apartado de la misma directiva que obliga a un ‘Intercambio espontaneo de información’ cuando las autoridades de Luxemburgo “tengan razones para suponer que existe una pérdida de impuestos en otro país de la UE”.

7. ¿Debo declarar a Hacienda sólo cuando el dinero llega a mi cuenta del banco?

NO

Es una forma de actuar extendida y que se debe tanto a la falta de capacidad de control efectivo de hacienda como a la especial naturaleza jurídica de la cuenta en Paypal a la que se ha hecho ya mención en este artículo. Pero no es una regla que se pueda imponer como general. L a obligación de declarar vendrá determinada por la realización del hecho imponible correspondiente a cada tributo y a su devengo.

O traducido: en función de quién venda, qué venda y hasta cómo lo venda, variará el momento en que nacerá la obligación de declarar a Hacienda. No es posible establecer una regla general para todos los supuestos.

8. ¿Comunica Paypal a Hacienda los datos que me pide al superar los 2.500€?

NO

El objetivo buscado para recabar esos datos es la prevención del banqueo de capitales y no ningún objetivo de prevención del fraude fiscal o de comunicación a las autoridades fiscales. Y es la cantidad fijada por la normativa Luxemburguesa para la solicitud de los datos de identificación que piden a estos efectos es de 2.500€.

La cantidad que legalmente se exigiría con el mismo fin para una Entidad de Pago radicada en España sería de 3.000€”

FAQ

1. ¿ Con PAYPAL, tengo una cuenta en un banco de EEUU?

NO.

Las operaciones más habituales, y por las que es más conocido Paypal, se prestan desde una entidad con sede en Luxemburgo (UE). No desde su matriz en EEUU.

Además Paypal no es un banco, sino una Entidad de Dinero Electrónico que, como tal, puede prestar Servicios de Pago (transferencias, pagos con tarjeta, etc), que es por lo que es mayoritariamente conocida.

Y ni tan siquiera tengo una ‘cuenta’.

2. ¿Tengo una cuenta en el extranjero?

NO, si entendemos ‘cuenta’ como sinónimo de depósito bancario.

La cuenta que tenemos es lo que la ley española llama una Cuenta de Pago (merchant account). Y se concibe exclusivamente como un instrumento necesario para realizar operaciones de pago con tarjeta.

Además, la legislación española señala de forma expresa que no puede ser entendida como un ‘depósito’ en términos bancarios.

3. ¿Debo declarar la cuenta de Paypal a Hacienda?

NO, salvo que se tenga en la misma más de 50.000€ y Hacienda fuerce la interpretación de la norma.

La reciente Ley 7/2012 estableció una Obligación de información sobre bienes y derechos situados en el extranjero. Pero esta obligación se extiende a depósitos en bancos o entidades de crédito en el extranjero. Algo que ya hemos visto que no es Paypal.

Además el RD 1558/2012 limita la obligación de declarar a cuentas o depósitos en bancos o entidades de crédito en el extranjero que superen los 50.000,00 €.

Bien es cierto que hay alguna interpretación de la norma que podría exigir la declaración de las cuentas de PAYPAL en las que haya más de 50.000€. Pero es una interpretación que considero muy forzada y que espero que no llegue a hacer la AEAT. Para quien le pueda interesar, la interpretación se puede encontrar en este post.

4. ¿Debo declarar las operaciones realizadas a través de PAYPAL?

Sirva como regla general que la obligación de declaración de las operaciones viene determinada por la propia operación gravada por algún impuesto, ya sea la compraventa de algún bien o la prestación de un servicio y por la disponibilidad del dinero aunque sea en la cuenta de pago de Paypal. No por la percepción del dinero en la cuenta de un banco.

Obviamente hay particularidades y obligaciones propias en función de la prestación y de la persona que la realice, pero son demasiadas para ser tratadas en un mero artículo.

5. ¿Puede pedirme Hacienda los movimientos en la cuenta?

SÍ, con límites.

Hacienda puede solicitar información en el marco de una investigación por una infracción en un procedimiento tributario concreto.

Como ha manifestado la jurisprudencia, no podrá solicitar hacienda información de forma indiscriminada y sin estar vinculada a una investigación de una infracción fiscal concreta.

6. ¿Puede solicitar Hacienda los movimientos en la cuenta a PAYPAL?

NO directamente.

La capacidad de control de las sucursales de sociedades extranjeras en España es limitada, y en particular la supervisión de las Entidades de Pago de otros países de la UE corresponde a las autoridades de su país de origen. De ello se deduce que caso de requerir este tipo de información, es posible que se debiera hacer en función de los mecanismos de cooperación en materia fiscal en la UE. Algo no demasiado ágil y que cambiará a final de este año.

La nueva Directiva 2011/16/UE establece la obligación de envío automático de información relativa a renta y patrimonio correspondiente a los períodos impositivos a partir del 1 de enero de 2014.

Entiendo que las cuentas de Paypal, dada su particular naturaleza jurídica anteriormente formulada no entrarán dentro de este apartado de comunicación automática, si bien algunas de ellas y en particulares circunstancias, es posible que pudieran entrar en otro apartado de la misma directiva que obliga a un ‘Intercambio espontaneo de información’ cuando las autoridades de Luxemburgo “tengan razones para suponer que existe una pérdida de impuestos en otro país de la UE”.

7. ¿Debo declarar a Hacienda sólo cuando el dinero llega a mi cuenta del banco?

NO

Es una forma de actuar extendida y que se debe tanto a la falta de capacidad de control efectivo de hacienda como a la especial naturaleza jurídica de la cuenta en Paypal a la que se ha hecho ya mención en este artículo. Pero no es una regla que se pueda imponer como general. L a obligación de declarar vendrá determinada por la realización del hecho imponible correspondiente a cada tributo y a su devengo.

O traducido: en función de quién venda, qué venda y hasta cómo lo venda, variará el momento en que nacerá la obligación de declarar a Hacienda. No es posible establecer una regla general para todos los supuestos.

8. ¿Comunica Paypal a Hacienda los datos que me pide al superar los 2.500€?

NO

El objetivo buscado para recabar esos datos es la prevención del banqueo de capitales y no ningún objetivo de prevención del fraude fiscal o de comunicación a las autoridades fiscales. Y es la cantidad fijada por la normativa Luxemburguesa para la solicitud de los datos de identificación que piden a estos efectos es de 2.500€.

La cantidad que legalmente se exigiría con el mismo fin para una Entidad de Pago radicada en España sería de 3.000€”

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 4, 2012

Guía de uso seguro del Cloud: LOPD

Archivado en: Comercio Electrónico, Informática, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:34

El almacenamiento en la nube (en adelante Cloud) es una solución fácil, eficiente y práctica. Pero es una herramienta con unos requisitos y condicionantes –exigidos por la LOPD y controlados por la AEPD– que hay necesariamente que conocer y seguir para un uso seguro de la misma.

Las condiciones y requisitos exigidos por la Ley no deben entenderse como para ser negociados punto por punto, sino para elegir de entre los proveedores de servicios de almacenamiento Cloud, al que los ofrezca directamente sin –prácticamente– más trámites.

¿Como se cumplen todas las exigencias?

Se mostrarán más adelante la gran cantidad de requisitos exigidos por la Ley par este tipo de contratos, ¿pero como se cumplen?: pues, en resumen, eligiendo un proveedor de Servicios Cloud que incluya en sus condiciones todas las exigencias legales en lugar de exigir cada punto.

Obviamente, si nos planteamos negociar con el prestador de los servicios punto por punto y requisito por requisito cada uno de los extremos legalmente exigidos, la contratación de estos servicios sería imposible. Pero eso no es así.

Se ha manifestado reiteradamente en este blog que las condiciones que ponemos en las Web son contratos por los que las partes vienen obligados (el contrato obligatorio para este servicio). Y si el proveedor nos muestra el resto de condiciones exigidas, pues cumplimos con la ley.

Sirva como ejemplo un conocido proveedor de estos servicios que ni tan siquiera está radicado en España ni en la UE, sino que es simplemente una de las entidades adheridas al mencionado acuerdo Safeharbour. Y como para cumplir la práctica totalidad de las exigencias sólo hay que ver su Web.

No se trata de elegir el contrato de almacenamiento y todas sus exigencias, sino elegir al proveedor que las ofrezca sin prácticamente más trámites.

Involucrados en el Cloud

En términos de la LOPD, en un contrato de almacenamiento de datos en la nube, además de los titulares de los datos, hay una actividad que es el Tratamiento de dichos datos y dos personas involucradas:

  • Tratamiento de los datos: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.
  • El contratante de servicios Cloud: es lo que la LOPD llama el ‘Responsable del Fichero’. Es decir, quien decide sobre la finalidad, contenido y uso del tratamiento. Y a quien corresponde exigir a su proveedor de servicios Cloud que articule las medidas de seguridad que correspondan
  • El prestador de servicios Cloud: o lo que la LOPD llama el ‘Encargado del Tratamiento’, que es la persona que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Es su obligación articular las medidas necesarias para dotar a los datos del nivel de seguridad que proceda.

En este marco, es el contratante de los servicios Cloud –el usuario de los servicios– el responsable de que el prestador de los servicios cumpla la normativa española. Y para ello es esencial la formalización del Contrato de prestación de servicios de tratamiento de datos personales por cuenta de terceros cuyo contenido se detalla más adelante en este artículo.

En ningún caso cabe legalmente el pacto de que la normativa a aplicar sea la de otro país.

Almacenamiento de datos (localización)

Resulta esencial para la seguridad del contratante saber en qué condiciones y en que país se almacenarán físicamente los datos. Y como lo más normal es que los datos no se almacenen en España, cabe señalar que la transferencia internacional de datos sólo se podrá dar a países que tengan lo que la ley llama un nivel de protección adecuado (lista).

Para el almacenamiento de datos en países que no se incluyan en esa lista de países con un nivel de protección adecuado será necesaria, previa aportación de las garantías adecuadas, la autorización del Director de la AEPD.

Por el contrario, no será necesaria esa autorización del director de la AEPD:

  • Si la transmisión se realiza dentro del Espacio Económico Europeo, porque ello no se considera una transferencia internacional de datos
  • En Países a los que la Comisión Europea considera con un nivel de protección de los datos equiparable al Europeo
  • Servicios prestados por Entidades radicadas en los EEUU que se hayan adherido voluntariamente para la prestación de estos servicios al acuerdo Safeharbor (entidades adheridas). Si bien, si estas entidades van a transferir los datos personales a un tercer país, deberá aportar garantías por escrito para ofrecer al menos el mismo nivel de protección que se le haya requerido.

También será posible contratar con un proveedor de servicios Cloud de un tercer país –de los de un nivel de protección no adecuado– cuando este proveedor haya obtenido previamente del Director de la AEPD la autorización para realizar transferencias internacionales de datos.

De cualquier forma, en todos los casos –sea o no necesaria autorización– será necesaria la formalización de un contrato. Y en este sentido cabe señalar que los contratos que se celebren de acuerdo con “Las Cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países” (Decisión CE 2010/87/UE), se considera que ofrecen las garantías adecuadas.

Contenido mínimo del (obligatorio) Contrato

En todo caso, y sean cuales sean las circunstancias, la LOPD exige la formalización de un contrato entre proveedor de servicios de Cloud y el usuario de los mismos.

Art. 12.2 LOPD. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar

Al margen de lo exigido por el artículo trascrito, en el preceptivo contrato que debe existir entre Prestador del servicio de almacenamiento y el Usuarios, hay una serie de cláusulas que considero esenciales

  • Cumplimiento de la legislación en materia de Protección de datos: El prestador del servicio debe asumir de forma expresa su condición de Encargado del Tratamiento en los términos y con todas las obligaciones establecidas por la Ley española y europea. Incluidas las autorizaciones y requisitos citados anteriormente si los datos se almacenaran en países con un nivel de protección NO adecuado en los términos expuestos en el apartado anterior.
  • Datos: Es imprescindible la mención expresa de que el uso de los datos que haga el prestador del servicio será única y exclusivamente el autorizado por el contratante, y de que en ningún caso podrá disponer de los datos que le hayan sido proporcionados
  • Acceso a los datos: El prestador del servicio debe garantizar en el contrato que la información aportada sólo será accesible para el contratante del servicio.
  • Caso de que alguno de los datos aportados sea de los calificados por la ley como de especial protección, se exigirá que consten las medidas de seguridad exigibles en función de los mismos.
  • Integridad y conservación. El prestador del servicio deberá disponer y hacer constar en el contrato los mecanismos disponibles para recuperación de la información y copias de seguridad que garanticen la conservación íntegra de la información y datos aportados.
  • Disponibilidad: Se deberá hacer constar un elevado porcentaje de tiempo en que el servicio estará disponible, así como la obligación de notificar las paradas programadas del mismo.
  • Resolución y Portabilidad: Plazo y forma en que se podrá rescindir el contrato por alguna de las partes, así como el plazo y la forma en que se hará entrega al contratante de los datos almacenados, su formato y la debida integridad de los mismos.
  • Mecanismo de borrado: para datos una vez hayan sido migrados o transferidos al Usuario de los servicios Cloud
  • Penalizaciones para el prestador del servicio caso de incumplimiento de las obligaciones tanto legales como de los términos del contrato.
  • Exclusión de responsabilidad: Que el cumplimiento diligente de las obligaciones por parte del contratante del servicio de Cloud le eximirá de sus responsabilidades.
  • Cláusulas contractuales tipo elaboradas por la AEPD que permiten la subcontratación de los servicios (Art. 21 RLOPD) de Cloud con un proveedor de dichos servicios que, de acuerdo con dichas cláusulas, tenga autorizada la transferencia internacional de datos
  • Sometimiento a la jurisdicción del estado del Usuario: caso de conflicto en que estén envueltos tanto prestador del servicio como usuario, como ambos o cualquiera de los dos con un tercero titular de datos, cabe establecer este sometimiento.
  • Medidas de seguridad: Si bien deben ser parte del contrato, entiendo que es una materia que necesita de un apartado propio dada su extensión e importancia.

Seguridad de los Datos

Artículo 9.1 LOPD. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Condiciones mínimas de seguridad a incluir en el contrato:

  • Mención a la diligencia debida, tanto del prestador del servicio como del usuario en cuanto a la custodia de los datos. Y en este sentido, también mención de las medidas concretas que vayan a implementar para su seguridad. Y dado que no todos los datos necesitan del mismo nivel de protección,  información expresa sobre la naturaleza de los datos a fin de poder establecer el nivel de seguridad que en función de los mismos, proceda.
  • Mención a los mecanismos de seguridad, tanto físicos como lógicos, establecidos para preservar los datos. Así como a las copias de seguridad, la periodicidad en su realización y su mecanismo.
  • Los mecanismos de autenticación para el acceso a la información en los términos y en la forma que el usuario determine.
  • Cifrado de los datos y nivel de seguridad ofrecido por las técnicas de cifrado de la información que se aplique en los sistemas del proveedor.
  • Procedimiento de recuperación y migración de los datos y mecanismos de borrado.
  • Caso de tratarse de datos especialmente protegidos de acuerdo con la legislación española, será necesario que el proveedor de los servicios establezca un registro de los accesos realizados a los datos.
  • Caso de que sea materialmente imposible verificar en persona las medidas de seguridad del prestador del servicio –imposible en este tipo de contrato ir a ver si el servidor está cerrado con llave– se podrá designar a un tercero independiente que las audite. Y es este un extremo que también debería ser incluido en el contrato dado que la ley exige el control del Encargado del tratamiento por parte del Encargado del Fichero.
  • La obligación de poner en conocimiento del Usuario del servicio cualquier incidencia que se produzca en el mismo y las medidas adoptadas para su subsanación.

Además, para todo ello y en cumplimiento del deber de diligencia exigido al Usuario de los servicios Cloud en el control del Encargado del tratamiento (el proveedor de los servicios), el Responsable del Fichero deberá exigir y tener acceso a toda la documentación técnica o auditorías externas que garanticen que se cumplen las todas las exigencias legales para el almacenamiento de datos de carácter personal.

Un contrato complejo

Es efectivamente un contrato complejo con gran cantidad de variables y exigencias cuyo incumplimiento puede traer graves consecuencias de acuerdo con la Ley. Y es que en tanto no se apruebe un método más ágil y acorde con el medio en que se desenvuelven este tipo de contratos, la normativa que hay es esta y lo más seguro es cumplirla.

Hay en proyecto un nuevo Reglamento de Protección de Datos que sin duda cambiará las condiciones y los intervinientes en este tipo de contratos, pero de momento no lo tenemos, y lo expuesto en este artículo a grandes rasgos, es sólo una breve guía a tener en cuenta para contratar este tipo de servicios para el almacenamiento de datos personales.

Como ha visto, si va a almacenar son datos personales, lo más razonable es contar con un asesoramiento profesional. A ello invita un régimen sancionador de la LOPD que hace que, sin duda, el coste-beneficio compense.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Junio 7, 2012

Los peligros de la Web: LOPD y LSSI

Es la historia del turista que va de safari a África y pregunta al guía:

- ¿Qué animales deberían darme más miedo?; ¿De cuales debería alejarme?; ¿Cuáles son peligrosos?

A lo que el guía responde:

- Todos

Pues si tenemos o nos planteamos tener un negocio de Comercio Electrónico o una Web que preste servicios –aunque estos sean gratuitos–, la pregunta a hacer es

- ¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

A lo que el guía responde:

- Todas

Las Leyes de los peligros

Obviamente la normativa dependerá de la actividad y los servicios, y aparte de la normativa ‘analógica’, en el sector del Comercio Electrónico hay dos normas a las que hay que prestar especial atención:

  • LSSI (Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico) -> en adelante ‘el hipopótamo’
  • LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) -> en adelante ‘el leon’

Si le preguntamos al turista nos dirá que el león es mucho más peligroso que el pesado hipopótamo. Pero si le preguntamos al guía –o a cualquiera aficionado a los documentales de La 2– nos contará que el hipopótamo es el animal que más muertes causa en África.

Pues con las leyes pasa más o menos lo mismo: la mala fama –merecida en parte– de la LOPD y de su brazo armado, la AEPD, no quiere en absoluto decir que el turista deba despreocuparse de esos otros aparentemente pacíficos vecinos para con los que poner los datos del titular de la web y poco más, se cree que ya habremos cumplido.

Los peligros

Pero vayamos por partes: ¿Cuál es el importe de las sanciones previstas en cada una de la normas?

LOPD:

Artículo 45. Tipo de sanciones.

  1. Las infracciones leves serán sancionadas con multa de 900 a 40.000 euros.
  2. Las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros
  3. Las infracciones muy graves serán sancionadas con multa de 300.001 a 600.000 euros.

LSS:

Artículo 39. Sanciones.

a. Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros.

b. Por la comisión de infracciones graves, multa de 30.001 hasta 1 50.000 euros.

c. Por la comisión de infracciones leves, multa de hasta 30.000 euros.

Como se ve, el importe de las sanciones no varía tanto en una u otra ley, entonces ¿cual nos debería dar más miedo?

Bajarse del coche para la foto

El problema del la LSSI (el hipopótamo que decíamos) es la fama. Y es que al no estar tan claro quién puede imponer la sanción como en el caso de la LOPD, las repercusiones mediáticas de estas no son tan espectaculares como las de la AEPD.

Atendiendo a quien puede imponer la sanción, las sanciones por incumplimiento de la LSSI podrán ser impuestas:

  • por la autoridad que dictó la resolución incumplida,
  • o por el órgano al que estén adscritos los inspectores,
  • o por el órgano correspondiente de consumo de las Comunidades Autónomas,
  • o por el ministro de industria caso de infracciones graves,
  • o por el Secretario de Estado en infracciones y leves,
  • o por la autoridad competente en función de la materia de que se trate,
  • o por la AEPD,
  • ¡… o por varios de ellos!

Ello genera una inseguridad que ya se trató en este blog recientemente y de forma más detallada en un post sobre las infracciones y sanciones en las web.

Evidentemente, el león (LOPD) tiene una reputada fama, rapidez y poderosos colmillos (AEPD), pero el hipopótamo (LSSI) protege con fiereza su territorio y puede salir en cualquier momento de debajo del agua.

Las fotos, tras el cristal

Tal como empezábamos este post

- ¿Qué ley debo cumplir?. ¿Con cuál corro más riesgos?

- Todas

Y no conviene ponerse a juguetear ni con el león ni con el hipopótamo, porque el E-commerce sin asesoramiento legal es como ir de safari con un tirachinas. La broma, sin duda, saldrá cara.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 18, 2012

Inseguridad Jurídica en sanciones a las Web

Archivado en: Comercio Electrónico, Informática — Etiquetas: , , , — legisconsulting @ 11:12

Ya se han tratado antes en este Blog las obligaciones que se tienen al prestar servicios a través de una Web, sea cobrando por ellos o no (Aviso Legal, Condiciones de Servicio, Política de privacidad). Pero resulta evidente que la obligación es efectiva sólo si su incumplimiento implica consecuencias.

Y es de estas consecuencias, de los posibles costes generados por desconocimiento de la ley o por un erróneo planteamiento de la Web, así como de la inseguridad jurídica en las sanciones, de lo que trata este post.

¿Quién pone las multas?

Para la explotación de este ‘filón’ recaudatorio de la administración se ha establecido un régimen sancionador fácil de incumplir y con demasiados órganos con capacidad para sancionar.

Las sanciones podrán ser impuestas

  • por la autoridad que dictó la resolución incumplida,
  • o por el órgano al que estén adscritos los inspectores,
  • o por el órgano correspondiente de consumo de las Comunidades Autónomas,
  • o por el ministro de industria caso de infracciones graves,
  • o por el Secretario de Estado en infracciones y leves,
  • o por la autoridad competente en función de la materia de que se trate,
  • o por la AEPD,
  • ¡… o por varios de ellos!

En teoría no se puede imponer más de una sanción administrativa por los mismos hechos, ¿pero se puede creer realmente que, por ejemplo el responsable de consumo de la provincia de Huelva –donde a pesar de que no preste servicio alguno la Web sí se tiene acceso a la misma– va llamar al Secretario de Estado, a su colega de Pontevedra y a la AEPD antes de imponer la multa para ver si ellos también han sancionado?

Con esta inseguridad en la potestad sancionadora, lo más razonable es intentar evitar las sanciones.

¿De cuánto son las multas?

Las sanciones vienen graduadas por la ley en función de las infracciones, que califica y penaliza la ley de la siguiente forma:

  1. Muy graves: multa de 150.001 hasta 600.000 euros.
  2. Graves, multa de 30.001 hasta 1 50.000 euros.
  3. Leves, multa de hasta 30.000 euros.

Infracciones

1. Leves:

Son infracciones relativas a:

1.1.                    Deberes de información:

  • En su caso, no informar sobre los datos de inscripción en el Registro (10.1b)
  • En caso de que su actividad estuviese sujeta a un régimen de autorización administrativa previa, los datos relativos a dicha autorización y los identificativos del órgano competente encargado de su supervisión.
  • Si ejerce una profesión regulada deberá indicar:
  1. Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.
  2. El título académico oficial o profesional con el que cuente.
  3. El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.
  4. Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.
  • El número de identificación fiscal que le corresponda.
  • Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

1.2.                    Comunicaciones Comerciales

  • No haber solicitado en la propia Web en la forma correcta la autorización previa para comunicaciones comerciales. Y aún habiéndola obtenido, no Incluir la palabra ‘Publicidad’ ó ‘Publi’ al comienzo del mensaje.
  • Y también contando con la autorización citada, el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación lo incluso aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en este artículo.
  • Excepción a la autorización previa y expresa citada es que exista una relación contractual previa. Siempre dando la posibilidad, en cada comunicación, de oponerse al tratamiento de sus datos, de tal forma que también se encuadran en este grado de infracciones el ignorar la revocación del consentimiento prestado.

1.3.                    Contrato

En caso de que el servicio sea oneroso, las infracciones tendrán carácter leve si incumplen algunas de las siguientes condiciones

  • No informar, cuando se trate con un consumidor, de las condiciones de celebración del contrato, su archivo y su accesibilidad para este.
  • No confirmar a la contraparte de forma expresa la recepción de la aceptación del contrato.
  • No se incurrirá en infracción y no procederá la sanción cuando el contrato se haya pactado mediante el intercambio de correos electrónicos o cuando entre ambas partes hayan pactado que se necesita y ninguno tenga la condición de consumidor.

1.4.                    Derechos de los destinatarios de los servicios

  • Incumplimiento de las condiciones para el almacenamiento y tratamiento de datos exigidos por la LOPD. Incluido todo lo relacionado con el consentimiento.
  • No disponer de los medios para revocación de tal consentimiento en la forma legal establecida
2. Graves

En su mayor parte se trata de lo que la ley denomina como incumplimiento significativo o bien la comisión habitual o reiterada de las infracciones tipificadas como leves y anteriormente enumeradas.

Aunque sí cabe destacar entre ellas por su especialidad:

  • El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos.
  • No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista
  • La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley.
3. Muy Graves

Tras la reforma del 2007, tan sólo queda graduada como muy grave la “el incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano administrativo competente lo ordene”.

El hambre recaudatoria: un coste evitable

Se ha visto, por una parte, que es posible que una Web incompleta o erróneamente planteada genere costes adicionales no previstos y fácilmente evitables, simplemente cumpliendo la ley.

Y por otra parte, basta con navegar un poco para darse cuenta de que es sólo cuestión de tiempo que la administración encuentre un filón recaudatorio hasta ahora ‘infra explotado’ como este.

Una situación que, junto con sobre todo, la inseguridad ante quien ostenta la potestad sancionadora, hacen que la inversión en el asesoramiento profesional para la ‘Legalización’ de la Web sea un pequeño gasto con un gran retorno garantizado.

En Legisconsulting ofrecemos el servicio de ‘Legalización’ de su Web aportando seguridad a su inversión en este complejo y normalmente ignorado tema.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 25, 2012

Informáticos y sus Contratos de Desarrollo: elementos relevantes

Siendo un  contrato complejo, trata el presente post de mostrar de forma breve y muy general los elementos del Contrato de Desarrollo que entiendo como especiales y a los que inexplicablemente, por regla general y a pesar de ser determinantes para el buen fin del mismo, se presta poca atención en su parte formal.

No tenemos contrato

No tenerlo por escrito no quiere decir que no haya un contrato. Si hay un acuerdo sobre el objeto (aunque este sea muy general) y el precio y se puede demostrar el acuerdo de voluntades sí que existe un contrato.

Y si, por ejemplo, dentro de la fase de negociación hemos dicho cosas como que el trabajo incluirá ‘todo lo necesario para colgarlo en internet’. Será eso los que nos sea exigible, TODO: diseño, programación, servidores, mantenimiento, conexión a Internet o cualquier cosa que la imaginación de la otra parte quiera exigir.

Es por ello que entiendo necesario tener un contrato firmado lo más claro y conciso que un objeto tan abierto e indeterminado como este permita. Podemos pactar lo que queramos, pero lo que fijemos en el contrato será lo que sea exigible, ya que hay una máxima en derecho que dice que los contratos son lo que son, y no lo que las partes dicen que son. Y para ello habrá que atender a los elementos que integran el contrato uno por uno

Objeto del contrato

Como cualquiera que esté leyendo este post sabe, el objeto de este tipo de contrato (lo que nos comprometemos a hacer), es algo difícil de determinar, integrado por numerosos elementos distintos, que incluso puede cambiar durante su desarrollo.

Para la determinación del mismo es posible incluir, dentro del cuerpo del contrato o como anexo al mismo gráficos, esquemas o diagramas que ayuden a determinar tal objeto. Lo que nos comprometemos a entregar.

Elementos que forman parte del Objeto

Pero eso que nos estamos comprometiendo a entregar es un todo que está formado por diversos elementos que deben ser tratados individualizadamente en el contrato por ser considerados por la ley de forma distinta cada uno de ellos. Entre otros:

  • Parte de Programación: La propiedad del código fuente es obviamente del programador, que concede una licencia en los términos que se fijen en el propio contrato (límites de uso, duración, garantías, etc).
  • Parte de Diseño: Al igual que la anterior, nos encontramos dentro de derechos de propiedad intelectual
  • Licencias u objetos adquiridos de terceros: Son elementos no desarrollados o creados por ninguna de las partes en el contrato y que como parte integrante del objeto deberán ser transmitidas dentro del mismo. En este sentido, habrá que determinar en el contrato, si procede, las condiciones en que se adquirirán y transmitirán tales licencias.
  • Otros elementos: Ya sean estas adquisiciones a título de propiedad o no, o incluso aportados por la otra parte y que determinen el buen fin del contrato.

Transmisión

Será necesario al mismo tiempo determinar la forma y el momento en que se hará la entrega del Objeto. Considerando en cualquier caso que, como se ha visto, lo que se transmite no es la propiedad del mismo por estar integrado por los más variados elementos y ser ello imposible, sino la titularidad del mismo en unas condiciones determinadas.

Plazos

Los plazos en este tipo de trabajos pueden variar considerando que hay elementos que dependen de terceros ajenos al contrato o en base a los términos del contrato o a las condiciones de trabajo.

La solución a este problema está en establecer plazos flexibles en función de las circunstancias, porque flexible no quiere decir en modo alguno indeterminado.

Garantías

Este apartado genérico incluiría tanto garantías de los propios trabajos, como penalizaciones por incumplimiento de alguna de las partes, cláusulas resolutorias o de desistimiento o incluso cláusulas de no competencia.

Las garantías deben cubrir, en su medida, a ambas partes. Un contrato es un acuerdo entre partes en las que las dos deben estar equilibradas porque ambas deben ganar con el contrato al ser esa es la función y razón de existir última del mismo.

Precio y gastos

Deberá incluir, tanto el evidente precio y forma en que se pagará la contraprestación por el Objeto del contrato, como la determinación de quien, en qué momento y con qué controles en su caso, abonará los gastos que se generen durante el desarrollo del contrato.

Los Contratos de Desarrollo son algo muy complejo, que normalmente no se firma, que normalmente se entrega con retraso y con los que normalmente nunca pasa nada. Pero normalmente los cruceros tampoco naufragan.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 30, 2011

Política de privacidad en las Web

Archivado en: Comercio Electrónico, Emprender, Informática — Etiquetas: , , — legisconsulting @ 11:34

Es necesario delimitar en cada Web, cual es la Política de Privacidad que será de aplicación a usuarios y visitantes de la misma. Y ello aparte de la evidente necesidad de cumplir las disposiciones relativas a Protección de Datos –que ya es–.

Con este fin, el texto incluido en la Web bajo el título de Política de Privacidad, contendrá una serie de elementos que vendrán condicionados por las características y objeto de la misma. De esta forma su contenido dependerá del objeto, las circunstancias o particularidades del servicio que se presta e incluso de las especificaciones técnicas de la misma.

Obviamente no es lo mismo una Web estática que una red social, pero en cualquier caso hay elementos a tener en cuenta.

Cumplimiento de la Ley

En todo caso es conveniente la declaración expresa por parte del prestador del servicio (el titular de la Web) la manifestación de voluntad de cumplimiento de la normativa aplicable.

Esta normativa puede referirse (y mencionarse en el texto), tanto al correcto uso y tratamiento de los datos que se vayan a obtener (LOPD), como a otras normas aplicables a la actividad de que se trate tal como –por ejemplo las de comercio electrónico (LSSI-CE) – a cualquier otra normativa específica que en función del contenido de la Web pueda ser de aplicación .

Aceptación de la Política

Como evidentemente resulta imposible obtener de cada usuario que visite la Web un contrato firmado ante notario en que acepta los términos y condiciones establecidos, lo normal es vincular tal aceptación con la mera  navegación por la página. Y para ello el texto con las condiciones deberá situarse ya en la home.

Es esta la única forma de obtener el fin buscado de obtener una aceptación personalizada e individualizada de cada visitante de la Web. Aunque sea esta una aceptación tácita prestada a través de la mera navegación.

Otros elementos

1.- Registro

Si además se requiriera el registro del usuario para alguna de las funcionalidades de la página se deberá hacer constar en tal caso elementos, entre otros, como

  • la razón de la necesidad de dicho registro,
  • la necesaria condicionalidad de la aceptación para el acceso a dichos servicios,
  • la finalidad que se va a dar a los datos obtenidos,
  • la manifestación de que se han tomado todas las medidas para la protección de dichos datos,
  • el responsable del fichero, los datos legalmente exigidos para hacer posible el ejercicio de los derechos de los usuarios de la web.

Y si bien la referencia a tales datos sí se debe incluir en el texto referido a la Política de Privacidad, el contenido concreto y específico con todos los elementos detallados debería serle proporcionado a cada usuario de forma individualizada al momento del registro haciendo condicionar el registro a la aceptación expresa de las condiciones expuestas en tal momento.

2.- Cookies

En el caso de utilización de cookies, se debería hacer constar su finalidad, así como hacer saber al usuario la facultad y posibilidad que tiene de bloquear dichas cookies a través de su navegador (no todo el mundo tiene tales conocimientos).

Asimismo, y caso de que sean terceros proveedores de servicios de la Web los que pudieran incluir cookies:

  • el titular de la Web debería dejar constancia al usuario de tal posibilidad y de su falta de control tanto de las cookies introducidas por dichos terceros como de la información a través de ellas obtenida ni de la utilización que se haga.
  • Y si ello fuera posible, debería proporcionar al usuario las direcciones donde consultar la política de privacidad de tales terceros (sirva como mero ejemplo por lo extendido las referencias a la Política de Privacidad de Adsense o Analytics)

3.- Información directa prestada a/por terceros

Los usuarios de la Web, registrados o no, puede darse el caso de que intercambien o aporten por sí información a través de la Web. Una información que puede no encajar dentro de los supuestos establecidos para la Privacidad.

Es esta una circunstancia que debería ser contemplada por la Política de Privacidad atendiendo en cada caso a la forma y situación concreta en que tal situación se produzca

Los trajes, a medida

No todos los elementos mencionados en este post ‘encajan’ en todos los casos. Y sin duda existen supuestos no contemplados. Es por ello que es fácilmente deducible que el texto que trate cada Política de Privacidad en cada Web debería estar diseñado expresamente, o al menos adaptados, para ella.

Así que los textos, también mejor a medida

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »