abril 21, 2023

Protección de datos empresariales: ChatGPT

¿Qué se puede hacer para proteger los datos empresariales en el mundo de la IA?

Tras la publicación del hilo sobre la seguridad de los datos empresariales y mi breve conclusión sobre qué acciones se podrían tomar para proteger esos datos empresariales ante la explosión de la IA, se me ha ocurrido plantear a ChatGPT la misma cuestión.

Juzguen ustedes:

Artículo de Legisconsulting

Datos empresariales (V): Protección (y aprendizaje)

ChatGPT

Pregunta:

Escríbeme un artículo sobre cómo podría una empresa proteger sus datos empresariales ante la recopilación de datos por parte de una inteligencia artificial de los datos publicados por la empresa, datos publicados por los empleados y relaciones de los empleados entre sí o con terceros en redes sociales. Datos que combinados pueden mostrar a terceros y a la competencia las estrategias de la empresa y posible futuras acciones de la misma. Y con ello complicar su viabilidad. ¿Qué pautas debería implementar la empresa para protegerse?

Respuesta:

La recopilación de datos por parte de la inteligencia artificial es una práctica cada vez más extendida en el mundo empresarial. A través de esta técnica, se pueden recopilar y analizar grandes cantidades de información de diferentes fuentes para obtener conocimientos valiosos que pueden ayudar a las empresas a tomar mejores decisiones comerciales. Sin embargo, también puede ser una amenaza para la privacidad y la seguridad de los datos empresariales.

Cuando se recopilan datos empresariales, se pueden obtener información sobre las estrategias, planes, futuras acciones y otras informaciones confidenciales de la empresa. Estos datos pueden ser combinados con información sobre empleados y relaciones en las redes sociales para mostrar a terceros y a la competencia las estrategias de la empresa y sus posibles futuras acciones, lo que puede complicar su viabilidad.

Por lo tanto, es importante que las empresas tomen medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. A continuación, se presentan algunas pautas que las empresas pueden implementar para protegerse:

  1. Política de privacidad y seguridad de datos: La empresa debe tener una política clara de privacidad y seguridad de datos que establezca las normas para el tratamiento de datos empresariales y personales. Esta política debe ser comunicada a los empleados y a cualquier tercero que tenga acceso a los datos de la empresa.
  2. Control de acceso: La empresa debe implementar medidas para limitar el acceso a los datos empresariales a aquellos empleados que necesitan tener acceso a ellos para realizar sus funciones. Además, se deben establecer medidas de seguridad para controlar el acceso a los datos empresariales desde fuera de la empresa.
  3. Encriptación de datos: La encriptación de los datos empresariales es una medida efectiva para protegerlos contra el acceso no autorizado. Los datos encriptados son inútiles para aquellos que no tienen la clave de descifrado.
  4. Monitorización del tráfico de red: La empresa debe supervisar el tráfico de red para detectar cualquier actividad sospechosa, como la transferencia de grandes cantidades de datos fuera de la red de la empresa.
  5. Sensibilización y formación de empleados: La empresa debe sensibilizar y formar a sus empleados sobre los riesgos asociados a la recopilación de datos y la importancia de proteger los datos empresariales. Los empleados deben ser conscientes de que la información que publican en las redes sociales o en otros lugares en línea puede ser utilizada para recopilar datos sobre la empresa.
  6. Actualización de software y hardware: La empresa debe mantener actualizados sus sistemas de hardware y software para protegerse contra las amenazas de seguridad más recientes.

En conclusión, las empresas deben tomar medidas para proteger sus datos empresariales ante la recopilación de datos por parte de la inteligencia artificial. La implementación de medidas de seguridad adecuadas, junto con la sensibilización y formación de los empleados, puede ayudar a reducir los riesgos y proteger los datos empresariales de la empresa.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Datos empresariales (V): Protección (y aprendizaje)

El objetivo de este hilo es ser consciente de la información valiosa de la empresa y como protegerla. Especialmente ahora y en un futuro en que el desarrollo de la Inteligencia Artificial lucha (en este caso) en contra nuestra.

Somos los buenos defendiendo el fuerte. Y aunque no tenemos garantía alguna de victoria porque “Dios ayuda a los malos cuando son más que los buenos”, seremos Blas de Lezo en la defensa de la Cartagena de Indias que es nuestra empresa. Y de acuerdo con Sun Tzu, la mejor estrategia es la más simple y la mejor enfocada, ya que las estrategias demasiado complejas pueden confundir a los miembros del propio ejército comprometiendo sus posibilidades de victoria.

Ya todos estamos acostumbrados a la gestión de datos personales según la LOPDGDD, pero, ¿y si extrapolamos los mecanismos que ya usamos con fluidez a la protección de datos empresariales?. Existen pautas y mecanismos para protegerlos.

Así, de una forma muy general, podríamos establecer los siguientes pasos/pautas:

1.- Análisis previo.-

−  Categorización de los Datos

−  Estudio de los contratos con terceros (Google, Amazon, Fb… )

−  Limitación en contratos con proveedores y clientes

−  Designar un responsable de tratamiento de Datos Empresariales

2.- Control pasivo de los Datos.-

2.1.- Obviamente la ciberseguridad. El uso de medios de prevención de jaqueos, intrusiones o filtraciones que pueden generar daños:

−  Siniestros en la red

−  Brechas de seguridad y privacidad

−  Suplantaciones

−  Ciber extorsión

−  Daños reputacionales,

2.2.- Pero también filtraciones indirectas (Fb, Linkedin -de empresa y de sobre todo de empleados-, Whatsapp y/o Telegram (grupos de empresa y empleados).

2.3.- O incluso filtraciones directas ‘involuntarias’: las redes, contactos y/o mensajes de los propietarios, directivos o empleados pueden revelar una increíble cantidad de datos que, como hemos dicho, de forma aislada no significan nada pero que en su conjunto, cruzados, estudiados y evaluados, pueden revelar informaciones valiosísimas.

3.- Control de datos liberados.-

Suena a película de espías y algo hay de ello, pero liberar datos ‘controlados’ puede suponer una interesante arma empresarial.

4.- Protección activa.-

−  Planteamiento desde el diseño, tanto del conjunto y filosofía de la empresa como de cada una de las acciones a adoptar en cualquier ámbito dentro de la misma.

−  Planificación y diseño de las acciones a tomar con la perspectiva de protección de datos empresariales.

−  Establecimiento de mecanismos y protocolos.

−  Análisis de Riesgos.

− Inclusión de los empleados, clientes y proveedores en el plan (cláusulas de confidencialidad, seguimiento de contactos, educación a empleados para prevención de posibles filtraciones en redes, control de los medios de la empresa, etc). Y a modo de nota, recordemos que controlar el teléfono y el ordenador de la empresa, aunque sea de uso privado de un empleado, es legal.

Además, ese análisis de los datos de nuestra propia empresa (nuestra ‘ramita’ de nuestro árbol), también ayudarán a conocer el funcionamiento de las ‘ramitas’ de alrededor. Y aunque normalmente nunca podremos ver el bosque completo, reconocer el árbol en que está nuestra ‘ramita’, su estructura, su ‘orientación’ y su movimiento con el viento nos podría proporcionar una ventaja competitiva.

Y en el plano operativo, tal recopilación de datos llevará sin duda a conocer sin demasiado esfuerzo los proveedores, los clientes (tipo o incluso individualizados), las estrategias, los proyectos, los objetivos, el rango de tarifas/precios, el sector de mercado, las vulnerabilidades, etc. Es decir, hacia donde sopla el aire (o tendencias del mercado, dicho de otra forma).

En conclusión, debemos controlar sobremanera los datos liberados de la empresa, porque al contrario del caso de los Datos Personales, esa recopilación de los datos empresariales con el fin de obtener un beneficio económico −en su mayor parte− ES LEGAL.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 16, 2022

Datos empresariales (IV): datos expuestos

Aunque no sea consciente, hay una gran cantidad de datos de la empresa que son públicos.

Datos Online

La recopilación de Datos Personales dispersos en Internet es algo que se lleva haciendo años. Hay empresas en países con legislación de protección de datos más laxas que mantienen bases de datos masivas de individuos perfectamente individualizados e identificados con fines políticos, comerciales, médicos (los datos más valiosos del mercado), etc. Probablemente usted como lector y yo como redactor estamos en alguna (o muchas) de esas bases de datos.

Si de una persona se pueden reunir datos para confeccionar un expediente detallado a través de sus contactos en Linkedin, las fotos de sus vacaciones publicadas en Facebook o el reloj que le cuenta las pulsaciones y le marca el track cuando sale a correr, imagínese lo que se podría averiguar con los datos en Internet de cualquier empresa.

Seguir la redes sociales de la empresa aporta una visión muy limitada, pero si a eso se suman las redes sociales de sus empleados, las de sus proveedores o clientes. Sus contactos, relaciones, mensajes y/o publicaciones, la imagen se convierte en algo más claro y desvela de forma indirecta datos de la empresa que nunca sospecharíamos.

Servicios para la Empresa

¿Qué empresa no tiene un servidor externo y servicio de Backup donde guarda toda su documentación?. En principio son servidores seguros pero, ¿han leído detenidamente el contrato de servicio?.

Es posible que los datos no se vendan a terceros (tal vez), pero ¿están seguros de que Amazon, Google o quien sea no va a utilizar esos datos en beneficio propio de otra forma?.  Ya hemos visto en casos como Facebook o Google usan los datos personales que les confiamos (aparentemente datos sin valor) para su propio beneficio convirtiéndolos en la base de su negocio. Pero, ¿qué nos hace suponer que no lo harán con datos empresariales que son potencialmente mucho más valiosos?.

Y es posible que los datos de una sola empresa puedan parecer poco valiosos. Pero los datos de muchas empresas (metadatos) sí lo son. Cada dato forma parte de un árbol de ramas infinitas que sólo tiene sentido en su conjunto. Y que visto en su conjunto proporciona otras informaciones aparentemente inconexas (metadatos otra vez) muy valiosas.

El Internet de las cosas: hacia una empresa conectada

El Internet de las cosas es un concepto nacido en 1999 en el MIT que se refiere a la interconexión digital de objetos cotidianos a través de Internet.

Para negocios de todo tipo: de la ganadería a la industria, los servicios o la consultoría,   supone una oportunidad de rebajar costes, de hacer más eficiente el trabajo, de generar nuevos productos o servicios con la potencialidad de todo ello de incrementar ingresos. Pero estar conectado supone el riesgo de la conexión. El riesgo de los servidores utilizados y el riesgo de los datos que se exponen: datos que variarán en función de los dispositivos, maquinaria o hasta las cabezas de ganado a que se apliquen.  Porque todo son datos.

Aún sin entrar en aplicaciones de IA (Inteligencia Artificial) que sería ya más complejo y con otras implicaciones legales y posibilidades, podemos afirmar:

  • por un lado, que el simple rastreo de todos los datos de la empresa en Internet y el cruce de los mismos dibuja una radiografía exacta de la empresa: desde la situación financiera actual a proyectos, futuro, viabilidad, etc.
  • Y por otro, que como se ha visto en esta serie anteriormente, no existen garantías reales del uso que el prestador del servicio que contratamos (o usamos) vaya a hacer de la información obtenida.

La información, per se, tiene un valor económico directo. Pero la información supone además control del mercado y, sobre todo, la información supone poder.

¿Y podemos proteger de forma absoluta la información de la empresa?. La respuesta es que no de forma absoluta. Pero, como se verá en la próxima entrega de este hilo, sí podemos aislar nuestra pequeña ‘ramita’ por nuestra seguridad… Y hasta aprender a observar tras el análisis de nuestra ‘ramita’ las ‘ramitas’ de alrededor.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

octubre 7, 2022

Datos empresariales II: Vulnerabilidad (legal) de los datos empresariales

De forma previa a las sus consecuencias, riesgos y posibilidades, veremos el distinto nivel de protección que la ley da a un tipo de datos frente a otros.

El Derecho ‘absoluto’ de los datos personales

A pesar de que ya sabemos que ningún Derecho tiene carácter ‘absoluto’, en el campo de los Datos Personales, como Derecho Fundamental que es, la formulación se acerca bastante a ese grado ‘absoluto’ (si obviamos el cajón de sastre del “Interés Legítimo”, por supuesto).

Sin entrar el elevadísimo grado de protección que tienen, no podemos sino empezar por ver qué son los datos personales:

Artículo 4 RGPD. Definiciones. A efectos del presente Reglamento se entenderá por: «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

El derecho ‘condicional’ de los datos empresariales

En el caso de los Datos Empresariales, por supuesto tenemos toda la protección legal de la propiedad industrial e intelectual, pero llena de lagunas en una normativa muy dispersa y en buena parte no adecuada a la realidad actual.

De forma específica y general sólo existe la Ley 1/2019, de 20 de febrero, de Secretos Empresariales. Que brinda una protección limitada (no todos los datos) y condicionada (y no en todos los casos):

Qué son “Secretos empresariales”:

Artículo 1. Objeto. 1. El objeto de la presente ley es la protección de los secretos empresariales.

A efectos de esta ley, se considera secreto empresarial cualquier información o conocimiento, incluido el tecnológico, científico, industrial, comercial, organizativo o financiero, que reúna las siguientes condiciones:

a) Ser secreto, en el sentido de que, en su conjunto o en la configuración y reunión precisas de sus componentes, no es generalmente conocido por las personas pertenecientes a los círculos en que normalmente se utilice el tipo de información o conocimiento en cuestión, ni fácilmente accesible para ellas;

b) tener un valor empresarial, ya sea real o potencial, precisamente por ser secreto, y

c) haber sido objeto de medidas razonables por parte de su titular para mantenerlo en secreto.

Y cuándo se produce una ‘violación’

Artículo 3. Violación de secretos empresariales.

1. La obtención de secretos empresariales sin consentimiento de su titular se considera ilícita cuando se lleve a cabo mediante:

a) El acceso, apropiación o copia no autorizadas de documentos, objetos, materiales, sustancias, ficheros electrónicos u otros soportes, que contengan el secreto empresarial o a partir de los cuales se pueda deducir; y

b) Cualquier otra actuación que, en las circunstancias del caso, se considere contraria a las prácticas comerciales leales.

Y además, los datos empresariales obtenidos legalmente se pueden almacenar, tratar y utilizar prácticamente sin límite.  Como se ve, los datos empresariales con legalmente más vulnerables que los datos personales.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

diciembre 5, 2019

Pues no, PAYPAL no es la Dark Web

Filed under: Comercio Electrónico,Medios de pago — Etiquetas: , , — legisconsulting @ 12:43

Está extendida la idea de que PAYPAL s una especie de limbo desde el que construir estructuras de evasión fiscal. Y es igualmente frecuente en este despacho recibir cuestiones en este sentido.

La última es un comentario en una  entrada del Blog que es casi una compilación de todas las ideas que circulan por Internet, de tal forma que entiendo que bien  merecen un post aclaratorio por su interés general, más que una simple respuesta al comentario.

El comentario -que se puede encontrar entre los comentarios del post- dice lo siguiente:

«buenas, un conocido esta facturando unos 10€ al mes haciendo dropshipping, lleva desde junio 65€ facturados, el beneficio no es tanto, mas o menos 30.000 euros han ido a través de paypal, recientemente se dió de alta como autónomo y no ha declarado nada, sin embargo aún le quedan unos 4000€ en su cuenta de paypal, no tiene pensado declarar. Debería crearse una cuenta nueva de paypal para no llegar a los 50.000 y tener la cifra actual en negro y asi ir pasandole a conocidos cantidades pequeñas para poder retirarlo?»

De la actividad económica

Comentario.- Manifiesta el lector que, estando de alta en RETA,  se ha venido desarrollando una actividad económica que ha generado unos beneficios que no se han declarado.

Legalidad.- Todos los ingresos, sin límite mínimo, deben ser declarados a Hacienda y toda actividad, sea cual sea y se desarrolle como se desarrolle debe cumplir unas obligaciones.

El caso del Dropshipping que se nos plantea no es particularmente complejo al tratarse simplemente de una compraventa de bienes y, en este caso llevaría aparejara sin duda la obligación de presentar declaraciones trimestrales de IRPF al entender que se trata de una persona física, así como la obligación de ingresar el correspondiente IVA.

De no hacerse todo ello, se estaría cometiendo:

  • una infracción administrativa por incumplir la obligación de presentar las declaraciones obligatorias,
  • más una infracción administrativa por no ingresar el importe correspondiente al IRPF,
  • más una infracción administrativa por no ingresar lo recaudado en concepto de IVA,
  • más una infracción penal si la cuantía defraudada supera los 120.000€
  • más las infracciones que pudieran corresponder caso de importarse los productos de fuera de la UE y ser aplicable la normativa de Aduanas

Además, caso de llegar la actividad a conocimiento de hacienda, esta tomará como referencia para la imposición de las sanciones las cantidades brutas percibidas y no simplemente los beneficios, correspondiendo en su caso al inspeccionado demostrar que hay también unos costes asociados mediante facturas que permitirían rebajar el importe de la sanción. Algo no tan fácil como pudiera llegar a parecer.

De PAYPAL como ‘dark web’

Comentario.- Manifiesta que más o menos 30.000€ han pasado a través de PAYPAL y que aún quedan en ella unos 4.000€ que no tiene pensado declarar.

 Legalidad.- PAYPAL no es opaco para hacienda, sino que debe ser entendido como un simple medio de pago, como ya se ha manifestado reiteradamente en este Blog cuyo uso no afecta, ni exime  (¡ni protege!) del cumplimiento de las obligaciones anteriormente mencionadas.

Paypal es ya un banco con sede en Luxemburgo que, por tanto se encuentra sujeto a toda la normativa, obligaciones, deberes de información a las autoridades y controles de la UE. Y es esta la razón por la que, dadas las cantidades mencionadas, a estas alturas al conocido de la persona que escribe el comentario se le habrá exigido ya toda la documentación que lleve a PAYPAL a asegurarse de que la actividad que desarrolla es legal.

Ahora bien, la actividad de PAYPAL a que se refiere el comentario no es la actividad propia de un banco, sino de una Entidad de Servicios de Pago, por lo que,  lo que denominamos ‘cuenta‘ de PAYPAL, no puede ser entendida como un depósito bancario, sino como un mero ‘instrumento técnico’ necesario para prestar dicho servicio de pago.  Y ello tiene como consecuencia comúnmente aceptada variaciones en cuando a l momento en que deben ser declaradas a hacienda las cantidades percibidas a través de Paypal, pero en ningún caso eximiendo del deber de declarar y tributar por ellas ni evitando que Hacienda las pueda reclamar.

Del límite de los 50.000€

Comentario.- Manifiesta que debería crear una nueva cuenta de PAYPAL para no llegar al límite de los 50.000 €

Legalidad.- Hay obligación de informar a Hacienda de todos los bienes y derechos en el extranjero cuando todos ellos en su conjunto superen los 50.000€ (RD 1558/2012).

Se trata de una mera declaración informativa a hacienda sobre el conjunto de los bienes y derechos en el extranjero cuyo incumplimiento conlleva aún importantes sanciones a pesar de haber sido cuestionadas estas por la Comisión Europea y haber sido instado el Estado Español a modificarlas por atentar contra la normativa comunitaria.

Y  aún cuando el texto de la Ley permite cuestionar si una ‘cuenta’ de PAYPAL estaría dentro de los bienes o derechos que deben ser declarados, a Dirección General de Tributos hace ya mucho que ha dictaminado que hay obligación de declarar las cuentas de PAYPAL independientemente de si ese importe está en  una o varias cuentas.

De cualquier forma, PAYPAL conoce quien es el titular real de cada cuenta porque así le obliga la normativa sobre blanqueo de capitales y cumple con los deberes de información anteriormente mencionados.

De la estructura para no declarar

Comentario.- Manifiesta la posibilidad de traspasar pequeñas cantidades a conocidos para poder retirarlas.

Legalidad.-Toda cantidad percibida debe ser declarada independientemente de su cuantía.

Ello implica que el perceptor de esas ‘pequeñas cantidades’ tendrían el deber de incluirlas en su declaración y pagar por ellas, además de tener que explicar ante hacienda las razones que las justifican.

Pero es que si además el conocido de la persona que escribe el comentario en el post  hubiera superado el límite de la infracción penal al superar los 120.000€, todos ellos, tanto esta persona como los receptores de esas pequeñas cantidades estarían incurriendo en un delito de blanqueo de capitales independientemente de las cuantías. Si bien, obviamente, en distinto grado. Una forma de hacer incurrir en graves riesgos a los conocidos .

PAYPAL no es, ni la ‘dark web‘, ni un paraíso fiscal.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 31, 2019

Obligaciones ante Hacienda y Seguridad Social en nuevos negocios

Filed under: Emprender — Etiquetas: , , , , — legisconsulting @ 12:17

Las nuevas formas de negocio,—o como se percibe de forma más coloquial,  las nuevas formas de conseguir ingresos—, han generado numerosas preguntas sobre si hay obligación de darse de alta en la Seguridad Social, declarar IRPF, factura IVA, etc  … y muchos bulos.

Mentiras

  • No se supera el límite del SMI, así que no hay obligación del alta en Seguridad Social.
  • Gano menos de 3.000,00€
  • Si no es la actividad principal, no es necesario el alta en RETA: «mi trabajo es otro y hago esto algunas tardes».
  • Las extensiones de los juegos que hago las vende una plataforma alemana o mi música una plataforma de California que no me pide factura (aunque si las vende la plataforma o la persona ya es otra historia) .
  • (Re)vender por Wallapop no es una actividad.
  • No me piden factura.
  • Me pagan por PAYPAL

Seguridad Social

Uno. A los efectos de este régimen especial, se entenderá como trabajador por cuenta propia o autónomo aquel que realiza de forma habitual, personal y directa una actividad económica a título lucrativo sin sujeción por ella a contrato de trabajo y aunque utilice el servicio remunerado de otras personas.

Verdades

  • –        Tendrá la obligación de declara a Hacienda todo el que perciba cualquier ingreso independientemente de la cuantía.
  • –        Tendrá la obligación de repercutir el IVA todo el que preste un servicio o venda algo sujeto al impuesto y no exento.
  • –        Tendrá la obligación de cotizar a la Seguridad Social todo aquel que :
    • Realice una actividad de forma habitual,
    • de forma personal,
    • de forma directa,
    • a título lucrativo,
    • aunque use el servicio de terceros.

En cuanto a Seguridad Social, como se ve, la norma no fija límites ni de tiempo empleado ni de ingresos percibidos, aunque sí establece un requisito muy subjetivo que ha tenido que ser delimitado por los tribunales: la habitualidad.

Aunque recientemente han corrido los bulos  que mencionábamos con más insistencia, lo cierto es que la delimitación de esa Habitualidad viene siendo detallada nada menos que des una sentencia del 29 de octubre de 1997.

Y a esta siguieron otras (STS 21-12-1987 y 2-12-1988, entre otras) que señalan que tal requisito hace referencia a una práctica de la actividad profesional desarrollada no esporádicamente sino con una cierta frecuencia o continuidad.

Así, el trabajadores que de forma habitual, personal y directa, realizan una actividad económica a título lucrativo, sin sujeción a contrato de trabajo. Se presumirá, salvo prueba en contrario, que es un trabajador por cuenta propia o autónomo

Pero como la posibilidad de probar el tiempo que se dedica a una actividad es difícil, los tribunales han optado por tomar de forma complementaria el nivel de ingresos (inferior al Salario Mínimo) de la actividad. Nivel de ingresos que sólo será tomado como referencia si no hay otros indicios que puedan determinar la habitualidad o no de la actividad ales como el tipo de actividad, la reiteración en las percepciones económicas, etc.

En conclusión, si se desempeña una actividad habitualmente (desde dar clase de inglés dos tardes por semana  a vender extensiones de juego en Alemania), se está obligado a cumplir con la Seguridad Social independientemente del nivel de ingresos. Y si por el contrario se trata de un único o varios trabajos esporádicos, pues no.

Deberes

Con Hacienda:

  • –        Alta en IAE (tranquilos, es grátis)
  • –        Obligación en su caso de repercutir el IVA al comprador.
  • –        Declaraciones trimestrales de IVA en su caso
  • –        Declaración de TODOS los ingresos en IRPF independientemente  de su cuantía

Con la Seguridad Social

  • –        Si es una actividad ‘habitual‘ alta en RETA. Y si no lo es, pues no … y rogar porque la administración de la Seguridad Social también considere que no lo es.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

mayo 10, 2019

Qué es un servicio -exclusivo- de Internet

Filed under: Comercio Electrónico,Emprender — Etiquetas: , , — legisconsulting @ 10:17

Determinar si un servicio es exclusivamente un Servicio de la Sociedad de la Información o algo más, determinará su normativa aplicable, las obligaciones a que está sometido y su régimen de sanciones. Mucho más que una mera disquisición jurídica.

Hace algo más de una semana, el Abogado General presentó sus conclusiones en un caso abierto ante el tribunal que implica a AIRBNB en Irlanda denunciada por una asociación francesa, pero que igual se pueden aplicar a una plataforma de venta de zapatos en El Escorial.

La argumentación -salvo matices- no es nueva, pero sí lo suficientemente clarificadora.

Resumiéndolo mucho, la cuestión en el caso concreto es si AIRBNB es sólo una plataforma de Internet o es algo más y se le deben aplicar las exigencias que recaen sobre las agencias inmobiliarias.

Conclusiones

A la cuestión planteada, el Abogado General plantea las siguientes conclusiones:

Sobre el servicio: Si el prestador del servicio no ejerce control algunos obre las modalidades esenciales de las prestaciones, constituye un servicio de la sociedad de la información.

Sobre las prestaciones accesorias: Y no impedirán esta calificación el hecho de que se ofrezcan prestaciones o servicios accesorios si estas prestaciones accesorias sean indivisibles y conformen un todo indisociable con esos servicios.

Sobre la normativa aplicable: Solo se podrán exigir requisitos adicionales en aplicación de normativas de terceros países (Francia en este caso)  para proteger los derechos de los consumidores.

Sobre donde se presta el servicio: Sólo se podrán establecer requisitos y exigencias adicionales al Servicio de la Sociedad de la Información en terceros países (Francia en este caso):

  • si se ha tratado caso por caso y no de forma general.
  • previo requerimiento al país de origen (Irlanda en este caso) que adopte medidas específicas en materia de servicios de la sociedad de la Información.
  • Y previa notificación a la Comisión Europea.

En conclusión, la asunción de un servicio exclusivamente como de la Sociedad de la Información permite al emprendedor prestador del servicio tener perfectamente cuáles son sus obligaciones y responsabilidades, no ya solo en su país de residencia, sino en tota la Unión Europea.

Nota de prensa TJUE

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

marzo 28, 2019

Warning!: Brexit y Protección de Datos.

Brexit is eventually a disaster for everyone(*).

Llevo semanas no queriendo escribir este post con la ilusa esperanza de que el Brexit no se materializaría, pero después de las votaciones de ayer, la conclusión parece clara: el hijo británico es firme en su decisión de emanciparse de la casa comunitaria (UE) después de 45 años. Pero el hijo ‘emancipando’ exige poder seguir yendo a comer, a que le hagan la colada y a que le planchen la ropa; Y mamá UE está en firme desacuerdo.

Así que todo parece indicar que habrá riña doméstica en forma de Brexit duro. Y la riña del Brexit duro nos obligará a hacer cambios a todos los que usamos un ordenador para una actividad no estrictamente personal y privada.

Cualquier negocio o profesional, de cualquier tamaño, que mantenga una página Web o use cualquier servicio online (almacenamiento, copias de seguridad, etc) debe hacer ya algunas comprobaciones con el fin de evitar posibles multas.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Explicación

Un Brexit duro significa que Reino Unido pasa a ser automáticamente un tercer estado completamente ajeno a la normativa y al nivel de protección que  la normativa de la Unión otorga .

Ni Reino Unido ni sus empresas estarían en un primer momento dentro del marco del ‘decisiones de adecuación’ para la transferencia de datos personales a terceros países como el Privacyshield.

Aunque no os demos cuenta, hay numerosos servicios online que usamos a diario y que transmiten o almacenan datos en servidores de terceros países, tales como por ejemplo:

  • Sistemas de almacenamiento online del tipo Google Drive; Onedrive; Dropbox; Icloud; Mega, etc.
  • Sistemas de copias de seguridad o de respaldo.
  • Hosting .
  • Bases de datos.
  • Cookies.
  • Servicios de chat.
  • Análisis web.
  • Servicio al cliente.
  • Etc.

Warning!

  1. Compruebe todos los servicios que tiene contratados, porque es bastante frecuente que el titular de dichos servicios ni siquiera sepa que los tiene contratados. Por ejemplo las cookies que carga en su Web.
  2. Compruebe donde se encuentran los servidores de todos los servicios que tiene contratados.
  3. Y si algún servidor o Encargado del tratamiento se encuentra en Reino Unido, vaya buscando ya una alternativa legal.

No sabemos lo que falta, pero ello le evitará posibles multas.

.

(*)Lamentablemente ‘eventually‘ no significa lo mismo que ‘eventualmente

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  «seguridad proactiva» obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Filed under: Comercio Electrónico,Protección de Datos,RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de «si sigue navegando acepta«. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del «si quiere seguir navegando con cookies, acepta«.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo «Aviso de Privacidad» porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la «Actitud»

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Older Posts »