Abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  ”seguridad proactiva” obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de “si sigue navegando acepta“. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del “si quiere seguir navegando con cookies, acepta“.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo “Aviso de Privacidad” porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la “Actitud”

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 16, 2018

Modelo 720: cuestiones y casos especiales

Archivado en: Actualidad, Comercio Electrónico, Economía, Emprender, Medios de pago, Otros — Etiquetas: , , , — legisconsulting @ 20:08

Llegada la hora de presentar el modelo 720 de declaración de bienes en el extranjero, me ha llegado alguna cuestión sobre “intereses” en el extranjero poco convencionales y si debían ser declarados.

Hace ya años, cuando era aún un proyecto de ley, escribimos un post que, aunque fue actualizado con posterioridad, bien merece un repaso y la contestación a cuestiones concretas sobre bienes y/o derechos concretos.

Obligados

Están obligados a presentar el modelo 720 aquellas personas físicas y jurídicas residentes en territorio español, los establecimientos permanentes en dicho territorio de personas o entidades no residentes

No existirá obligación de informar ningún bien de aquellos grupos en los que la suma de los bienes que lo integran no supere los 50.000 euros.

Qué hay que declarar

  • Cuentas situadas en el extranjero abiertas en entidades que se dediquen al tráfico bancario o crediticio de las que sean titulares o beneficiarios o en las que figuren como autorizados o de alguna otra forma ostenten poder de disposición.
  • Cualesquiera títulos, activos, valores o derechos representativos del capital social, fondos propios o patrimonio de todo tipo de entidades, o de la cesión a terceros de capitales propios, de los que sean titulares y que se encuentren depositados o situados en el extranjero, así como de los seguros de vida o invalidez de los que sean tomadores y de las rentas vitalicias o temporales de las que sean beneficiarios como consecuencia de la entrega de un capital en dinero, bienes muebles o inmuebles, contratados con entidades establecidas en el extranjero.
  • Bienes inmuebles y derechos sobre bienes inmuebles de su titularidad situados en el extranjero.

Casos especiales

Cuentas de Paypal

Como ya hemos señalado hasta la saciedad es este blog, en los textos y en las respuestas a cuestiones planteadas a través de comentarios de lectores, las cuentas de PAYPAL no son ‘cuentas‘ en el sentido legal del mismo como ‘depósito‘ (un término más exacto jurídicamente), sino que es sólo un instrumento necesario para que una entidad de crédito como es PAYPAL preste un servicio de pago, que es lo que realmente hace PAYPAL . Y estos ‘instrumentos necesarios para prestar el servicio, hay una ley que dice expresamente que no pueden ser considerados como depósitos. Por lo tanto, según el texto del RD 1065/2007, no estaría dentro de los supuestos obligados a declarar.

No obstante esta interpretación ,hace ya también años que Hacienda, en respuesta a una consulta vinculante hace una interpretación  extensiva de la norma y señala que

“Por su parte, el portal de “PayPal” define el servicio que presta del siguiente modo:

“PayPal permite a las empresas o consumidores que dispongan de correo electrónico enviar y recibir pagos en Internet de forma segura, cómoda y rentable. La red de PayPal se basa en la infraestructura financiera existente de cuentas bancarias y tarjetas de crédito para crear una solución global de pago en tiempo real. Le ofrecemos un servicio especialmente pensado para pequeñas empresas, vendedores por Internet, particulares y otros a los que no satisfacen los mecanismos de pago tradicionales.”

Y concluye la consulta vinculante,

Finalmente, respecto de la declaración de la cuenta PayPal, podría entenderse, en su caso, que dicha cuenta debe tomarse en consideración a efectos del Impuesto sobre el Patrimonio, o de la obligación de declarar bienes situados en el extranjero.”

Por lo tanto, según esta respuesta, sí habría que declarar las ‘cuentas‘  de PAYPAL.

Crowdlending

Como su propio nombre indica, se trata de un préstamo que como es conocido se realiza a empresas o personas, pero siempre entre ‘particulares’, entendiendo como tal la no presencia de institución financiera alguna  en la operación.

En este caso no se trata de una consulta vinculante con la trascendencia legal que ello conlleva, sino de una  de las preguntas frecuentes contenidas en la página de la AEAT que señala textualmente.

-        Pregunta:  ¿Existe obligación de informar sobre: préstamos concedidos a entidades extranjeras, créditos provenientes de operaciones comercial o de servicios, cuentas en participación o cualquier otra modalidad de préstamo o crédito?

-        Respuesta: Solamente existe obligación de informar sobre la cesión a terceros de capitales propios si estos están representados por valores.

Como vemos, la postura general de Hacienda ante los préstamos es que no habría que declararlos. Pero es que además, dada la naturaleza del Crowdlending, sería cuestionable en primer lugar la naturaleza y extensión del derecho de crédito en base a la exigibilidad del mismo a incluso —atendiendo  al límite de los 50.000€— el valor real del derecho.

Crowdfunding

En España está regulado por la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial, pero como hablamos de inversiones en el extranjero, estas no se encuentran sujetas a esa ley y objeto sabemos que puede ser mucho más variado que el establecido por la ley. Por ello la obligación de declarar dependerá de la naturaleza del contrato de crowfunding.

Si se trata de un préstamo participativo, ya hemos visto que no sería obligatorio declararlo.

Si se trata de suscripción de obligaciones, acciones ordinarias y privilegiadas u otros valores representativos de capital, en este caso la inversión sí estaría representada por ‘valores’ de cualquier tipo y sí habría obligación de declararlos.

Si se trata de emisión o suscripción de participaciones de sociedades de responsabilidad limitada, se rataría de participaciones en sociedades y ello sí entra dentro de los supuestos de la Ley y del Real Decreto.

Betfair

Sirva solo como ejemplo de plataformas que para uso en sus servicios mantienen ‘cuentas‘ que pueden llegar a contener por encima del límite legal. Pero como es un caso que conozco profesionalmente de primera mano, de ahí por ejemplo de Betfair en Reino Unido por las importantes cantidades que maneja.

Es cierto que para operar en esta plataforma en reino unido es obligatorio contar con un domicilio allí y no se puede operar desde aquí, pero también es cierto que existen vías más o menos legales para hacerlo, aunque en este caso nos limitaremos a analizar sólo el modelo 720.

La plataforma permite —o no prohíbe— registrar a una sociedad (LTD) como usuario de la plataforma, con lo que sería perfectamente posible dada la facilidad y bajo coste de crear una sociedad en Reino Unido, utilizarla con este fin. Para ello no es necesario que la persona física detrás de la sociedad sea residente en Reino Unido, así que siendo residente en España podría operar allí en la plataforma. En este caso la obligación dependerá del valor de la sociedad (LTD) y no directamente de la cantidad de dinero que la LTD tenga en Betfair.

También cabe la posibilidad —menos legal— de que alguien usando una VPN desde aquí muestre la apariencia de residir en Reino Unido cuando realmente lo hace en España operando desde España. En este caso vendría obligado a cumplir todas las obligaciones fiscales en España por el mero hecho de residir aquí más de 186 días al año, incluyendo la obligación de presentar el modelo 720 si la necesaria cuenta bancaria vinculada a la plataforma supera el límite de los 50.000€. Pero si es la ‘cuenta‘ de Betfair la que supera esa cantidad, al no ser Betfair en Reino Unido una entidad financiera, ni estar representado ese dinero en título o valor alguno, entiendo que no habría obligación de presentar el modelo 720 aún cuando se residiera en España -oficial o extraoficialmente- y se tuvieran más de 50.000€ como ’saldo’ en la plataforma.

Crowdcontent

¿Tiene más casos no estrictamente ‘convencionales’?. Platéelos en los comentarios a este post o en Twitter y haremos crecer su contenido.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 25, 2018

Cobrar online y tarjetas de crédito

Si tiene un negocio y vende o presta servicios por internet que cobra Online, no guarde los números de tarjetas de crédito de sus clientes, aunque sea para mejorar la experiencia de usuario.

El máximo objetivo de un emprendedor en Internet es ‘cobrar

Y la primera preocupación es ‘como cobrar’

Cobrar

Para ‘cobrar‘ contratamos un TPV virtual o servicio asimilado que nos proporciona una Entidad de Servicios de Pago o un banco (PAYPAL lo es) que preste servicios de pago y actúa como prestador de este tipo de servicios.

Por ley, sólo las Entidades de Crédito (bancos), las Entidades de Dinero Electrónico y las Entidades de Servicios de Pago pueden prestar estos servicios. Y en particular sobre estas últimas, sólo las Entidades de Pago que constan en el listado que publica el Banco de España. Hay otras muchas a las que se puede acceder a través de Internet, algunas de la Unión Europea, pero exclusivamente las que figuran en el listado periódicamente actualizado pueden operar en España con todas las garantías.

Art. 3.9 Ley de Servicios de Pago. «Proveedor de servicios de pago»: los organismos públicos, entidades y empresas autorizadas para prestar servicios de pago en España o en cualquier otro Estado miembro de la Unión Europea…;

Usabilidad… ilegalmente

En el comercio electrónico es algo que ya prácticamente no se hace, pero era común hace no tanto tiempo -en su mayor parte sin mala intención y para facilitar la experiencia de usuario- que los sitios web conservaran los datos de las tarjetas de su clientes. Es algo prohibido por Ley y que puede acarrear graves consecuencias.

La Ley de Servicios de Pago autoriza a estas entidades a realizar “actividades de custodia y almacenamiento y tratamiento de datos” (Art 9.1.a) al tiempo que establece un régimen sancionador calificándolas como infracciones “graves” para quien realice las actividades que le son propias sin contar con autorización. Remitiendo el régimen sancionador a la Ley que regulas las sanciones que se le impondrían a un banco.

Art. 4.4 Ley de Servicios de Pago: “Las personas físicas o jurídicas que infrinjan lo dispuesto en este artículo, serán sancionadas con arreglo a lo dispuesto en el artículo 29 de la Ley 26/1988, de 29 de julio, sobre disciplina e intervención de las entidades de crédito sin perjuicio de las demás responsabilidades que puedan resultar exigibles.”

La citada Ley de disciplina e intervención de entidades de crédito ha sido ya derogada, pero ello no implica que haya desaparecido el régimen sancionador. Ha sido sustituida por la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito que establece una sanción de,

a) De entre el doble y el triple del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan cuantificarse; o

b) De entre el 3% y el 5% del volumen de negocios neto anual total, incluidos los ingresos brutos procedentes de intereses a percibir e ingresos asimilados, los rendimientos de acciones y otros valores de renta fija o variable y las comisiones o corretajes a cobrar que haya realizado la entidad en el ejercicio anterior; o multa de entre 2.000.000 y 5.000.000 de euros, si aquel porcentaje fuera inferior a esta cifra.

Experiencia de usuario… legalmente

Es bien sabido que en el Comercio Electrónico la experiencia de usuario lo es todo, o casi. Cuando hacemos una compra por Internet , al momento del pago nos piden los datos de la tarjeta, de PAYPAL  del medio de pago que mejor nos convenga como usuarios. Y en la misma página de la tienda introducimos esos datos para realizar el pago. Pero eso es falso.

Aunque lo parezca, los datos de la tarjeta no se los estamos dando a la tienda ―o no deberíamos―, sino a una entidad de pago que es quien recibirá esos datos, los tratará y los gestionará para realizar el pago.

Pero además hay tiendas que mejoran la experiencia de usuario y nos permiten realizar la compra sin necesidad de volver a introducir los datos de la tarjeta (pagos recurrentes, se llama desde el punto de vista de los servicios de pago). En este caso la tienda tampoco se ha quedado con los datos de la tarjeta, sino que se ha quedado simplemente con los datos del usuario que ha concedido una autorización a la Entidad de Pago para realizar esos pagos recurrentes a través de un mecanismo que se llama Tokenización y que permite a los comercios electrónicos mejorar la experiencia de usuario sin infringir la ley y con total seguridad para el usuario.

La tokenización es algo que no ofrecen todas las plataformas de pago, pero es una solución útil y legal para el emprendedor informado y eficiente.

Emprender el internet es un proceso complejo en el que intervienen numerosos y muy diversos elementos legales. Si va a emprender, contáctenos y le apoyaremos en el proceso aportándole la seguridad que necesita.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Mayo 12, 2017

UBER y la neutralidad de las plataformas

Archivado en: Comercio Electrónico, Informática — Etiquetas: , , — legisconsulting @ 10:49

Lo que denomina como “Economía Colaborativa” no es lo que yo, dedicado a esto desde hace años,  entiendo como tal. Y con el reciente dictamen del Abogado general de la UE en el caso UBER se ha vuelto a identificar como tal en los medios lo que es una actividad empresarial.

Obligada neutralidad de las plataformas.

Ya hace años que se estableció  desde Europa la doctrina legal de que las plataformas de Internet -esas que actúan como motor o instrumentos de la economía colaborativa-, deben ser neutrales.   Eso, simplificándolo mucho, quiere decir que estas deben ser un simple instrumento técnico o escaparate donde terceros por sí mismo cuelguen sus servicios o productos por un lado y otros terceros contraten o compren sin la intervención de la plataforma. Y llega a tal claridad la doctrina que incluso obliga a que sean los propios terceros quienes puedan colgar sus productos o servicios en la misma sin intervención no-automática de la plataforma.

Si la plataforma interviene de algún modo de forma activa en el negocio jurídico de los terceros, en la promoción de sus servicios individualizados, en su organización o en cualquier otro aspecto del negocio de los terceros, pasa de ser un simple instrumento técnico a venir obligada a cumplir los requisitos propios de la actividad que sea y pasa a ser parte del negocio jurídico nacido (en teoría) entre terceros, con las responsabilidades que ello implica.

Sin sorpresas

En mi opinión, UBER siempre ha sido una empresa que desarrolla una actividad concreta y no una mera plataforma de internet. Y es eso exactamente lo que ha venido a decir el Abogado General de la UE: si prestas servicios de transporte, los organizas, cobras y fijas los precios no eres un taxista porque ellos ni siquiera pueden fijar sus propios precios. Pero desde luego tampoco eres una plataforma de economía colaborativa, sino una empresa y por lo tanto debes cumplir con las exigencias, limitaciones y responsabilidades que la ley exige a tu actividad.

Economía disruptiva

Economía disruptiva es un término que me parece más exacto que el de colaborativa para actividades como la de UBER. Es entrar en un mercado tradicional operando de forma distinta a como se ha hecho.

En mi opinión, estas actividades disruptivas son innovadoras, enriquecen la economía, crean riqueza  y pueden llegar a forzar cambios en actividades tradicionales con normativas que pueden haber quedado obsoletas, pero no por el mero hecho de ser disruptivas son legítimas ni su crecimiento o popularidad le pueden aportar per se legitimidad.

Toda actividad debe adaptarse a la normativa que le es propia independientemente si consideramoes esta normativa justa, injusta, eficiente, te favorezca o no. Porque eso es el Estado de Derecho: saber a qué atenerse y ser igual para todos .

“Tomás de Aquino se pregunta si un pueblo independiente tenían el derecho a cambiar las leyes existentes practicando usos o costumbres que se apartaban de la Ley (antigua discusión jurídica ahora planteada en un contexto teológico). Había varios argumentos en contra. El Derecho humano se funda en el Derecho Natural y en el Derecho Divino, y por lo tanto no se puede cambiar. Un acto individual contra la ley es una infracción de la Ley; por tanto, una multiplicidad de tales actos y la consiguiente formación de una costumbre no podía ser “buena Ley”. Solo el legislador puede promulgar leyes y la costumbre tiene su origen en la conducta individual de los particulares – los sometidos a la Ley –. Tomás de Aquino cita una sola autoridad, pero  decisiva: San Agustín dice: “Las costumbres del pueblo de Dios… han de ser consideradas leyes. Y los que infringen las costumbres de la Iglesia deben ser castigados”

(Texto tomado del Blog Derecho Mercantil )

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 4, 2016

Reclamar por Usurpación de Nombres de Dominio

Existen diversas formas de reclamar un nombre de dominio “usurpado” y de las circunstancias concretas dependerá elegir el más apropiado para cada caso.

Como este es un blog jurídico, vaya por delante que el término “usurpación” es un término coloquial aplicable jurídicamente por ejemplo a los ocupas de un piso, pero no a quien nos quita un nombre de dominio de Internet.

Hay diversas formas por las que un dominio llega a estar en posesión de quien no tiene derechos sobre el mismo: desde el más puro delito informático; hasta los más comunes de los socios que no planificaron debidamente su actividad en un primer momento y al final, como sucede tantas veces, la alianza se rompe de forma indeseada; o el lamentablemente más corriente del informático al que alguien encarga su WEB y se toma la libertad de registrar el dominio a su nombre en lugar de a nombre del cliente.

La mayoría de la gente nunca se ha molestado en comprobar que son titulares del nombre de dominio que usan. Algo tan fácil y rápido como consultarlo en WHOIS en caso de dominios .com o .org entre otros ó en Dominios.es en caso de dominios .es. Tales buscadores mostrarán quien figura como titular del dominio y donde está alojado, y caso de haberse activado la privacidad y no poder ver el titular, siempre se puede dirigir uno al servicio donde está registrado para comprobar que es quien debería.

Si se comprueba que no se figura como titular, si en principio se ha pagado el nombre de dominio, se han pagado las sucesivas renovaciones del mismo en su caso y se ha hecho uso del mismo, aún cuando se encuentre registrado a nombre de un tercero el nombre de dominio podría ser reclamado en una (o varias) de las siguientes vías:

  • ICANN: Es “una entidad sin fines de lucro responsable de la coordinación global del sistema de identificadores únicos de Internet y de su funcionamiento estable y seguro“. Dispone de un sistema de resolución extrajudicial de disputas sobre nombre de dominio
  • Red.es: Se trata de una entidad pública Responsable de la gestión del Registro de nombres de dominio de Internet bajo el código de país “.es”.  dispone, al igual que ICANN de un procedimiento extrajudicial para la resolución de conflictos de acuerdo y con las condiciones contenidas  en su reglamento.
  • OMPI :”es el foro mundial en lo que atañe a servicios, políticas, cooperación e información en materia de propiedad intelectual (P.I.). Es un organismo de las Naciones Unidas, autofinanciado, que cuenta con 189 Estados miembros“. Se trata, al igual que en las vías anteriores, de una vía de solución extrajudicial de conflictos.
  • Tribunales: Obviamente, al margen de las soluciones extrajudiciales existen las tradicionales soluciones judiciales ante los tribunales correspondientes. Probablemente la vía menos deseable en la mayoría de los casos por su falta de agilidad en un tema a menudo de imperativa urgencia, pero con posibles ventajas en función de las circunstancias concretas, como que permite la reclamación de elementos que no son estrictamente el nombre dominio y tas trascendentales como las bases de datos habitualmente vinculadas a los contratos de alojamiento.
  • Via penal: Compatible con las opciones extrajudiciales si se dan los elementos del ‘tipo‘ (el delito). Se puede presentar online ante el Grupo de Delitos Telemáticos por delitos que ya se ha mencionado en este post que a pesar de ser citados en conversaciones coloquiales no son ni el de Usurpación del 245ss del Código Penal ni el de Apropiación indebida del 252 CP. Las únicas condenas producidas en por este tipo de hechos se han dado en aplicación de Delitos contra la propiedad industrial del 273 CP. Este procedimiento es válido para el nombre de dominio, pero también para todos los elementos que integran la propiedad industrial y compensación de daños. Está penado con hasta 6 años de prisión.

Consejo: Si entiendo que su dominio pudiera llegar a estar en riesgo la medida más efectiva para su protección sería el registro del dominio como marca ante la Oficina Española de Patentes y Marcas ante la presunción casi inatacable de titularidad que aportan los registros públicos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 14, 2015

Revolución legal en el “Cloud”

Archivado en: Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:47

El Tribunal de la UE ha dinamitado la figura del “Puerto Seguro” en Protección de Datos y revoluciona el Cloud: la AGPD podrá entrar a valorar si los datos transferidos fuera de la UE-desde Facebook a Dropbox o empresas de cloud- cumplen la normativa nacional… ¡Y no la cumplen!

Se empieza con una declaración contundente: “El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos” (sentencia en el asunto C-362/14)

Y sigue con el fondo del asunto: “ las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales”

¿Qué significa?

En primero lugar, que se le pasan a exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea.

Hasta esta resolución se permitía que la Comisión Europea publicara un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable a la LOPD. Entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los “principios de Puerto Seguro”. Para la transmisión al resto de países o entidades hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa del director de la AGPD.

Tras esta resolución, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD. Y ello es aplicable a Facebook -involucrada en la sentencia-, pero también a servicios de uso común como Dropbox o cualquier otro servicio cloud.

¿Es automático?

La normativa nacional obliga a solicitar autorización previa para la transferencia de datos fuera de la UE, pero entiendo que los datos ya transferidos lo fueron bajo el paraguas de una decisión de la Comisión Europea y bajo las directrices de la AGPD, por lo tanto la transferencia se hizo de forma legal.

El problema surge por un lado de que cualquier nueva transferencia de datos a EEUU requerirá del largo proceso y de la autorización previa para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de “puerto Seguro” para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

O dicho de otro modo, las autoridades Europeas podrán analizar a partir de ahora el tratamiento de los datos depositados en “puertos seguros”.

Entonces los servidores fuera cumplirán la norma

Pero,  ¿pasarán las empresas norteamericanas el filtro de las distintas agencias de protección de datos de Europa?

El Parlamento Europeo ha publicado un Informe comparativo de protección de Datos EEUU- UE que hace un estudio detallado del nivel del marco de uno y otro lado del océano y a la vista de los resultados parece difícil que un marco como el norteamericano pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales análogo al que se hace en Europa.

El informe es largo y detallado, pero incluye un interesante y clarificador resumen que  se transcribe al final de este post.

Consecuencias

Para el usuario de Internet: evidentemente mayor grado de protección.

Para quien maneje datos: la necesidad de una auditoría urgente del tratamiento de hace de esos datos.

(más…)

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 23, 2015

Bloqueo de cuenta de Paypal

Archivado en: Comercio Electrónico, Medios de pago, Organización de Empresa — Etiquetas: , , , — legisconsulting @ 11:18

A finales de este mes todas las entidades de crédito bloquearán las cuentas de los clientes que no estén plenamente identificados, pero Paypal (y todas las Entidades de Pago) lo llevan haciendo desde siempre.

Cuando nos damos de alta en uno de estos Servicios de Pago, no nos están pidiendo una identificación, sino que tal exigencia sólo se da cuando se dan algunas circunstancias concretas con posterioridad. Hasta entonces la Entidad de Pago (en adelante Paypal) se apoya en la identificación del usuario que hizo en su día el banco que abrió la Cuenta o la Tarjeta vinculada.

¿Cuándo bloquearán la cuenta?

Cuando superemos una cierta cantidad.

Ante cualquier tipo de acción que la entidad considere ’sospechosa’ y que van desde movimientos inusuales de fondos hasta acceso a la cuenta desde distintos lugares o IPs.

No hay un listado cerrada de acciones que lleven a ese bloqueo de la cuenta, sino que queda casi al arbitrio de cada Entidad y a las directrices que le haya comunicado de la Autoridad para la Prevención del Blanqueo que corresponda según la nacionalidad. En el caso de Paypal, la de Luxemburgo.

¿Por qué bloquean la cuenta?

La Directiva Europea sobre blanqueo de capitales obliga a estas entidades a vigilar las actividades de sus clientes y a asegurarse que estas no son de blanqueo de capitales o financiación del terrorismo. Y el incumplimiento de tales obligaciones legales de vigilancia conlleva las correspondientes sanciones.

Por ello Paypal, dentro de su actividad ‘preventiva‘ del blanqueo,  bloquea la cuenta hasta el momento en que el usuario le demuestre que no desarrolla actividades ilícitas con la cuenta.

¿Qué nos va a pedir?

Al momento de bloqueo de la cuenta Paypal remite al usuario un Email en que le solicitará una serie de datos y documentación para desbloquear la cuenta.

El listado de documentos solicitado variará en función de las circunstancias, e incluso recibido por Paypal un primer bloque de información, es posible que solicite aclaraciones posteriores o documentación adicional, manteniéndose todo este tiempo el bloqueo de la cuenta.

¿Quién nos lo pide?

La información que solicita la Entidad de Pago (Paypal) no la está solicitando Hacienda ni ninguna otra entidad pública, que lo harían directamente, sino que lo hace la propia Paypal dentro de su deber de vigilancia de sus clientes a que hacíamos mención anteriormente.

¿Con qué finalidad se pide?

Se suele pensar que esas solicitudes de información se hacen simplemente con fines de control fiscal, pero eso no es así.

Las entidades de pago como Paypal tiene la obligación de:

  • identificación del usuario real que está detrás de las operaciones;
  • de hacer un seguimiento de la actividad personal o profesional de tal usuario;
  • de adoptar todas las ‘medidas de conocimiento de los clientes‘ que entienda necesarias
  • y tiene la obligación de seguimiento continuado de los clientes y actualización de datos de los mismos.

Y ello para la prevención de delitos y no para buscar infracciones fiscales.

¿A quién se van a entregar esos datos?

Esos datos buscan entender y conocer al usuario dentro del deber de vigilancia que mencionábamos que tiene Paypal. Por ello, si Paypal entiende que no existe indicio de delitos desbloqueará la cuenta sin más.

Si entiende que hay indicios de delito, la Directiva 2005/60/CE obligó a la creación de un organismo independiente en cada país dedicada exclusivamente a la prevención del blanqueo de capitales (SEPBLAC en el caso de España) a quien la Entidad de Pago entregará la documentación y los informes de que disponga para que sea esta quien adopte las medidas que procedan con posterioridad.

En el caso concreto de Paypal, el organismo  (UIF lo llama la Directiva) al que enviará la información en su caso será el UIP de Luxemburgo por ser una Entidad de Crédito con sede en este país. Y ello porque la información se remite a “la UIF del Estado miembro en cuyo territorio se encuentre situada la entidad o persona que facilite dicha información

Qué hacer ante el bloqueo

La respuesta corta sería proporcionar cuantos documentos y explicaciones requiera Paypal (o cualquier otra Entidad de Pago), pero esto puede tener su dificultad.

EL control de Paypal busca entender y conocer perfectamente al usuario y su actividad para asegurarse de que no está cometiendo ningún delito. Y es desde esta perspectiva desde la que debe ser construido el escrito que se remitirá a Paypal para que desbloquee la cuenta. Y si no se hace correctamente, se corre el riesgo de una investigación penal. Por supuesto con la cuenta y los fondos bloqueados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar “porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el “Aviso legal“: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas “Condiciones de Servicio:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ’supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la “Política de Privacidad: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las “Cookies”: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un “Documento de Seguridad” exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Mayo 16, 2014

Aclaraciones sobre Medios de Pago en Internet

Archivado en: Comercio Electrónico, Medios de pago — Etiquetas: , , — legisconsulting @ 10:56

¿Qué pasa si usamos un medio de pago que no es tal?. Es la pregunta que me plantean como comentario en uno de los post y que me parece interesante como base para aclarar algunos puntos importantes sobre Servicios de Pago.

He aquí el comentario:

Yo opero con paypal pero tambien con CLICKBANK, si Vd. conoce esta plataforma, esta muy extendida en internet, casi es la segunda en cobro para promocionar productos de terceras personas.
Clickbank opera como paypal, es decir actua de mera intermediación de pago, la unica diferencia que le veo es que su sede está en EEUU.
En este aspecto, la normativa ante hacienda supongo que es la misma que con paypal, es decir, es una mera pasarela de pago?
Gracias.

Respuesta general

Hay muchas plataformas y tipos de contratos que tiene la apariencia de ‘intermediar’ en los pagos o incluso garantizar ciertos pagos, pero que no son Entidades ni prestan Servicios de pago.

Serán exclusivamente Servicios de Pago en el sentido de la pregunta planteada: “La ejecución de operaciones de pago en las que se transmita el consentimiento del ordenante a ejecutar una operación de pago mediante dispositivos de telecomunicación, digitales o informáticos y se realice el pago a través del operador de la red o sistema de telecomunicación o informático, que actúa únicamente como intermediario entre el usuario del servicio de pago y el prestador de bienes y servicios.

En este sentido, la legislación Europea establece que sólo podrán prestar servicios de pago (como Paypal):

  • · Entidades de Crédito
  • · Entidades de Dinero Electrónico
  • · Entidades de Pago

E incluso siendo una de esas entidades, sólo están legitimados para prestar tales servicios en España quienes hayan solicitado la autorización que por residencia les corresponda y por lo tanto aparezcan en la lista del Banco de España que todo el mundo puede consultar.

Las consecuencias para el usuario de que la Entidad con la que opera no esté en esa lista van mucho más allá de la falta de seguridad para el mismo que ya se ha manifestando anteriormente en este Blog (aquí o aquí) y que se compensa con la mera ‘confianza’ del mismo. Las consecuencias más directas y palpables de no estar en esa lista son más objetivas que esa falta de seguridad, puesto que los derechos de crédito que se tengan con esas entidades; los saldos en sus ‘cuentas’; los contratos; o las operaciones corrientes, tendrán un tratamiento y unas exigencias fiscales y legales mucho más restrictivas, complejas, exigentes y jurídicamente complejas que las operaciones con Entidades de Pago debidamente legalizadas.

Respuesta particular

Paypal, como se ha dicho anteriormente en este blog, es una entidad domiciliada en Luxemburgo debidamente acreditada y autorizada para prestar servicios de pago en España.

Por contra Clickbank no parece en el listado del banco de España como ninguna de las figuras que habilitan para prestar este tipo de servicios, por lo tanto en ningún caso puede ser asimilado ni fiscal ni jurídicamente a Paypal ni a ninguna otra Entidad de Pago.

Pero es que Clickbank tampoco es una Entidad de Pago ni financiera de ningún tipo en Estados Unidos donde tiene su sede, sino que dentro de unos servicios mucho más generales y menos financieros ofrece el de una Pasarela de Pago que entiendo tras una rápida lectura de sus Condiciones bajo el soporte de PAYPAL.

Así podemos decir que lo que se mantiene es una contrato particular sin regulación legal específica con una empresa que fija unas obligaciones y prestaciones recíprocas a las partes cuyo cumplimiento (de cada una de las obligaciones o prestaciones individualizadamente) puede tener unas obligaciones fiscales, formales o legales que deben ser cumplidas.

En esta situación, las comisiones que se cobren al usuario del Servicio (Afiliado en este caso), las penalizaciones al mismo (que existen en ciertos caos ), los derechos de Crédito (dinero que Clickbank tenga la obligación de abonar) , o los pagos en cualquier sentido, generarán cada uno de ellos sus propias obligaciones o derechos específicos que el usuario debería conocer en su totalidad para poder ejercerlos y que en ningún caso tienen nada que ver con las obligaciones y derechos que tendríamos operando simplemente con una Entidad de Pago.

En concusión

Hay muchos servicios para actividades económicas en internet que pueden parecer lo que no son (no sólo Servicios de Pago) y que, siendo perfectamente legales, generan derechos y obligaciones que el usuario de los mismos debería conocer para obtener el máximo beneficio de las mismas. Tener muy claro qué es lo que se está contratando, sus implicaciones legales y fiscales y las obligaciones que se asumen supone un análisis en toda regla que determinará realmente el beneficio y el costa de la actividad. Sin ese análisis, el análisis de costes y beneficios será siempre irreal.

Legisconsulting ofrece el soporte jurídico imprescindible para las actividades económicas en internet

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »