Octubre 14, 2015

Revolución legal en el “Cloud”

Archivado en: Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:47

El Tribunal de la UE ha dinamitado la figura del “Puerto Seguro” en Protección de Datos y revoluciona el Cloud: la AGPD podrá entrar a valorar si los datos transferidos fuera de la UE-desde Facebook a Dropbox o empresas de cloud- cumplen la normativa nacional… ¡Y no la cumplen!

Se empieza con una declaración contundente: “El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos” (sentencia en el asunto C-362/14)

Y sigue con el fondo del asunto: “ las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales”

¿Qué significa?

En primero lugar, que se le pasan a exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea.

Hasta esta resolución se permitía que la Comisión Europea publicara un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable a la LOPD. Entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los “principios de Puerto Seguro”. Para la transmisión al resto de países o entidades hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa del director de la AGPD.

Tras esta resolución, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD. Y ello es aplicable a Facebook -involucrada en la sentencia-, pero también a servicios de uso común como Dropbox o cualquier otro servicio cloud.

¿Es automático?

La normativa nacional obliga a solicitar autorización previa para la transferencia de datos fuera de la UE, pero entiendo que los datos ya transferidos lo fueron bajo el paraguas de una decisión de la Comisión Europea y bajo las directrices de la AGPD, por lo tanto la transferencia se hizo de forma legal.

El problema surge por un lado de que cualquier nueva transferencia de datos a EEUU requerirá del largo proceso y de la autorización previa para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de “puerto Seguro” para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

O dicho de otro modo, las autoridades Europeas podrán analizar a partir de ahora el tratamiento de los datos depositados en “puertos seguros”.

Entonces los servidores fuera cumplirán la norma

Pero,  ¿pasarán las empresas norteamericanas el filtro de las distintas agencias de protección de datos de Europa?

El Parlamento Europeo ha publicado un Informe comparativo de protección de Datos EEUU- UE que hace un estudio detallado del nivel del marco de uno y otro lado del océano y a la vista de los resultados parece difícil que un marco como el norteamericano pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales análogo al que se hace en Europa.

El informe es largo y detallado, pero incluye un interesante y clarificador resumen que  se transcribe al final de este post.

Consecuencias

Para el usuario de Internet: evidentemente mayor grado de protección.

Para quien maneje datos: la necesidad de una auditoría urgente del tratamiento de hace de esos datos.

(más…)

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Septiembre 17, 2015

Cuando declarar las ‘cuentas’ de PAYPAL

Archivado en: Comercio Electrónico, Emprender, Medios de pago — Etiquetas: , , — legisconsulting @ 11:51

El Real Decreto 1558/2012 estableció en su día la obligación de declarar cuentas y derechos en el extranjero superiores a 50.000€, pero surge la duda de cuándo se supera tal límite.

Como ya se ha manifestado anteriormente en este Blog, Paypal presta un Servicio de Pago en los términos de la Ley aunque sea ya una Entidad de Crédito. Y, las ‘cuentas‘ utilizadas para prestar este servicio no son equiparables a las Cuentas en Entidades de Crédito (bancos) porque así lo fija una ley de forma expresa. Es decir, que lo que tenemos en PAYPAL no es una ‘cuenta‘ en términos legales.

Si fueran consideradas como Cuentas en Entidades de Crédito, habría obligación de declararlas ante Hacienda cuando el saldo de las mismas supere los 50.000€ a 31 de diciembre o cuando el saldo medio del último trimestre supere esa misma cantidad aunque el saldo a 31 de diciembre sea inferior:

«Artículo 42 bis Obligación de informar acerca de cuentas en entidades financieras situadas en el extranjero

4. La obligación de información prevista en este artículo no resultará de aplicación respecto de las siguientes cuentas:

e) No existirá obligación de informar sobre ninguna cuenta cuando los saldos a 31 de diciembre a los que se refiere el apartado 2.d) no superen, conjuntamente, los 50.000 euros, y la misma circunstancia concurra en relación con los saldos medios a que se refiere el mismo apartado. En caso de superarse cualquiera de dichos límites conjuntos deberá informarse sobre todas las cuentas.

Pero aunque lo que tenemos en PAYPAL no es una ‘cuenta‘, ello no excluye la obligación de declararlas a hacienda que entiendo que puede deducirse del cajón de sastre que es otro apartado de la norma:

«Artículo 42 ter Obligación de información sobre valores, derechos, seguros y rentas depositados, gestionados u obtenidas en el extranjero

3. Los obligados tributarios a que se refiere el apartado primero de este artículo deberán suministrar a la Administración tributaria información mediante una declaración anual sobre:

b) Las rentas temporales o vitalicias de las que sean beneficiarios a 31 de diciembre, como consecuencia de la entrega de un capital en dinero, de derechos de contenido económico o de bienes muebles o inmuebles, a entidades situadas en el extranjero, con indicación de su valor de capitalización a dicha fecha.

Pero para esta obligación de declarar también se establece un límite de 50.000€ por debajo de la cual no hay obligación de hacerlo:

4. La obligación de información prevista en este artículo no resultará exigible en los siguientes supuestos:

c) Cuando los valores a los que se refieren cada uno de los apartados 1.b), 1.c) y 1.d), el valor liquidativo a que se refiere el apartado 2, el valor de rescate a que se refiere el apartado 3.a) y el valor de capitalización señalado en el apartado 3.b), no superen, conjuntamente, el importe de 50.000 euros. En caso de superarse dicho límite conjunto deberá informarse sobre todos los títulos, activos, valores, derechos, seguros o rentas.

Por ello entiendo que sólo habría obligación de declarar las ‘cuentas‘ de Paypal cuando el ‘saldo‘ -aunque sería más oportuno denominarlo derechos o rentas –  a 31 de diciembre supera los 50.000€.

Aunque siempre es posible que Hacienda venga a hacer una interpretación que entiendo como muy forzada de la norma. Esta interpretación sería que al ser PAYPAL es una Entidad de Crédito -aunque actúa como Entidad de Servicios de Pago-  y tener un funcionamiento su ‘cuenta‘ en cierta medida análoga a lo que sería una Cuenta en términos legales, serían de aplicación las normas aplicables a la mismas y no a los Derechos o Rentas que decía. Pero insisto, me parecería una interpretación, aunque posible, demasiado forzada.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 23, 2015

Bloqueo de cuenta de Paypal

Archivado en: Comercio Electrónico, Medios de pago, Organización de Empresa — Etiquetas: , , , — legisconsulting @ 11:18

A finales de este mes todas las entidades de crédito bloquearán las cuentas de los clientes que no estén plenamente identificados, pero Paypal (y todas las Entidades de Pago) lo llevan haciendo desde siempre.

Cuando nos damos de alta en uno de estos Servicios de Pago, no nos están pidiendo una identificación, sino que tal exigencia sólo se da cuando se dan algunas circunstancias concretas con posterioridad. Hasta entonces la Entidad de Pago (en adelante Paypal) se apoya en la identificación del usuario que hizo en su día el banco que abrió la Cuenta o la Tarjeta vinculada.

¿Cuándo bloquearán la cuenta?

Cuando superemos una cierta cantidad.

Ante cualquier tipo de acción que la entidad considere ’sospechosa’ y que van desde movimientos inusuales de fondos hasta acceso a la cuenta desde distintos lugares o IPs.

No hay un listado cerrada de acciones que lleven a ese bloqueo de la cuenta, sino que queda casi al arbitrio de cada Entidad y a las directrices que le haya comunicado de la Autoridad para la Prevención del Blanqueo que corresponda según la nacionalidad. En el caso de Paypal, la de Luxemburgo.

¿Por qué bloquean la cuenta?

La Directiva Europea sobre blanqueo de capitales obliga a estas entidades a vigilar las actividades de sus clientes y a asegurarse que estas no son de blanqueo de capitales o financiación del terrorismo. Y el incumplimiento de tales obligaciones legales de vigilancia conlleva las correspondientes sanciones.

Por ello Paypal, dentro de su actividad ‘preventiva‘ del blanqueo,  bloquea la cuenta hasta el momento en que el usuario le demuestre que no desarrolla actividades ilícitas con la cuenta.

¿Qué nos va a pedir?

Al momento de bloqueo de la cuenta Paypal remite al usuario un Email en que le solicitará una serie de datos y documentación para desbloquear la cuenta.

El listado de documentos solicitado variará en función de las circunstancias, e incluso recibido por Paypal un primer bloque de información, es posible que solicite aclaraciones posteriores o documentación adicional, manteniéndose todo este tiempo el bloqueo de la cuenta.

¿Quién nos lo pide?

La información que solicita la Entidad de Pago (Paypal) no la está solicitando Hacienda ni ninguna otra entidad pública, que lo harían directamente, sino que lo hace la propia Paypal dentro de su deber de vigilancia de sus clientes a que hacíamos mención anteriormente.

¿Con qué finalidad se pide?

Se suele pensar que esas solicitudes de información se hacen simplemente con fines de control fiscal, pero eso no es así.

Las entidades de pago como Paypal tiene la obligación de:

  • identificación del usuario real que está detrás de las operaciones;
  • de hacer un seguimiento de la actividad personal o profesional de tal usuario;
  • de adoptar todas las ‘medidas de conocimiento de los clientes‘ que entienda necesarias
  • y tiene la obligación de seguimiento continuado de los clientes y actualización de datos de los mismos.

Y ello para la prevención de delitos y no para buscar infracciones fiscales.

¿A quién se van a entregar esos datos?

Esos datos buscan entender y conocer al usuario dentro del deber de vigilancia que mencionábamos que tiene Paypal. Por ello, si Paypal entiende que no existe indicio de delitos desbloqueará la cuenta sin más.

Si entiende que hay indicios de delito, la Directiva 2005/60/CE obligó a la creación de un organismo independiente en cada país dedicada exclusivamente a la prevención del blanqueo de capitales (SEPBLAC en el caso de España) a quien la Entidad de Pago entregará la documentación y los informes de que disponga para que sea esta quien adopte las medidas que procedan con posterioridad.

En el caso concreto de Paypal, el organismo  (UIF lo llama la Directiva) al que enviará la información en su caso será el UIP de Luxemburgo por ser una Entidad de Crédito con sede en este país. Y ello porque la información se remite a “la UIF del Estado miembro en cuyo territorio se encuentre situada la entidad o persona que facilite dicha información

Qué hacer ante el bloqueo

La respuesta corta sería proporcionar cuantos documentos y explicaciones requiera Paypal (o cualquier otra Entidad de Pago), pero esto puede tener su dificultad.

EL control de Paypal busca entender y conocer perfectamente al usuario y su actividad para asegurarse de que no está cometiendo ningún delito. Y es desde esta perspectiva desde la que debe ser construido el escrito que se remitirá a Paypal para que desbloquee la cuenta. Y si no se hace correctamente, se corre el riesgo de una investigación penal. Por supuesto con la cuenta y los fondos bloqueados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar “porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el “Aviso legal“: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas “Condiciones de Servicio:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ’supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la “Política de Privacidad: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las “Cookies”: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un “Documento de Seguridad” exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Julio 30, 2014

Enlázame que es gratis: o como no se pagará la tasa Google

¿Se puede saltar la tasa Google esa que pagará todo el mundo salvo Google?

¿Y se puede enlazar a sitios Web como este que no es ni El Mundo ni El País?

¿Y si no quiero que me paguen por la tasa porque prefiero que me enlacen?

La norma trata de cobrar a cualquiera que enlace a diarios o páginas Web. Con las particularidades de que: 1.-) el derecho a la percepción de esas cantidades es irrenunciable por el enlazado que prefiera aumentar su tráfico a través de esta vía; y 2.-) que serán las Entidades de Gestión las encargadas de recaudar y exigir tales cantidades (AEDE en este caso)

¿Tengo que pagar por Enlazar?

Para que vengamos obligados al pago por enlazar habrá que cumplir las siguientes características:
1. Enlazar Desde:

Es requisito que quien enlace sea un “prestador de servicios“. Y son ‘servicios‘ los prestados a título oneroso o dentro o relacionados con una prestación económica.

Es decir, que si quien enlaza lo hace en twitter o facebook a título personal y sin ningún interés profesional o económico, entiendo que no tendría que pagar. Y por desgracia, enlazar desde un Blog como este, entiendo que sí.

2. Enlazar Hacia

a.-) Que se trate de una “agregación de contenidos de fragmentos no significativos de contenidos

Me gustaría dar una explicación clara a este texto, pero como a cualquiera a mí también me cuesta descifrar tan clara redacción. Pero entiendo que es necesario para venir obligado al pago copiar algo del contenido enlazado además del Link.

b.-) Que el Link sea sitios Web “de actualización periódica y que tengan una finalidad informativa, de creación de opinión pública o de entretenimiento

Esto quiere decir Links a diarios, revistas y webs informativas o de entretenimiento. Y aunque habrá que estar a la interpretación que en su día hagan los tribunales de lo que son esas finalidades, desde mi punto de vista, enlazar a un blog como este no sería objeto de pago al tener una función de promoción de un servicio y no de información o entretenimiento.

¡Pero quiero que me enlacen!… y es irrenunciable

Pongamos por ejemplo que tiene una Web dedicada a información sobre la reproducción de la trucha pirenaica de montaña común y su tráfico viene fundamentalmente de publicaciones especializadas en pesca y de productores de cebos.

Si le enlazaran usuarios normales ya hemos visto que no habría problema porque no les sería impuesta tasa alguna, pero la tasa Google les costará la Web… O no.

Como decíamos, la tasa “será irrenunciable y se hará efectivo a través de las entidades de gestión de los derechos de propiedad intelectual“. Pero hay vida.

En este caso, la Sociedad encargada de exigir el pago lo hará como le legitima la ley, en todos los casos en que se dan las circunstancias antes enumeradas, pero lo cierto es que sólo pueden recaudar para sus socios porque su función es recaudar para repartir y no recaudar para enriquecerse.

Hay un principio general del derecho que es el “Enriquecimiento sin Causa”. Se trata de una figura creada por los tribunales en la que está prohibido el enriquecimiento de una parte y el ‘empobrecimiento de otra sin una causa que lo justifique.

En el caso de no ser la Web de las truchas que decíamos socio de la Sociedad de gestión -aún cuando el derecho es irrenunciable por ley- no procederá  exigir el abono de la tasa a quien enlace al no poder la Sociedad de Gestión repartirlo a nadie y producirse un enriquecimiento ‘ilegítimo’ de la misma.

Es este un caso que ya sufrió la SGAE en tribunales y que es perfectamente posible que vuelva a pasar cuando la tasa Google finalmente se publique en el BOE.

El derecho a cobrar es irrenunciable, pero no tanto. Bastaría en principio con no asociarse a la Sociedad de Gestión

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 9, 2014

Formas rápidas e indoloras de suicidarse

Hay muchas formas de ‘suicidar‘ un negocio, pero una lenta y dolorosa es ofrecer o contratar servicios sin cumplir todas las normas o garantías legales.

Un negocio trabajado

La semana pasada recibí una solicitud de contacto en Linkedin que resultó ser alguien que sólo un día después me envió un correo ‘presentando’ sus servicios. Lo que se llama en términos legales publicidad.

Se presentaban los servicios a través de una Web muy buena, con servicios ofertados claros y las tarifas increíbles. Sin duda, de los suyo sabían lo que hacían y habían hecho un grandísimo trabajo y una importante inversión. Pero no sabían de leyes:

· El art. 10 de la LSSI no es toda la LSSI o sobrarían 44 artículos y varias disposiciones adicionales.

· Las exigencias de Protección de Datos no se limitan a registrarse ante la AGPD (estaría muy bien).

· Decían que habían conseguido los ‘certificados de seguridad‘ exigidos para su actividad,

· pero no decían cual era su actividad, porque evidentemente la que parecían ofertar no era tal.

· Y no era tal porque tras una rápida búsqueda en Internet para saber si tenían la preceptiva autorización resultó negativa.

Hasta aquí una bonita lista de infracciones y sanciones derivada de una bonita lista de leyes distintas.

Pero es que aún cumpliendo la LSSI, la LOPD y con los certificados de seguridad, hay cosas que no puedo hacer; no puedo ofrecer un servicio de correo sin licencia; no puedo ofrecer servicios de pago si no soy una entidad de pago o un agente de una de ellas; no puedo ejercer de médico o abogado sin el título correspondiente; ni puedo ser carnicero sin el de manipulador de alimentos.

¿Actividad Ilegal?.. y sanciones por error

Pues no necesariamente. Y este es el caso que inspira este Post.

En Internet es bien sabido que es fácil el no soy pero lo parezco“. Un proxy a una entidad con todos los permisos es legal y hasta habitual: presento a la apariencia de ser y prestar sin ser ni prestar. Pero no decir quién presta realmente el servicio y en qué condiciones sí es ilegal y también es motivo de jugosa sanción para quien lo presta y genera una enorme inseguridad en quien lo contrata.

Varias leyes prohíben esta falta de transparencia y establecen múltiples y graves sanciones (acumulativas) que serán impuestas por muy diversas autoridades. Algunas legítimas como las del apartado anterior, pero incluso algunas sanciones por error. Imagine por ejemplo que la autoridad reguladora piensa que -tal como parece en la Web- ofrecemos unos servicios que no ofrecemos (la falta de trasparencia que decíamos antes)sin licencia, pues es probable que directamente envíe una sanción y la orden automática de suspender actividades antes incluso de preguntar.

El riesgo del usuario

Quien está contratando este servicio en concreto no sabe realmente quien se lo va a prestar, ni en qué condiciones, ni con qué garantías. Pero tampoco sabe quién va a acceder a sus datos -en muchos casos como el de las Entidades de Pago, muy sensibles- ni quién los va tratar, ni dónde, ni con qué fin, ni en qué forma.

Es legal y no acarrea en principio responsabilidad para el usuario contratar con este tipo de servicio, pero supone un enorme riesgo para él la renuncia a las garantías legales que de hecho supone. Las leyes están hechas con mayor o menor fortuna, pero la intención de todas las exigencias, registros y autorizaciones es siempre la misma: la seguridad del usuario.

De safari por la jungla

En este caso, como en muchos otros, además de las normas generales de actividades por Internet hay que cumplir

· las normas y autorizaciones específicas de la actividad en Internet;

· otras normas generales no específicas de Internet;

· además de normas ‘generales

· y normas específicas de la actividad con su especialidad para negocios online.

Una maraña normativa que afecta a cualquier negocio y que se incrementa más incluso si el negocio es Online o se contrata Online.

Internarse en esta jungla sin guía (legal) es como ir a cazar leones con tirachinas. Tanto para quien ofrece como para quien contrata servicios observar la ley y asegurarse de que se observa es esencial. No todo lo que contratamos es lo que parece ni todos los peligros de la jungla son leones o hipopótamos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 22, 2014

Que pasarela de pago es la más ‘fiable’

Archivado en: Comercio Electrónico, Emprender, Medios de pago — Etiquetas: , — legisconsulting @ 12:09

Yo uso Paypal, ¿pero hay otras pasarelas de pago?; ¿me puedes sugerir alguna fiable?”

Es una pregunta repetida hasta la saciedad que tiene una fácil respuesta: en principio todas son fiables con condiciones. Pero respondamos antes a algunas preguntas ‘derivadas’

¿Qué es una pasarela de pago?

Una pasarela de pago no es más que el instrumento que usa una determinada Entidad para prestar esos servicios que de pago (o de cobro sería más exacto desde el punto de vista del ‘Ecommerciante’).

Esos servicios sólo pueden ser prestados por entidades debidamente registradas y autorizadas.  Y los tipos de entidades autorizados a prestar servicios de pago son

  • Entidades de Crédito: los bancos de toda la vida.
  • Entidades de Dinero Electrónico: el Paypal de la pasarela de pagos es de hecho, una de estas.
  • Entidades de Pago: Entidades que han sido específicamente creadas para prestar este tipo de servicios.

¿Puedo usar una pasarela extranjera?

Siguiendo con el ejemplo de la archiconocida Paypal, esta es una entidad extranjera sin establecimiento permanente en España. Pero ello no quiere decir que todas las extranjeras puedan ser usadas en la misma forma y tengan las mismas garantías.

Para usar una pasarela de pago operada por una entidad de pago localizada en el extranjero, esta debe estar sometida a unos controles que no tiene que estar necesariamente asumidos por el Banco de España, pero sí que es este el que nos dice que tales controles y garantías existen.

Es decir, que la entidad de pago puede estar supervisada por banco central de una país con análogos controles a los ejercidos por el Banco de España.

¿Como puedo saber si es ‘de fiar’?

Hay básicamente dos formas en que una Entidad está legitimada para prestar estos servicios en España:

  • Solicitar una autorización al Tesoro y,  cumpliendo todas las exigencias, quedar  bajo el control y la supervisión en cuanto a la operativa y garantías del Banco de España.
  • Siendo una entidad de la UE, someterse a las exigencias y controles en su país de origen y simplemente esperar a la notificación que su Banco Central haga al Banco de España (caso Paypal, radicada en Luxemburgo).

De esta forma, podemos entrar en la Web de la pasarela que nos interese y ver todo lo que nos cuenta de sus maravillosos y novedosísimos servicios, pero sólo tendrá garantías si aparece en  el listado de Entidades del banco de España (pdf actualizado).

De las que parecen en ese listado, todas están sujetas a los mismos o análogos controles y garantías en función de su país de residencia. Así, siguiendo con el ejemplo,  Paypal está sujeta a la supervisión del banco central de Luxemburgo.

¿Y si está en la lista, cual es la que más me conviene?

Para eso siempre digo que es imposible dar una respuesta única. La elección dependerá de las necesidades de pago (o cobro) del negocio al que se vaya a aplicar, ya que no todas las pasarelas  de pago ofrecen los mismos servicios ni las mismas funcionalidades. Y navegar por ellas  requiere tiempo y esfuerzo para encontrar la que mejor se adapte a nuestras necesidades al mejor precio, ya que no todos suponen el mismo coste.

Sirva como ejemplo de las múltiples posibilidades -además de útil instrumento para la elección de una plataforma- la Web Cobraronline.es. Una Web que entiendo que aporta interesantes claves para la elección de pasarela aún cuando no a incluya la totalidad de los prestadores de estos servicios -aunque sí a la mayoría y a los más destacados-  y de la que recomiendo atenta lectura aunque no aporte nada -o precisamente por ello- a la parte jurídica objeto de este Blog,.

En resumen”¿qué hacer?

Busca una pasarela de pago que se ajuste a las necesidades exactas del negocio, que sea barata y que, sobre todo, aparezca en la lista del banco de España.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 13, 2013

Modelo de documento de información al consumidor sobre el desistimiento

Archivado en: Actualidad, Comercio Electrónico — Etiquetas: , , — legisconsulting @ 10:48

Hoy, 13 de diciembre de 2013, vence el plazo para la trasposición de la Directiva que establece para el consumidor del eCommerce la posibilidad de desistimiento en 14 días y establece un formulario que le debe ser enviado en cada compra.

Ya se han tratado en un post anterior en este Blog las importantes modificaciones que este nueva normativa implicará para el Comercio electrónico. Y aunque es cierto que la Ley está aún en el Congreso, la Directiva cumple el plazo fijado para su trasposición hoy y por tanto su texto es imperativo desde hoy mismo.

Es cierto que no hay muchos usuarios del E-Commerce que conozcan que hoy es el día, pero sí que puede haber alguno en toda Europa que sí lo conozca y que no se conforme con las formas de devolución utilizadas hasta hoy y quiera exigir su derecho al desistimiento más allá de los 7 días que fija la ley nacional… y tiene derecho a ello.

Según la Directiva citada, cada producto enviado a un consumidor debe incluir un formulario para que este pueda ejercer su derecho de desistimiento sin causa alguna en un plazo de 14 días naturales. Y por ello, a continuación se reproduce el Modelo de documento de información al consumidor sobre el desistimiento” .

Formulario Desistimiento

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 15, 2013

Hacienda, ¿objetivo tarjeta Paypal?

Archivado en: Comercio Electrónico, Emprender, Informática, Medios de pago — Etiquetas: , , — legisconsulting @ 12:30

Tweet Hacienta tarjetas 1

Podría entenderse por el anuncio de Hacienda publicado en un diario nacional (y por el tweet reproducido) que la tarjeta de Paypal podría ser el nuevo objetivo de Hacienda para recaudar. Pero en mi opinión –aunque puedo estar equivocado– no es así.

Como bien sabe quien tenía interés en gastar el dinero acumulado en Paypal, con su tarjeta prepago nació un estupendo mecanismo para comprar en el Mercadona de debajo de casa bajo la errónea creencia de que al no haber pasado el dinero por el banco, Hacienda nunca podría tener conocimiento de sus existencia.

¿Puede saberlo Hacienda?

Pues la respuesta corta es que sí.

Como ya se ha mencionado diversas veces en este Blog, tanto en posts como en los comentarios a los mismos (aquí y aquí), Hacienda puede acceder a los movimientos de Paypal dentro de un procedimiento de investigación abierto al sujeto pasivo (el contribuyente) por una razón concreta.

Un procedimiento de solicitud de información con los mismos requisitos y que tendría el mismo resultado que pedir los movimientos de una cuenta en una Caja Rural. Con la única diferencia de que Paypal es una entidad con sede en Luxemburgo y tardaría algo más, pero la información llegaría igual porque para eso existe la Unión Europea.

¿Anuncia Hacienda una ofensiva a estas cuentas?

Aún cuando los designios de Hacienda son inescrutables, mi opinión es que no es eso lo que se está anunciando.

En primer lugar se vincula el anuncio a la normativa que obligaba a declarar cuentas en el extranjero, y no a operaciones con entidades de servicios de pago.

En segundo lugar se refiere el anuncio a ‘tarjetas de cuentas en el extranjero’. Y aunque efectivamente Luxemburgo es el extranjero desde 1714, lo que sus usuarios tienen en Paypal no es una ‘cuenta’ desde el punto de vista de la ley española. Y hacienda conoce la ley.

Y en tercer lugar, si Hacienda hubiera querido ir contra ese tipo de ‘cuentas’ habría hablado de una ofensiva contra las actividades a través de Entidades de Pago o Entidades de Dinero Electrónico que presten Servicios de Pago. Que es lo que es Paypal.

¿Objetivo Servicios de Pago?

La ‘cuentas’ de Paypal se usan por los usuarios de forma ‘inapropiada’ de acuerdo con la ley española por cuento esta señala que tales ‘cuentas’  no son tales, sino meras ‘cuentas de pago’ (merchant accounts) cuya única función es servir de puente en los pagos hacia una cuenta convencional y en las cuales el dinero sólo puede permanecer el tiempo estrictamente necesario para tal trasferencia de fondos. Nunca actuar como una cuenta convencional como se está haciendo.

Hacienda estoy convencido de que lo sabe y puede anunciar en cualquier momento una ofensiva sobre usuarios de servicios como Paypal.

También estoy convencido de que el mero anuncio generaría una avalancha de regularización de operaciones que a día de hoy se realizan exclusivamente a través de este medio al margen de obligaciones tanto con Hacienda como con la Seguridad Social.

Pero por el contrario, también pienso que la imposibilidad legar que tiene hacienda de pedirle a Paypal un listado general de todos sus clientes con todos sus movimientos dificulta enormemente una persecución efectiva general por parte de hacienda de este tipo de operaciones en su conjunto, aunque no individualizadamente ante casos concretos.

En resumen, creo que no es ese el anuncio… aunque como decía, los caminos de Hacienda son inescrutables y el tener una Web que admite Paypal ya puede dar pie a Hacienda para pedir más explicaciones. Y ante la duda, lo más seguro y barato es ‘regularizar’ y actuar siempre dentro de la legalidad.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 3, 2013

¿Cumplir la Ley de Cookies y no morir en el intento?

Pretende este poste aclarar, dentro de lo posible, las opciones para el uso ‘legal’ de Cookies en las web y el porqué de la inseguridad legal que las rodea y genera tantas opiniones y soluciones creativas en torno a las mismas.

Aún  a riesgo de ser un poco simplista, el punto de partida es saber de qué va la ley para saber cuando debe preocuparnos y cuando no.

1.- Un Ladrillo

La idea de este Post me surge al leer que alguien decía que la Ley de Cookies  es un ‘ladrillo’ . Un ‘ladrillo’ que es sólo el punto 2 del Art. 22 de la Ley 24/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico . Casi más corto el texto que el título si pensamos que TODA la ‘ley’ de cookies tiene 3 párrafos y 180 palabras:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Un ladrillo que obviamente no lo es en la extensión, pero sí en el contenido que vamos a tratar desentrañar párrafo por párrafo para mostrar las dudas que aún debe resolver la AEPD para saber cuando cumplimos y cuando no.

2.- Si no uso Cookies, pues cumplo la ley de Cookies

La ley no menciona en ningún momento las Cookies, sino ‘dispositivos de almacenamiento o recuperación de datos’, con lo que si usamos cualquier dispositivo  que cumpla con esa descripción general entraremos dentro del marco de exigencias de la ley por imaginativa o creativa que sea la solución de turno.

3.- ¿Qué pinta en esto la AEPD?

Aparte de la evidente mención que se hace a la LOPD,  puesto que con esos dispositivos se accede a Datos de Carácter Personal, será de aplicación la LOPD y todas sus consecuencias.

Así, son Datos Personales “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Es decir, prácticamente todo, desde la IP del usuario a su historial de navegación, son datos personales.

4.- Requisitos para usar Cookies

Dice la ley que podemos usar las estrictamente necesarias para que aparezca algo en la pantalla. Y para las demás,

  • cuando se cuente con el consentimiento previo del usuario
  • tras haberle informado previamente de las cookies que se le van a instaler
  • y de la finalidad de las mismas

Pero el problema viene de si es posible un consentimiento tácito mediante la mera navegación; o si es necesaria la aceptación expresa; o si es imprescindible hacerle al usuario un test de idoneidad (como con las preferentes de los bancos); o darle el correspondiente cursillo personalizado de desactivación de Cookies en función de las Webs que visite y del navegador que utilice antes de instalar cualquier Cookie.

5.- Cuando se pueden usar Cookies legalmente

La AEPD tiene abierto un expediente sancionador por denuncia de un usuario a una Web que le instaló Cookies antes de que este hubiera prestado su consentimiento previo y expreso a las mismas. Y ello aún cuando la Web denunciada contaba con un aviso sobre su política de Cookies con toda la información.

A día de hoy el expediente no está resuelto y no sabemos si a la Web le será impuesta una sanción o no, pero al margen de lo que suceda en el caso concreto –que espero a título personal que la AEPD exonere completamente a la Web–, es de esperar que la AEPD nos de unas directrices más exactas sobre como actuar en este campo. Hasta entonces, podemos tener teorías diversas de cuando y como usar Cookies legalmente. Pero sólo serán eso, teorías.

6.- Entonces: ¿que hacemos con las Cookies?

Opción 1.- Renunciar a ellas

Opción 2.- Se puede colocar como pantalla previa a la entrada a la web exclusivamente el texto de la política de cookies y el preceptivo consentimiento previo sobre un fondo blanco de tal forma que si no se aceptan las cookies no se pueda acceder.

Opción 3.- O bien, y ante la imposibilidad de saber exactamente como hacerlo legalmente (punto 5), y caso de usar en nuestra Web cualquier tipo de dispositivo (punto 2), deberemos cumplir las exigencias legales para la instalación de cookies (punto 4) y seguir en todo caso las recomendaciones de la AEPD para el uso de cookies.

Como decía, a día de hoy no sabemos si así esteremos cumpliendo la ley, pero cumplir las recomendaciones y tener un texto de información y aceptación de la Política de Cookies acorde con las mismas, al menos probará la buena fe y la intención de cumplir la Ley. Algo que al menos está bien visto (y ayuda) ante la AEPD

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

« Entradas más recientesEntradas más antiguas »