abril 21, 2023

Protección de datos empresariales: ChatGPT

¿Qué se puede hacer para proteger los datos empresariales en el mundo de la IA?

Tras la publicación del hilo sobre la seguridad de los datos empresariales y mi breve conclusión sobre qué acciones se podrían tomar para proteger esos datos empresariales ante la explosión de la IA, se me ha ocurrido plantear a ChatGPT la misma cuestión.

Juzguen ustedes:

Artículo de Legisconsulting

Datos empresariales (V): Protección (y aprendizaje)

ChatGPT

Pregunta:

Escríbeme un artículo sobre cómo podría una empresa proteger sus datos empresariales ante la recopilación de datos por parte de una inteligencia artificial de los datos publicados por la empresa, datos publicados por los empleados y relaciones de los empleados entre sí o con terceros en redes sociales. Datos que combinados pueden mostrar a terceros y a la competencia las estrategias de la empresa y posible futuras acciones de la misma. Y con ello complicar su viabilidad. ¿Qué pautas debería implementar la empresa para protegerse?

Respuesta:

La recopilación de datos por parte de la inteligencia artificial es una práctica cada vez más extendida en el mundo empresarial. A través de esta técnica, se pueden recopilar y analizar grandes cantidades de información de diferentes fuentes para obtener conocimientos valiosos que pueden ayudar a las empresas a tomar mejores decisiones comerciales. Sin embargo, también puede ser una amenaza para la privacidad y la seguridad de los datos empresariales.

Cuando se recopilan datos empresariales, se pueden obtener información sobre las estrategias, planes, futuras acciones y otras informaciones confidenciales de la empresa. Estos datos pueden ser combinados con información sobre empleados y relaciones en las redes sociales para mostrar a terceros y a la competencia las estrategias de la empresa y sus posibles futuras acciones, lo que puede complicar su viabilidad.

Por lo tanto, es importante que las empresas tomen medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. A continuación, se presentan algunas pautas que las empresas pueden implementar para protegerse:

  1. Política de privacidad y seguridad de datos: La empresa debe tener una política clara de privacidad y seguridad de datos que establezca las normas para el tratamiento de datos empresariales y personales. Esta política debe ser comunicada a los empleados y a cualquier tercero que tenga acceso a los datos de la empresa.
  2. Control de acceso: La empresa debe implementar medidas para limitar el acceso a los datos empresariales a aquellos empleados que necesitan tener acceso a ellos para realizar sus funciones. Además, se deben establecer medidas de seguridad para controlar el acceso a los datos empresariales desde fuera de la empresa.
  3. Encriptación de datos: La encriptación de los datos empresariales es una medida efectiva para protegerlos contra el acceso no autorizado. Los datos encriptados son inútiles para aquellos que no tienen la clave de descifrado.
  4. Monitorización del tráfico de red: La empresa debe supervisar el tráfico de red para detectar cualquier actividad sospechosa, como la transferencia de grandes cantidades de datos fuera de la red de la empresa.
  5. Sensibilización y formación de empleados: La empresa debe sensibilizar y formar a sus empleados sobre los riesgos asociados a la recopilación de datos y la importancia de proteger los datos empresariales. Los empleados deben ser conscientes de que la información que publican en las redes sociales o en otros lugares en línea puede ser utilizada para recopilar datos sobre la empresa.
  6. Actualización de software y hardware: La empresa debe mantener actualizados sus sistemas de hardware y software para protegerse contra las amenazas de seguridad más recientes.

En conclusión, las empresas deben tomar medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. La implementación de medidas de seguridad adecuadas, junto con la sensibilización y formación de los empleados, puede ayudar a reducir los riesgos y proteger los datos empresariales de la empresa.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Datos empresariales (V): Protección (y aprendizaje)

El objetivo de este hilo es ser consciente de la información valiosa de la empresa y como protegerla. Especialmente ahora y en un futuro en que el desarrollo de la Inteligencia Artificial lucha (en este caso) en contra nuestra.

Somos los buenos defendiendo el fuerte. Y aunque no tenemos garantía alguna de victoria porque “Dios ayuda a los malos cuando son más que los buenos”, seremos Blas de Lezo en la defensa de la Cartagena de Indias que es nuestra empresa. Y de acuerdo con Sun Tzu, la mejor estrategia es la más simple y la mejor enfocada, ya que las estrategias demasiado complejas pueden confundir a los miembros del propio ejército comprometiendo sus posibilidades de victoria.

Ya todos estamos acostumbrados a la gestión de datos personales según la LOPDGDD, pero, ¿y si extrapolamos los mecanismos que ya usamos con fluidez a la protección de datos empresariales?. Existen pautas y mecanismos para protegerlos.

Así, de una forma muy general, podríamos establecer los siguientes pasos/pautas:

1.- Análisis previo.-

−  Categorización de los Datos

−  Estudio de los contratos con terceros (Google, Amazon, Fb… )

−  Limitación en contratos con proveedores y clientes

−  Designar un responsable de tratamiento de Datos Empresariales

2.- Control pasivo de los Datos.-

2.1.- Obviamente la ciberseguridad. El uso de medios de prevención de jaqueos, intrusiones o filtraciones que pueden generar daños:

−  Siniestros en la red

−  Brechas de seguridad y privacidad

−  Suplantaciones

−  Ciber extorsión

−  Daños reputacionales,

2.2.- Pero también filtraciones indirectas (Fb, Linkedin -de empresa y de sobre todo de empleados-, Whatsapp y/o Telegram (grupos de empresa y empleados).

2.3.- O incluso filtraciones directas ‘involuntarias’: las redes, contactos y/o mensajes de los propietarios, directivos o empleados pueden revelar una increíble cantidad de datos que, como hemos dicho, de forma aislada no significan nada pero que en su conjunto, cruzados, estudiados y evaluados, pueden revelar informaciones valiosísimas.

3.- Control de datos liberados.-

Suena a película de espías y algo hay de ello, pero liberar datos ‘controlados’ puede suponer una interesante arma empresarial.

4.- Protección activa.-

−  Planteamiento desde el diseño, tanto del conjunto y filosofía de la empresa como de cada una de las acciones a adoptar en cualquier ámbito dentro de la misma.

−  Planificación y diseño de las acciones a tomar con la perspectiva de protección de datos empresariales.

−  Establecimiento de mecanismos y protocolos.

−  Análisis de Riesgos.

− Inclusión de los empleados, clientes y proveedores en el plan (cláusulas de confidencialidad, seguimiento de contactos, educación a empleados para prevención de posibles filtraciones en redes, control de los medios de la empresa, etc). Y a modo de nota, recordemos que controlar el teléfono y el ordenador de la empresa, aunque sea de uso privado de un empleado, es legal.

Además, ese análisis de los datos de nuestra propia empresa (nuestra ‘ramita’ de nuestro árbol), también ayudarán a conocer el funcionamiento de las ‘ramitas’ de alrededor. Y aunque normalmente nunca podremos ver el bosque completo, reconocer el árbol en que está nuestra ‘ramita’, su estructura, su ‘orientación’ y su movimiento con el viento nos podría proporcionar una ventaja competitiva.

Y en el plano operativo, tal recopilación de datos llevará sin duda a conocer sin demasiado esfuerzo los proveedores, los clientes (tipo o incluso individualizados), las estrategias, los proyectos, los objetivos, el rango de tarifas/precios, el sector de mercado, las vulnerabilidades, etc. Es decir, hacia donde sopla el aire (o tendencias del mercado, dicho de otra forma).

En conclusión, debemos controlar sobremanera los datos liberados de la empresa, porque al contrario del caso de los Datos Personales, esa recopilación de los datos empresariales con el fin de obtener un beneficio económico −en su mayor parte− ES LEGAL.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 16, 2022

Datos empresariales (IV): datos expuestos

Aunque no sea consciente, hay una gran cantidad de datos de la empresa que son públicos.

Datos Online

La recopilación de Datos Personales dispersos en Internet es algo que se lleva haciendo años. Hay empresas en países con legislación de protección de datos más laxas que mantienen bases de datos masivas de individuos perfectamente individualizados e identificados con fines políticos, comerciales, médicos (los datos más valiosos del mercado), etc. Probablemente usted como lector y yo como redactor estamos en alguna (o muchas) de esas bases de datos.

Si de una persona se pueden reunir datos para confeccionar un expediente detallado a través de sus contactos en Linkedin, las fotos de sus vacaciones publicadas en Facebook o el reloj que le cuenta las pulsaciones y le marca el track cuando sale a correr, imagínese lo que se podría averiguar con los datos en Internet de cualquier empresa.

Seguir la redes sociales de la empresa aporta una visión muy limitada, pero si a eso se suman las redes sociales de sus empleados, las de sus proveedores o clientes. Sus contactos, relaciones, mensajes y/o publicaciones, la imagen se convierte en algo más claro y desvela de forma indirecta datos de la empresa que nunca sospecharíamos.

Servicios para la Empresa

¿Qué empresa no tiene un servidor externo y servicio de Backup donde guarda toda su documentación?. En principio son servidores seguros pero, ¿han leído detenidamente el contrato de servicio?.

Es posible que los datos no se vendan a terceros (tal vez), pero ¿están seguros de que Amazon, Google o quien sea no va a utilizar esos datos en beneficio propio de otra forma?.  Ya hemos visto en casos como Facebook o Google usan los datos personales que les confiamos (aparentemente datos sin valor) para su propio beneficio convirtiéndolos en la base de su negocio. Pero, ¿qué nos hace suponer que no lo harán con datos empresariales que son potencialmente mucho más valiosos?.

Y es posible que los datos de una sola empresa puedan parecer poco valiosos. Pero los datos de muchas empresas (metadatos) sí lo son. Cada dato forma parte de un árbol de ramas infinitas que sólo tiene sentido en su conjunto. Y que visto en su conjunto proporciona otras informaciones aparentemente inconexas (metadatos otra vez) muy valiosas.

El Internet de las cosas: hacia una empresa conectada

El Internet de las cosas es un concepto nacido en 1999 en el MIT que se refiere a la interconexión digital de objetos cotidianos a través de Internet.

Para negocios de todo tipo: de la ganadería a la industria, los servicios o la consultoría,   supone una oportunidad de rebajar costes, de hacer más eficiente el trabajo, de generar nuevos productos o servicios con la potencialidad de todo ello de incrementar ingresos. Pero estar conectado supone el riesgo de la conexión. El riesgo de los servidores utilizados y el riesgo de los datos que se exponen: datos que variarán en función de los dispositivos, maquinaria o hasta las cabezas de ganado a que se apliquen.  Porque todo son datos.

Aún sin entrar en aplicaciones de IA (Inteligencia Artificial) que sería ya más complejo y con otras implicaciones legales y posibilidades, podemos afirmar:

  • por un lado, que el simple rastreo de todos los datos de la empresa en Internet y el cruce de los mismos dibuja una radiografía exacta de la empresa: desde la situación financiera actual a proyectos, futuro, viabilidad, etc.
  • Y por otro, que como se ha visto en esta serie anteriormente, no existen garantías reales del uso que el prestador del servicio que contratamos (o usamos) vaya a hacer de la información obtenida.

La información, per se, tiene un valor económico directo. Pero la información supone además control del mercado y, sobre todo, la información supone poder.

¿Y podemos proteger de forma absoluta la información de la empresa?. La respuesta es que no de forma absoluta. Pero, como se verá en la próxima entrega de este hilo, sí podemos aislar nuestra pequeña ‘ramita’ por nuestra seguridad… Y hasta aprender a observar tras el análisis de nuestra ‘ramita’ las ‘ramitas’ de alrededor.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 14, 2022

Datos empresariales (III): vulnerabilidad de los Datos

Todo negocio maneja datos sensibles que marcan la viabilidad del mismo.

Podemos estar hablando de empresas de proyectos innovadores que, aunque no lo parezcan, son públicos a poco que crucemos suficientes datos y a suficientes personas.

Pero también podemos estar hablando de empresas o negocios que tiene una ventaja competitiva simplemente por haber encontrado un proveedor mejor o haber implementado mecanismos internos más eficientes. Esos datos que no parecen tan ‘espectaculares’, si se liberan -y lo harán si alguien se toma el suficiente interés porque son igual de ‘públicos’- acabarán con esa ventaja competitiva haciéndola accesible al local de al lado.

Piense qué datos concretos de su empresa supondrían un problema caso de ser conocidos por su competencia, por sus clientes o por terceros. Por si no se le ocurren muchos, a continuación enumero una lista que no pretende ser en modo alguno cerrada: 

  • Know-how.
  • Datos de clientes.
  • Datos de proveedores.
  • Datos de productos.
  • Datos de empleados (piense en el desarrollador del nuevo proyecto con su perfil en Linkedin y sus contactos).
  • Contabilidad.
  • Facturación.
  • Tarifas.
  • etc.

Pero pensará al mismo tiempo que esos datos no son públicos. El problema es que, como se mostrará en este ‘hilo’, si alguien se toma el suficiente interés y lo sabe cómo hacerlo, sí pueden serlo.

¿De verdad quiere público para esos datos?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 7, 2022

Datos empresariales II: Vulnerabilidad (legal) de los datos empresariales

De forma previa a las sus consecuencias, riesgos y posibilidades, veremos el distinto nivel de protección que la ley da a un tipo de datos frente a otros.

El Derecho ‘absoluto’ de los datos personales

A pesar de que ya sabemos que ningún Derecho tiene carácter ‘absoluto’, en el campo de los Datos Personales, como Derecho Fundamental que es, la formulación se acerca bastante a ese grado ‘absoluto’ (si obviamos el cajón de sastre del “Interés Legítimo”, por supuesto).

Sin entrar el elevadísimo grado de protección que tienen, no podemos sino empezar por ver qué son los datos personales:

Artículo 4 RGPD. Definiciones. A efectos del presente Reglamento se entenderá por: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho ‘condicional’ de los datos empresariales

En el caso de los Datos Empresariales, por supuesto tenemos toda la protección legal de la propiedad industrial e intelectual, pero llena de lagunas en una normativa muy dispersa y en buena parte no adecuada a la realidad actual.

De forma específica y general sólo existe la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Que brinda una protección limitada (no todos los datos) y condicionada (y no en todos los casos):

Qué son “Secretos empresariales”:

Artículo 1. Objeto. 1. El objeto de la presente ley es la protección de los secretos empresariales.

A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y cuándo se produce una ‘violación’

Artículo 3. Violación de secretos empresariales.

1. La obtención de secretos empresariales sin consentimiento de su titular se considera ilícita cuando se lleve a cabo mediante:

a) El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir; y

b) Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.

Y además, los datos empresariales obtenidos legalmente se pueden almacenar, tratar y utilizar prácticamente sin límite.  Como se ve, los datos empresariales con legalmente más vulnerables que los datos personales.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

septiembre 30, 2022

Datos empresariales I-introducción: Comercio de Datos Personales vs Empresariales

Empiezo aquí este ‘hilo’ de posts para mostrar como los datos empresariales son vulnerables, su valor en el mercado las posibles acciones para protegerlos.

LOPD vs Ley de Secretos Empresariales.

Google, Facebook, Amazon, etc, venden y/o usan sus datos personales, ¿Qué le hace suponer que los datos empresariales mucho más valiosos no son utilizados o no están a la venta?

Particulares y empresas usamos utilísimos servicios de internet para comunicarnos, para almacenar datos, para comunicar con terceros, para relacionarnos o conectar con terceros; para nuestras actividades personales y para nuestras actividades profesionales.

El comercio de los Datos personales.

Es extensamente sabido por un lado que los Datos Personales son un enorme mercado con un inmenso valor que va mucho más allá de la publicidad dirigida en nuestros móviles, sino que tienen un mercado donde se compran y se venden desde datos de contraseñas, de tarjetas de crédito o datos médicos –por los que más se paga en el mercado- que van desde esos datos que ‘regalamos’ con nuestras búsquedas en Internet; con nuestros relojes; con esas divertidas apps del teléfono que te cuentan los pasos, cuándo y por donde los das; o hasta de expedientes médicos completos. Datos que ‘liberamos’ las 24 horas del día (¿duerme con su smartwatch o su pulsera de correr?, pues una empresa conoce las pautas de todo lo que hace en la cama) y que tienen un valor económico.

Con esos datos se elaboran exhaustivos ‘dosieres’ individualizados aunque erróneamente pensemos que en ese inmenso océano que es Internet somos solo una gota indistinguible de las demás de cada persona obtenidos con robots o con invitaciones masiva en redes sociales a través de las cuales acceden a datos que compartimos solo con nuestros contactos. Y que se venden a empresas o instituciones en función de los perfiles específicos que demanden los compradores.

El comercio de los datos empresariales.

Menos conocido, aunque igual de preocupante, el mercado de esos Datos Empresariales o Profesionales que liberamos a través de esos medios de internet oponemos en manos de terceros de forma consciente o inconsciente. 

Más allá del evidente uso de datos concretos de cada empresa, algunos de los cuales pueden ser el mismísimo corazón del negocio, Metadatos, tendencias del mercado, anticipación e incluso manipulación del mismo lo hacen un ‘mercado’ para quien lo quiera aprovechar aún más interesante y lucrativo que el de los datos personales.

Desde ‘backup’ colgado en ‘la nube’ aparentemente tan inocente y que nos hace sentir tan seguros. Los datos colgados en páginas Web, en redes sociales, los contactos de sus empleados, clientes y proveedores; Los comentarios, imágenes o mensajes de estos en redes sociales.

Todos esos datos se cruzan o son susceptibles de ser cruzados para obtener un beneficio potencialmente mucho mayor que le ya grandísimo de los Datos Personales, porque en este caso el beneficio potencial es mucho mayor que vender una camisa, un implante coronario o un coche.

Y se preguntará: ¿es todo eso legal? En su mayor parte -particularmente los datos personales-, no, pero existe recomiendo leer para quien no esté familiarizado ‘La privacidad es poder’ de Carissa Veliz )..

La normativa se preocupa en extremo del primero de ellos, los Datos Personales: categorizados como Derechos Fundamentales regula lo que pueden hacer con nuestros datos, del valor que tienen en el mercado y del coste que tiene su cesión para nosotros

Pero no ocurre lo mismo y la regulación no es la misma en el caso de los Datos Empresariales. ¿Cuál es la protección de la parte ‘empresarial’ de potencial y directamente de mucho mayor valor?. ¿Protegemos adecuadamente los secretos de nuestras empresas?

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 23, 2021

Aportar valor o destruirlo, una historia personal.

Una historia real de cómo un abogado puede aportar soluciones o como puede destruir el negocio de su cliente.

Querido lector, discúlpeme por contar una historia real estrictamente personal, como no podría ser de otra manera, ya que si fuera profesional no podría hacerla pública.

Por razones que no vienen al caso me he visto envuelto en unas obras de cierta envergadura a realizar en una Comunidad de Propietarios para las que, como es habitual, he contactado con varias empresas con el fin de solicitar presupuestos.  Y de los presupuestos recibidos, me he fijado en uno, en primer lugar por el detalle y desglose de los conceptos y en segundo lugar porque era conocedor que esta empresa ya había realizado trabajos para la Comunidad de Propietarios.

Esos detalles contenidos en el presupuesto me permitían acercarme a los costes reales, así que, a pesar de estar haciendo todo esto a nivel personal y por consiguiente de forma gratuita, no puedo evitar dedicar cierto tiempo a hacer un estudio del coste de mercado de los medios auxiliares necesarios, así como de los materiales. Obviamente de forma aproximada porque no soy un profesional de la construcción.

Del estudio de los presupuestos y de los cálculos descubro —además de que los márgenes son francamente elevados—, que hay un elevado sobrecoste sobre el precio de mercado especialmente en los medios auxiliares necesarios para realizar el trabajo. Así que, dado el positivo historial previo de trabajos de la empresa en la comunidad, me pongo en contacto con ellos a fin de que me den explicaciones e intentar reducir el importe.

Para ello,en busca del mejor acuerdo y para que sea todo lo más calro posible, envío un correo a la empresa señalando concretamente:

  1. Que el tipo aplicable al IVA según los trabajos a realizar es del 10% en lugar del 21%.
  2. Que el coste de los medios auxiliares sobre el precio de mercado es muy elevado.
  3. Que tal como está planteado el presupuesto, se está cargando a la Comunidad en concepto de IVA el 21% la factura de terceros por los medios auxiliares que, al ser incluida íntegra, hay que sumar un 10% del total aplicable a la factura (21%+10%). Y que a pesar de ser esto estrictamente legal, sugiero que hay otras formas de plantearlo para evitar ese sobrecoste.
  4. Incluso, a fin de mostrar los beneficios, incluso fiscales,  para la empresa remito detalle del resultado final del IVA a final del trimestre en que se deducirán más de lo que tendrán que ingresar, con lo que les sale un resultado positivo que, incluso insistiendo en que se trata de algo estrictamente legal, ello da margen para rebajar el presupuesto sin afectar a sus márgenes.  

Nada más recibir el correo me llama por teléfono el responsable de la empresa y de forma muy educada me justifica verbalmente el sobrecoste en ‘los riesgos’ que asume, sobre todo en la contratación de los medios auxiliares. A lo que propongo: 1.-) que sea la comunidad quien asuma esos ‘riesgos’ dado que ello es perfectamente posible planteando parte de los medios lo como «suplidos» en lugar de cómo «gastos»; 2.-) que a la vista del resultado fiscal del IVA, tendría también margen para rebajar el importe final; y 3.-) que si a su asesor, como profesional que es, se le ocurre alguna otra opción para rebajar la factura sin tocar los márgenes de la empresa, que estaría encantado de estudiarla.

Pero como soy consciente de que son conceptos que no tiene porqué conocer un trabajador le sugiero que lo consulte con su asesor y que directamente le reenvíe mi correo.

Hoy he recibido una escueta respuesta de su asesor a todo lo planteado—del que por respeto a un colega omitiré los datos—que copio textualmente porque entiendo que sobran los comentarios:

Si el material que yo pago es al 21% y repercuto al 10%,  evidentemente puede que me salga menos IVA a pagar o incluso que me devuelvan a la hora de hacer el trimestre, PERO ESO NO ES ASUNTO SUYO, es el propio funcionamiento del IVA y si sale a devolver o a pagar menos es porque antes se lo he pagado yo a mis proveedores. En definitiva, si hay desfase o no ( con Ud dice en su correo), es un asunto que a Ud. no le incumbe.

La función del abogado es aportar soluciones

Se puede decir cualquier cosa y se debe decir de forma distinta si se trata de un trabajador, un empresario o un abogado con 25 años de ejercicio. Pero siempre y en todo caso, se debe hacer de forma respetuosa y educada, sea lo que sea lo que se diga y a quien uno se dirija.

Cada cliente es distinto y único.

Los intereses de mi cliente son siempre los míos, aún cuando, como en mi caso en este proceso, ni siquiera cobre por ello al ser un tema personal y excepcional.

Sobre todo y por encima de todo, nuestra función debe ser aportar siempre Valor Añadido para el cliente en nuestras actuaciones de asesoría. Soluciones que a mí, como a la mayoría de los colegas que conozco, me hacen sentir especialmente satisfecho cuando me exigen un plus de esfuerzo y creatividad.

Pero siempre, siempre, siempre en beneficio del cliente. Si él pierde, como es el caso de esta empresa, yo pierdo.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

enero 25, 2018

Cobrar online y tarjetas de crédito

Si tiene un negocio y vende o presta servicios por internet que cobra Online, no guarde los números de tarjetas de crédito de sus clientes, aunque sea para mejorar la experiencia de usuario.

El máximo objetivo de un emprendedor en Internet es ‘cobrar

Y la primera preocupación es ‘como cobrar’

Cobrar

Para ‘cobrar‘ contratamos un TPV virtual o servicio asimilado que nos proporciona una Entidad de Servicios de Pago o un banco (PAYPAL lo es) que preste servicios de pago y actúa como prestador de este tipo de servicios.

Por ley, sólo las Entidades de Crédito (bancos), las Entidades de Dinero Electrónico y las Entidades de Servicios de Pago pueden prestar estos servicios. Y en particular sobre estas últimas, sólo las Entidades de Pago que constan en el listado que publica el Banco de España. Hay otras muchas a las que se puede acceder a través de Internet, algunas de la Unión Europea, pero exclusivamente las que figuran en el listado periódicamente actualizado pueden operar en España con todas las garantías.

Art. 3.9 Ley de Servicios de Pago. «Proveedor de servicios de pago»: los organismos públicos, entidades y empresas autorizadas para prestar servicios de pago en España o en cualquier otro Estado miembro de la Unión Europea…;

Usabilidad… ilegalmente

En el comercio electrónico es algo que ya prácticamente no se hace, pero era común hace no tanto tiempo -en su mayor parte sin mala intención y para facilitar la experiencia de usuario- que los sitios web conservaran los datos de las tarjetas de su clientes. Es algo prohibido por Ley y que puede acarrear graves consecuencias.

La Ley de Servicios de Pago autoriza a estas entidades a realizar «actividades de custodia y almacenamiento y tratamiento de datos» (Art 9.1.a) al tiempo que establece un régimen sancionador calificándolas como infracciones «graves» para quien realice las actividades que le son propias sin contar con autorización. Remitiendo el régimen sancionador a la Ley que regulas las sanciones que se le impondrían a un banco.

Art. 4.4 Ley de Servicios de Pago: «Las personas físicas o jurídicas que infrinjan lo dispuesto en este artículo, serán sancionadas con arreglo a lo dispuesto en el artículo 29 de la Ley 26/1988, de 29 de julio, sobre disciplina e intervención de las entidades de crédito sin perjuicio de las demás responsabilidades que puedan resultar exigibles.»

La citada Ley de disciplina e intervención de entidades de crédito ha sido ya derogada, pero ello no implica que haya desaparecido el régimen sancionador. Ha sido sustituida por la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito que establece una sanción de,

a) De entre el doble y el triple del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan cuantificarse; o

b) De entre el 3% y el 5% del volumen de negocios neto anual total, incluidos los ingresos brutos procedentes de intereses a percibir e ingresos asimilados, los rendimientos de acciones y otros valores de renta fija o variable y las comisiones o corretajes a cobrar que haya realizado la entidad en el ejercicio anterior; o multa de entre 2.000.000 y 5.000.000 de euros, si aquel porcentaje fuera inferior a esta cifra.

Experiencia de usuario… legalmente

Es bien sabido que en el Comercio Electrónico la experiencia de usuario lo es todo, o casi. Cuando hacemos una compra por Internet , al momento del pago nos piden los datos de la tarjeta, de PAYPAL  del medio de pago que mejor nos convenga como usuarios. Y en la misma página de la tienda introducimos esos datos para realizar el pago. Pero eso es falso.

Aunque lo parezca, los datos de la tarjeta no se los estamos dando a la tienda ―o no deberíamos―, sino a una entidad de pago que es quien recibirá esos datos, los tratará y los gestionará para realizar el pago.

Pero además hay tiendas que mejoran la experiencia de usuario y nos permiten realizar la compra sin necesidad de volver a introducir los datos de la tarjeta (pagos recurrentes, se llama desde el punto de vista de los servicios de pago). En este caso la tienda tampoco se ha quedado con los datos de la tarjeta, sino que se ha quedado simplemente con los datos del usuario que ha concedido una autorización a la Entidad de Pago para realizar esos pagos recurrentes a través de un mecanismo que se llama Tokenización y que permite a los comercios electrónicos mejorar la experiencia de usuario sin infringir la ley y con total seguridad para el usuario.

La tokenización es algo que no ofrecen todas las plataformas de pago, pero es una solución útil y legal para el emprendedor informado y eficiente.

Emprender el internet es un proceso complejo en el que intervienen numerosos y muy diversos elementos legales. Si va a emprender, contáctenos y le apoyaremos en el proceso aportándole la seguridad que necesita.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 23, 2015

Bloqueo de cuenta de Paypal

A finales de este mes todas las entidades de crédito bloquearán las cuentas de los clientes que no estén plenamente identificados, pero Paypal (y todas las Entidades de Pago) lo llevan haciendo desde siempre.

Cuando nos damos de alta en uno de estos Servicios de Pago, no nos están pidiendo una identificación, sino que tal exigencia sólo se da cuando se dan algunas circunstancias concretas con posterioridad. Hasta entonces la Entidad de Pago (en adelante Paypal) se apoya en la identificación del usuario que hizo en su día el banco que abrió la Cuenta o la Tarjeta vinculada.

¿Cuándo bloquearán la cuenta?

Cuando superemos una cierta cantidad.

Ante cualquier tipo de acción que la entidad considere ‘sospechosa’ y que van desde movimientos inusuales de fondos hasta acceso a la cuenta desde distintos lugares o IPs.

No hay un listado cerrada de acciones que lleven a ese bloqueo de la cuenta, sino que queda casi al arbitrio de cada Entidad y a las directrices que le haya comunicado de la Autoridad para la Prevención del Blanqueo que corresponda según la nacionalidad. En el caso de Paypal, la de Luxemburgo.

¿Por qué bloquean la cuenta?

La Directiva Europea sobre blanqueo de capitales obliga a estas entidades a vigilar las actividades de sus clientes y a asegurarse que estas no son de blanqueo de capitales o financiación del terrorismo. Y el incumplimiento de tales obligaciones legales de vigilancia conlleva las correspondientes sanciones.

Por ello Paypal, dentro de su actividad ‘preventiva‘ del blanqueo,  bloquea la cuenta hasta el momento en que el usuario le demuestre que no desarrolla actividades ilícitas con la cuenta.

¿Qué nos va a pedir?

Al momento de bloqueo de la cuenta Paypal remite al usuario un Email en que le solicitará una serie de datos y documentación para desbloquear la cuenta.

El listado de documentos solicitado variará en función de las circunstancias, e incluso recibido por Paypal un primer bloque de información, es posible que solicite aclaraciones posteriores o documentación adicional, manteniéndose todo este tiempo el bloqueo de la cuenta.

¿Quién nos lo pide?

La información que solicita la Entidad de Pago (Paypal) no la está solicitando Hacienda ni ninguna otra entidad pública, que lo harían directamente, sino que lo hace la propia Paypal dentro de su deber de vigilancia de sus clientes a que hacíamos mención anteriormente.

¿Con qué finalidad se pide?

Se suele pensar que esas solicitudes de información se hacen simplemente con fines de control fiscal, pero eso no es así.

Las entidades de pago como Paypal tiene la obligación de:

  • identificación del usuario real que está detrás de las operaciones;
  • de hacer un seguimiento de la actividad personal o profesional de tal usuario;
  • de adoptar todas las ‘medidas de conocimiento de los clientes‘ que entienda necesarias
  • y tiene la obligación de seguimiento continuado de los clientes y actualización de datos de los mismos.

Y ello para la prevención de delitos y no para buscar infracciones fiscales.

¿A quién se van a entregar esos datos?

Esos datos buscan entender y conocer al usuario dentro del deber de vigilancia que mencionábamos que tiene Paypal. Por ello, si Paypal entiende que no existe indicio de delitos desbloqueará la cuenta sin más.

Si entiende que hay indicios de delito, la Directiva 2005/60/CE obligó a la creación de un organismo independiente en cada país dedicada exclusivamente a la prevención del blanqueo de capitales (SEPBLAC en el caso de España) a quien la Entidad de Pago entregará la documentación y los informes de que disponga para que sea esta quien adopte las medidas que procedan con posterioridad.

En el caso concreto de Paypal, el organismo  (UIF lo llama la Directiva) al que enviará la información en su caso será el UIP de Luxemburgo por ser una Entidad de Crédito con sede en este país. Y ello porque la información se remite a «la UIF del Estado miembro en cuyo territorio se encuentre situada la entidad o persona que facilite dicha información»

Qué hacer ante el bloqueo

La respuesta corta sería proporcionar cuantos documentos y explicaciones requiera Paypal (o cualquier otra Entidad de Pago), pero esto puede tener su dificultad.

EL control de Paypal busca entender y conocer perfectamente al usuario y su actividad para asegurarse de que no está cometiendo ningún delito. Y es desde esta perspectiva desde la que debe ser construido el escrito que se remitirá a Paypal para que desbloquee la cuenta. Y si no se hace correctamente, se corre el riesgo de una investigación penal. Por supuesto con la cuenta y los fondos bloqueados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar «porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el «Aviso legal«: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas «Condiciones de Servicio«:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ‘supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la «Política de Privacidad«: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las «Cookies»: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un «Documento de Seguridad» exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »