Mayo 12, 2017

UBER y la neutralidad de las plataformas

Archivado en: Comercio Electrónico, Informática — Etiquetas: , , — legisconsulting @ 10:49

Lo que denomina como “Economía Colaborativa” no es lo que yo, dedicado a esto desde hace años,  entiendo como tal. Y con el reciente dictamen del Abogado general de la UE en el caso UBER se ha vuelto a identificar como tal en los medios lo que es una actividad empresarial.

Obligada neutralidad de las plataformas.

Ya hace años que se estableció  desde Europa la doctrina legal de que las plataformas de Internet -esas que actúan como motor o instrumentos de la economía colaborativa-, deben ser neutrales.   Eso, simplificándolo mucho, quiere decir que estas deben ser un simple instrumento técnico o escaparate donde terceros por sí mismo cuelguen sus servicios o productos por un lado y otros terceros contraten o compren sin la intervención de la plataforma. Y llega a tal claridad la doctrina que incluso obliga a que sean los propios terceros quienes puedan colgar sus productos o servicios en la misma sin intervención no-automática de la plataforma.

Si la plataforma interviene de algún modo de forma activa en el negocio jurídico de los terceros, en la promoción de sus servicios individualizados, en su organización o en cualquier otro aspecto del negocio de los terceros, pasa de ser un simple instrumento técnico a venir obligada a cumplir los requisitos propios de la actividad que sea y pasa a ser parte del negocio jurídico nacido (en teoría) entre terceros, con las responsabilidades que ello implica.

Sin sorpresas

En mi opinión, UBER siempre ha sido una empresa que desarrolla una actividad concreta y no una mera plataforma de internet. Y es eso exactamente lo que ha venido a decir el Abogado General de la UE: si prestas servicios de transporte, los organizas, cobras y fijas los precios no eres un taxista porque ellos ni siquiera pueden fijar sus propios precios. Pero desde luego tampoco eres una plataforma de economía colaborativa, sino una empresa y por lo tanto debes cumplir con las exigencias, limitaciones y responsabilidades que la ley exige a tu actividad.

Economía disruptiva

Economía disruptiva es un término que me parece más exacto que el de colaborativa para actividades como la de UBER. Es entrar en un mercado tradicional operando de forma distinta a como se ha hecho.

En mi opinión, estas actividades disruptivas son innovadoras, enriquecen la economía, crean riqueza  y pueden llegar a forzar cambios en actividades tradicionales con normativas que pueden haber quedado obsoletas, pero no por el mero hecho de ser disruptivas son legítimas ni su crecimiento o popularidad le pueden aportar per se legitimidad.

Toda actividad debe adaptarse a la normativa que le es propia independientemente si consideramoes esta normativa justa, injusta, eficiente, te favorezca o no. Porque eso es el Estado de Derecho: saber a qué atenerse y ser igual para todos .

“Tomás de Aquino se pregunta si un pueblo independiente tenían el derecho a cambiar las leyes existentes practicando usos o costumbres que se apartaban de la Ley (antigua discusión jurídica ahora planteada en un contexto teológico). Había varios argumentos en contra. El Derecho humano se funda en el Derecho Natural y en el Derecho Divino, y por lo tanto no se puede cambiar. Un acto individual contra la ley es una infracción de la Ley; por tanto, una multiplicidad de tales actos y la consiguiente formación de una costumbre no podía ser “buena Ley”. Solo el legislador puede promulgar leyes y la costumbre tiene su origen en la conducta individual de los particulares – los sometidos a la Ley –. Tomás de Aquino cita una sola autoridad, pero  decisiva: San Agustín dice: “Las costumbres del pueblo de Dios… han de ser consideradas leyes. Y los que infringen las costumbres de la Iglesia deben ser castigados”

(Texto tomado del Blog Derecho Mercantil )

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 4, 2016

Reclamar por Usurpación de Nombres de Dominio

Existen diversas formas de reclamar un nombre de dominio “usurpado” y de las circunstancias concretas dependerá elegir el más apropiado para cada caso.

Como este es un blog jurídico, vaya por delante que el término “usurpación” es un término coloquial aplicable jurídicamente por ejemplo a los ocupas de un piso, pero no a quien nos quita un nombre de dominio de Internet.

Hay diversas formas por las que un dominio llega a estar en posesión de quien no tiene derechos sobre el mismo: desde el más puro delito informático; hasta los más comunes de los socios que no planificaron debidamente su actividad en un primer momento y al final, como sucede tantas veces, la alianza se rompe de forma indeseada; o el lamentablemente más corriente del informático al que alguien encarga su WEB y se toma la libertad de registrar el dominio a su nombre en lugar de a nombre del cliente.

La mayoría de la gente nunca se ha molestado en comprobar que son titulares del nombre de dominio que usan. Algo tan fácil y rápido como consultarlo en WHOIS en caso de dominios .com o .org entre otros ó en Dominios.es en caso de dominios .es. Tales buscadores mostrarán quien figura como titular del dominio y donde está alojado, y caso de haberse activado la privacidad y no poder ver el titular, siempre se puede dirigir uno al servicio donde está registrado para comprobar que es quien debería.

Si se comprueba que no se figura como titular, si en principio se ha pagado el nombre de dominio, se han pagado las sucesivas renovaciones del mismo en su caso y se ha hecho uso del mismo, aún cuando se encuentre registrado a nombre de un tercero el nombre de dominio podría ser reclamado en una (o varias) de las siguientes vías:

  • ICANN: Es “una entidad sin fines de lucro responsable de la coordinación global del sistema de identificadores únicos de Internet y de su funcionamiento estable y seguro“. Dispone de un sistema de resolución extrajudicial de disputas sobre nombre de dominio
  • Red.es: Se trata de una entidad pública Responsable de la gestión del Registro de nombres de dominio de Internet bajo el código de país “.es”.  dispone, al igual que ICANN de un procedimiento extrajudicial para la resolución de conflictos de acuerdo y con las condiciones contenidas  en su reglamento.
  • OMPI :”es el foro mundial en lo que atañe a servicios, políticas, cooperación e información en materia de propiedad intelectual (P.I.). Es un organismo de las Naciones Unidas, autofinanciado, que cuenta con 189 Estados miembros“. Se trata, al igual que en las vías anteriores, de una vía de solución extrajudicial de conflictos.
  • Tribunales: Obviamente, al margen de las soluciones extrajudiciales existen las tradicionales soluciones judiciales ante los tribunales correspondientes. Probablemente la vía menos deseable en la mayoría de los casos por su falta de agilidad en un tema a menudo de imperativa urgencia, pero con posibles ventajas en función de las circunstancias concretas, como que permite la reclamación de elementos que no son estrictamente el nombre dominio y tas trascendentales como las bases de datos habitualmente vinculadas a los contratos de alojamiento.
  • Via penal: Compatible con las opciones extrajudiciales si se dan los elementos del ‘tipo‘ (el delito). Se puede presentar online ante el Grupo de Delitos Telemáticos por delitos que ya se ha mencionado en este post que a pesar de ser citados en conversaciones coloquiales no son ni el de Usurpación del 245ss del Código Penal ni el de Apropiación indebida del 252 CP. Las únicas condenas producidas en por este tipo de hechos se han dado en aplicación de Delitos contra la propiedad industrial del 273 CP. Este procedimiento es válido para el nombre de dominio, pero también para todos los elementos que integran la propiedad industrial y compensación de daños. Está penado con hasta 6 años de prisión.

Consejo: Si entiendo que su dominio pudiera llegar a estar en riesgo la medida más efectiva para su protección sería el registro del dominio como marca ante la Oficina Española de Patentes y Marcas ante la presunción casi inatacable de titularidad que aportan los registros públicos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 14, 2015

Revolución legal en el “Cloud”

Archivado en: Protección de Datos — Etiquetas: , , , — legisconsulting @ 10:47

El Tribunal de la UE ha dinamitado la figura del “Puerto Seguro” en Protección de Datos y revoluciona el Cloud: la AGPD podrá entrar a valorar si los datos transferidos fuera de la UE-desde Facebook a Dropbox o empresas de cloud- cumplen la normativa nacional… ¡Y no la cumplen!

Se empieza con una declaración contundente: “El Tribunal de Justicia declara inválida la Decisión de la Comisión que declaró que Estados Unidos garantiza un nivel de protección adecuado de los datos personales transferidos” (sentencia en el asunto C-362/14)

Y sigue con el fondo del asunto: “ las autoridades nacionales de control a las que se haya presentado una solicitud pueden, aun cuando una Decisión de la Comisión declare que un país tercero ofrece un nivel de protección adecuado de los datos personales, examinar si la transferencia de los datos de una persona a ese país respeta las exigencias de la legislación de la Unión sobre la protección de esos datos así como acudir ante los tribunales nacionales”

¿Qué significa?

En primero lugar, que se le pasan a exigir a todas las empresas y personas que almacenen Datos Personales fuera de la UE el cumplimiento de la legislación europea.

Hasta esta resolución se permitía que la Comisión Europea publicara un listado de países a los que la transferencia internacional de datos estaba permitida porque se consideraba que prestaban un nivel de protección equiparable a la LOPD. Entre ellos estaban  los del Espacio Económico Europeo y, entre otros EEUU sólo para entidades adscritas a los “principios de Puerto Seguro”. Para la transmisión al resto de países o entidades hacía falta un complicado procedimiento que necesitaba de la autorización previa expresa del director de la AGPD.

Tras esta resolución, al haber sido excluido EEUU del concepto de Puerto Seguro, para transmitir datos a servidores en EEUU habrá que demostrar que el destinatario de los datos cumple con los mismos estándares de seguridad y exigencia de la LOPD. Y ello es aplicable a Facebook -involucrada en la sentencia-, pero también a servicios de uso común como Dropbox o cualquier otro servicio cloud.

¿Es automático?

La normativa nacional obliga a solicitar autorización previa para la transferencia de datos fuera de la UE, pero entiendo que los datos ya transferidos lo fueron bajo el paraguas de una decisión de la Comisión Europea y bajo las directrices de la AGPD, por lo tanto la transferencia se hizo de forma legal.

El problema surge por un lado de que cualquier nueva transferencia de datos a EEUU requerirá del largo proceso y de la autorización previa para ser considerada como legal. Y por otra parte de que la AGPD podrá entrar la a examinar y exigir el cumplimiento de la ley nacional a cualquiera de los otros destinos de “puerto Seguro” para cualquiera que utilice servidores fuera de la UE. Y para ello bastará una sola denuncia de alguien descontento.

O dicho de otro modo, las autoridades Europeas podrán analizar a partir de ahora el tratamiento de los datos depositados en “puertos seguros”.

Entonces los servidores fuera cumplirán la norma

Pero,  ¿pasarán las empresas norteamericanas el filtro de las distintas agencias de protección de datos de Europa?

El Parlamento Europeo ha publicado un Informe comparativo de protección de Datos EEUU- UE que hace un estudio detallado del nivel del marco de uno y otro lado del océano y a la vista de los resultados parece difícil que un marco como el norteamericano pueda ser modificado de forma fácil y rápida para conseguir un nivel de protección y tratamiento de los datos Personales análogo al que se hace en Europa.

El informe es largo y detallado, pero incluye un interesante y clarificador resumen que  se transcribe al final de este post.

Consecuencias

Para el usuario de Internet: evidentemente mayor grado de protección.

Para quien maneje datos: la necesidad de una auditoría urgente del tratamiento de hace de esos datos.

(más…)

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 23, 2015

Bloqueo de cuenta de Paypal

Archivado en: Comercio Electrónico, Medios de pago, Organización de Empresa — Etiquetas: , , , — legisconsulting @ 11:18

A finales de este mes todas las entidades de crédito bloquearán las cuentas de los clientes que no estén plenamente identificados, pero Paypal (y todas las Entidades de Pago) lo llevan haciendo desde siempre.

Cuando nos damos de alta en uno de estos Servicios de Pago, no nos están pidiendo una identificación, sino que tal exigencia sólo se da cuando se dan algunas circunstancias concretas con posterioridad. Hasta entonces la Entidad de Pago (en adelante Paypal) se apoya en la identificación del usuario que hizo en su día el banco que abrió la Cuenta o la Tarjeta vinculada.

¿Cuándo bloquearán la cuenta?

Cuando superemos una cierta cantidad.

Ante cualquier tipo de acción que la entidad considere ’sospechosa’ y que van desde movimientos inusuales de fondos hasta acceso a la cuenta desde distintos lugares o IPs.

No hay un listado cerrada de acciones que lleven a ese bloqueo de la cuenta, sino que queda casi al arbitrio de cada Entidad y a las directrices que le haya comunicado de la Autoridad para la Prevención del Blanqueo que corresponda según la nacionalidad. En el caso de Paypal, la de Luxemburgo.

¿Por qué bloquean la cuenta?

La Directiva Europea sobre blanqueo de capitales obliga a estas entidades a vigilar las actividades de sus clientes y a asegurarse que estas no son de blanqueo de capitales o financiación del terrorismo. Y el incumplimiento de tales obligaciones legales de vigilancia conlleva las correspondientes sanciones.

Por ello Paypal, dentro de su actividad ‘preventiva‘ del blanqueo,  bloquea la cuenta hasta el momento en que el usuario le demuestre que no desarrolla actividades ilícitas con la cuenta.

¿Qué nos va a pedir?

Al momento de bloqueo de la cuenta Paypal remite al usuario un Email en que le solicitará una serie de datos y documentación para desbloquear la cuenta.

El listado de documentos solicitado variará en función de las circunstancias, e incluso recibido por Paypal un primer bloque de información, es posible que solicite aclaraciones posteriores o documentación adicional, manteniéndose todo este tiempo el bloqueo de la cuenta.

¿Quién nos lo pide?

La información que solicita la Entidad de Pago (Paypal) no la está solicitando Hacienda ni ninguna otra entidad pública, que lo harían directamente, sino que lo hace la propia Paypal dentro de su deber de vigilancia de sus clientes a que hacíamos mención anteriormente.

¿Con qué finalidad se pide?

Se suele pensar que esas solicitudes de información se hacen simplemente con fines de control fiscal, pero eso no es así.

Las entidades de pago como Paypal tiene la obligación de:

  • identificación del usuario real que está detrás de las operaciones;
  • de hacer un seguimiento de la actividad personal o profesional de tal usuario;
  • de adoptar todas las ‘medidas de conocimiento de los clientes‘ que entienda necesarias
  • y tiene la obligación de seguimiento continuado de los clientes y actualización de datos de los mismos.

Y ello para la prevención de delitos y no para buscar infracciones fiscales.

¿A quién se van a entregar esos datos?

Esos datos buscan entender y conocer al usuario dentro del deber de vigilancia que mencionábamos que tiene Paypal. Por ello, si Paypal entiende que no existe indicio de delitos desbloqueará la cuenta sin más.

Si entiende que hay indicios de delito, la Directiva 2005/60/CE obligó a la creación de un organismo independiente en cada país dedicada exclusivamente a la prevención del blanqueo de capitales (SEPBLAC en el caso de España) a quien la Entidad de Pago entregará la documentación y los informes de que disponga para que sea esta quien adopte las medidas que procedan con posterioridad.

En el caso concreto de Paypal, el organismo  (UIF lo llama la Directiva) al que enviará la información en su caso será el UIP de Luxemburgo por ser una Entidad de Crédito con sede en este país. Y ello porque la información se remite a “la UIF del Estado miembro en cuyo territorio se encuentre situada la entidad o persona que facilite dicha información

Qué hacer ante el bloqueo

La respuesta corta sería proporcionar cuantos documentos y explicaciones requiera Paypal (o cualquier otra Entidad de Pago), pero esto puede tener su dificultad.

EL control de Paypal busca entender y conocer perfectamente al usuario y su actividad para asegurarse de que no está cometiendo ningún delito. Y es desde esta perspectiva desde la que debe ser construido el escrito que se remitirá a Paypal para que desbloquee la cuenta. Y si no se hace correctamente, se corre el riesgo de una investigación penal. Por supuesto con la cuenta y los fondos bloqueados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 2, 2014

Guía ultrabreve de Comercio Electrónico

El Comercio Electrónico o ECommerce está teniendo un crecimiento exponencial en los últimos tiempos y se prevé que siga así. Por ello es fácil encontrar a quien cree que basta con ‘estar‘ en Internet para aprovechar la ola, o a los que piensan que hay que estar “porque todo el mundo está‘. Pero estar por estar sin más es absurdo y peligroso. Es como salir de Safari con tirachinas.

A continuación, una lista del equipo con el que cargar para hacer seguro el ‘Safari‘.

Incluye el “Aviso legal“: Es obligatorio aunque la Web o el Blog aunque sólo sean el ‘escaparate’ de una actividad Económica (contenido obligatorio)

Redacta e incluye unas “Condiciones de Servicio:  Los contratos son ley entre las partes. Y si no estableces la ley para las transacciones con tus clientes se aplicará la ley supletoria (LSSI, Ley de Consumo, Código Civil, etc). Es posible entonces que esas disposiciones ’supletorias’ no encajen en la idea que tienes de las responsabilidades que estás dispuesto a asumir. Porque lo que pongas en ellos -con límites- es ‘la Ley de la Web‘.

Establece cuál es la “Política de Privacidad: Debes manifestar qué datos se guardan, como se hace, con qué finalidad, que se cumple con las exigencias legales y que se manifiesta su aceptación.  (Política de Privacidad en las web)

Cuida las “Cookies”: Son la estrella mediática de la protección de de datos personales y las que peor reputación tienen. Puede no instalarse ninguna y el problema estará resuelto, pero es difícil que un informático no incluya por defecto alguna como Analytics. Pero cumpliendo con las normas establecidas e incluyendo en fondo y forma el modelo propuesto por la AGPD, no deberían suponer un problema.

Cuida el tratamiento de los datos: Además de los puntos anteriores, la ley obliga a una determinada forma de tratar, almacenar (en servidores propios o en Cloud) y acceder a los datos recabados de los Usuarios de la Web. Todos unos mecanismos que deben estar contenidos en un “Documento de Seguridad” exigido por la AGPD.

Registra los ficheros: Si se tienen datos personales de usuarios (y casi todos lo es, hasta direcciones IP), los ficheros deberán estar registrados ante la AGPD.

Cumple las obligaciones ‘Societarias’: Si se está actuando a través de una Sociedad, la Ley establece unas obligaciones y requisitos concretos para tener u operar una Web.

Cuida los Medios de Pago:

  • Elige la pasarela de pago que mejor se adapte al modelo de negocio concreto:  Aunque no lo parezca, hay vida más allá de Paypal (Que pasarela de pago es la mas fiable)
  • Muestra con quien gestionas los cobros: Es incluso buena idea y aporta seguridad mostrar que la pasarela está en el  Listado de Entidades del Banco de España
  • Nunca guardes datos de tarjetas de clientes. Es Ilegal y la lista de entidades y empresas dispuestas a arruinar el negocio con sanciones es extensa (AGPD, Autoridades de Consumo, Banco de España, Visa, etc)

Declara los ingresos de Paypal (o similar): Paypal no es una cuenta opaca en un paraíso fiscal, es un mero medio de pago en el que los ingresos a través de él percibidos deben ser declarados a Hacienda igual que los de cualquier otro medio de pago. (cuestiones y dudas sobre Paypal)

Cumple la Ley de Consumo (aunque cueste): Cumplir la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI) no es suficiente. La Nueva Ley de Consumo también es aplicable al ECommerce y la muy diversa  muy diversa normativa supone un gran escollo y un gran riesgo.

Incluye toda la documentación: Se exige en Comercio Electrónico proporcionar cliente documentación tal como una copia del ‘contrato en soporte duradero’ o un Formulario Desistimiento.

Cuida la Publicidad: Además de cumplir todas disposiciones y límites de la Ley General de Publicidad existen prohibiciones y límites específicos propios del Ecommerce como el Spam o comunicaciones electrónicas no solicitadas. El Spam es igual de ilegal ya se haga a través de correo electrónico desde cualquier cuenta de correo (personal o no) o a través de los servicios de mensajería internos entre usuarios conectados de Linkedin o Facebook.

Asegúrate de que lo que vendes es lo que crees vender: O dicho de otro modo, sé consciente de la obligaciones que asumes y con qué límites. Si vendes algo serás corresponsable con el fabricante ante el comprador de eso que vendes. Si prestas un servicio serás responsables de su buen fin. Si simplemente ‘intermedias‘ (plataformas de intercambio, de venta o incluso de ‘encuentro’ entre particulares por ejemplo) serás responsable de probar que no eres parte en modo alguno de una operación entre terceros si no quieres.

Sé consciente de los derechos de tus clientes: Aparte de los derechos legales atribuidos por otras normas o por los propios Términos y Condiciones de Servicio de la web, los clientes de Ecommerce son Consumidores o Usuarios en los términos de la Ley y ello les proporciona una serie de derechos que la propia Ley considera como irrenunciables ni tan siquiera aceptando  las Condiciones de Servicio de la Web.

Evita los peligros del ECommerce: Que como se ha puesto de manifiesto, van más allá de temida LOPD

Evita las sanciones: Que van mucho más allá de la temida AGPD (Inseguridad jurídica en sanciones a las web)

Asegura tu actividad: Con un asesoramiento profesional especializado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Mayo 16, 2014

Aclaraciones sobre Medios de Pago en Internet

Archivado en: Comercio Electrónico, Medios de pago — Etiquetas: , , — legisconsulting @ 10:56

¿Qué pasa si usamos un medio de pago que no es tal?. Es la pregunta que me plantean como comentario en uno de los post y que me parece interesante como base para aclarar algunos puntos importantes sobre Servicios de Pago.

He aquí el comentario:

Yo opero con paypal pero tambien con CLICKBANK, si Vd. conoce esta plataforma, esta muy extendida en internet, casi es la segunda en cobro para promocionar productos de terceras personas.
Clickbank opera como paypal, es decir actua de mera intermediación de pago, la unica diferencia que le veo es que su sede está en EEUU.
En este aspecto, la normativa ante hacienda supongo que es la misma que con paypal, es decir, es una mera pasarela de pago?
Gracias.

Respuesta general

Hay muchas plataformas y tipos de contratos que tiene la apariencia de ‘intermediar’ en los pagos o incluso garantizar ciertos pagos, pero que no son Entidades ni prestan Servicios de pago.

Serán exclusivamente Servicios de Pago en el sentido de la pregunta planteada: “La ejecución de operaciones de pago en las que se transmita el consentimiento del ordenante a ejecutar una operación de pago mediante dispositivos de telecomunicación, digitales o informáticos y se realice el pago a través del operador de la red o sistema de telecomunicación o informático, que actúa únicamente como intermediario entre el usuario del servicio de pago y el prestador de bienes y servicios.

En este sentido, la legislación Europea establece que sólo podrán prestar servicios de pago (como Paypal):

  • · Entidades de Crédito
  • · Entidades de Dinero Electrónico
  • · Entidades de Pago

E incluso siendo una de esas entidades, sólo están legitimados para prestar tales servicios en España quienes hayan solicitado la autorización que por residencia les corresponda y por lo tanto aparezcan en la lista del Banco de España que todo el mundo puede consultar.

Las consecuencias para el usuario de que la Entidad con la que opera no esté en esa lista van mucho más allá de la falta de seguridad para el mismo que ya se ha manifestando anteriormente en este Blog (aquí o aquí) y que se compensa con la mera ‘confianza’ del mismo. Las consecuencias más directas y palpables de no estar en esa lista son más objetivas que esa falta de seguridad, puesto que los derechos de crédito que se tengan con esas entidades; los saldos en sus ‘cuentas’; los contratos; o las operaciones corrientes, tendrán un tratamiento y unas exigencias fiscales y legales mucho más restrictivas, complejas, exigentes y jurídicamente complejas que las operaciones con Entidades de Pago debidamente legalizadas.

Respuesta particular

Paypal, como se ha dicho anteriormente en este blog, es una entidad domiciliada en Luxemburgo debidamente acreditada y autorizada para prestar servicios de pago en España.

Por contra Clickbank no parece en el listado del banco de España como ninguna de las figuras que habilitan para prestar este tipo de servicios, por lo tanto en ningún caso puede ser asimilado ni fiscal ni jurídicamente a Paypal ni a ninguna otra Entidad de Pago.

Pero es que Clickbank tampoco es una Entidad de Pago ni financiera de ningún tipo en Estados Unidos donde tiene su sede, sino que dentro de unos servicios mucho más generales y menos financieros ofrece el de una Pasarela de Pago que entiendo tras una rápida lectura de sus Condiciones bajo el soporte de PAYPAL.

Así podemos decir que lo que se mantiene es una contrato particular sin regulación legal específica con una empresa que fija unas obligaciones y prestaciones recíprocas a las partes cuyo cumplimiento (de cada una de las obligaciones o prestaciones individualizadamente) puede tener unas obligaciones fiscales, formales o legales que deben ser cumplidas.

En esta situación, las comisiones que se cobren al usuario del Servicio (Afiliado en este caso), las penalizaciones al mismo (que existen en ciertos caos ), los derechos de Crédito (dinero que Clickbank tenga la obligación de abonar) , o los pagos en cualquier sentido, generarán cada uno de ellos sus propias obligaciones o derechos específicos que el usuario debería conocer en su totalidad para poder ejercerlos y que en ningún caso tienen nada que ver con las obligaciones y derechos que tendríamos operando simplemente con una Entidad de Pago.

En concusión

Hay muchos servicios para actividades económicas en internet que pueden parecer lo que no son (no sólo Servicios de Pago) y que, siendo perfectamente legales, generan derechos y obligaciones que el usuario de los mismos debería conocer para obtener el máximo beneficio de las mismas. Tener muy claro qué es lo que se está contratando, sus implicaciones legales y fiscales y las obligaciones que se asumen supone un análisis en toda regla que determinará realmente el beneficio y el costa de la actividad. Sin ese análisis, el análisis de costes y beneficios será siempre irreal.

Legisconsulting ofrece el soporte jurídico imprescindible para las actividades económicas en internet

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Diciembre 13, 2013

Modelo de documento de información al consumidor sobre el desistimiento

Archivado en: Actualidad, Comercio Electrónico — Etiquetas: , , — legisconsulting @ 10:48

Hoy, 13 de diciembre de 2013, vence el plazo para la trasposición de la Directiva que establece para el consumidor del eCommerce la posibilidad de desistimiento en 14 días y establece un formulario que le debe ser enviado en cada compra.

Ya se han tratado en un post anterior en este Blog las importantes modificaciones que este nueva normativa implicará para el Comercio electrónico. Y aunque es cierto que la Ley está aún en el Congreso, la Directiva cumple el plazo fijado para su trasposición hoy y por tanto su texto es imperativo desde hoy mismo.

Es cierto que no hay muchos usuarios del E-Commerce que conozcan que hoy es el día, pero sí que puede haber alguno en toda Europa que sí lo conozca y que no se conforme con las formas de devolución utilizadas hasta hoy y quiera exigir su derecho al desistimiento más allá de los 7 días que fija la ley nacional… y tiene derecho a ello.

Según la Directiva citada, cada producto enviado a un consumidor debe incluir un formulario para que este pueda ejercer su derecho de desistimiento sin causa alguna en un plazo de 14 días naturales. Y por ello, a continuación se reproduce el Modelo de documento de información al consumidor sobre el desistimiento” .

Formulario Desistimiento

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Octubre 3, 2013

¿Cumplir la Ley de Cookies y no morir en el intento?

Pretende este poste aclarar, dentro de lo posible, las opciones para el uso ‘legal’ de Cookies en las web y el porqué de la inseguridad legal que las rodea y genera tantas opiniones y soluciones creativas en torno a las mismas.

Aún  a riesgo de ser un poco simplista, el punto de partida es saber de qué va la ley para saber cuando debe preocuparnos y cuando no.

1.- Un Ladrillo

La idea de este Post me surge al leer que alguien decía que la Ley de Cookies  es un ‘ladrillo’ . Un ‘ladrillo’ que es sólo el punto 2 del Art. 22 de la Ley 24/2002, de 11 de julio, de servicios de la sociedad de la información y comercio electrónico . Casi más corto el texto que el título si pensamos que TODA la ‘ley’ de cookies tiene 3 párrafos y 180 palabras:

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Un ladrillo que obviamente no lo es en la extensión, pero sí en el contenido que vamos a tratar desentrañar párrafo por párrafo para mostrar las dudas que aún debe resolver la AEPD para saber cuando cumplimos y cuando no.

2.- Si no uso Cookies, pues cumplo la ley de Cookies

La ley no menciona en ningún momento las Cookies, sino ‘dispositivos de almacenamiento o recuperación de datos’, con lo que si usamos cualquier dispositivo  que cumpla con esa descripción general entraremos dentro del marco de exigencias de la ley por imaginativa o creativa que sea la solución de turno.

3.- ¿Qué pinta en esto la AEPD?

Aparte de la evidente mención que se hace a la LOPD,  puesto que con esos dispositivos se accede a Datos de Carácter Personal, será de aplicación la LOPD y todas sus consecuencias.

Así, son Datos Personales “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.”

Es decir, prácticamente todo, desde la IP del usuario a su historial de navegación, son datos personales.

4.- Requisitos para usar Cookies

Dice la ley que podemos usar las estrictamente necesarias para que aparezca algo en la pantalla. Y para las demás,

  • cuando se cuente con el consentimiento previo del usuario
  • tras haberle informado previamente de las cookies que se le van a instaler
  • y de la finalidad de las mismas

Pero el problema viene de si es posible un consentimiento tácito mediante la mera navegación; o si es necesaria la aceptación expresa; o si es imprescindible hacerle al usuario un test de idoneidad (como con las preferentes de los bancos); o darle el correspondiente cursillo personalizado de desactivación de Cookies en función de las Webs que visite y del navegador que utilice antes de instalar cualquier Cookie.

5.- Cuando se pueden usar Cookies legalmente

La AEPD tiene abierto un expediente sancionador por denuncia de un usuario a una Web que le instaló Cookies antes de que este hubiera prestado su consentimiento previo y expreso a las mismas. Y ello aún cuando la Web denunciada contaba con un aviso sobre su política de Cookies con toda la información.

A día de hoy el expediente no está resuelto y no sabemos si a la Web le será impuesta una sanción o no, pero al margen de lo que suceda en el caso concreto –que espero a título personal que la AEPD exonere completamente a la Web–, es de esperar que la AEPD nos de unas directrices más exactas sobre como actuar en este campo. Hasta entonces, podemos tener teorías diversas de cuando y como usar Cookies legalmente. Pero sólo serán eso, teorías.

6.- Entonces: ¿que hacemos con las Cookies?

Opción 1.- Renunciar a ellas

Opción 2.- Se puede colocar como pantalla previa a la entrada a la web exclusivamente el texto de la política de cookies y el preceptivo consentimiento previo sobre un fondo blanco de tal forma que si no se aceptan las cookies no se pueda acceder.

Opción 3.- O bien, y ante la imposibilidad de saber exactamente como hacerlo legalmente (punto 5), y caso de usar en nuestra Web cualquier tipo de dispositivo (punto 2), deberemos cumplir las exigencias legales para la instalación de cookies (punto 4) y seguir en todo caso las recomendaciones de la AEPD para el uso de cookies.

Como decía, a día de hoy no sabemos si así esteremos cumpliendo la ley, pero cumplir las recomendaciones y tener un texto de información y aceptación de la Política de Cookies acorde con las mismas, al menos probará la buena fe y la intención de cumplir la Ley. Algo que al menos está bien visto (y ayuda) ante la AEPD

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Septiembre 25, 2013

Modelo de Aviso y Política de Cookies según la AGPD

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , , , — legisconsulting @ 11:49

El modelo de texto que se reproduce a continuación ha sido creado a partir de las directrices mostradas por la propia AGPD con copia literal de algunos de los párrafos directamente de la guía.

Ha vuelto a la actualidad el necesario aviso sobre la Política de Cookies algún tiempo después de que la AGPD publicara una guía y aún cuando no existe una clara idea de cómo se debe materializar en la práctica para cumplir la LOPD.

La solución a sobre como implementar la política de cookies esperamos que nos sea aportada próximamente por la propia AGPD en un proceso sancionador que tiene abierto en este sentido. Pero hasta que llegue se momento no podemos sino partir de la guía mencionada para crear un texto lo más ajustado posible a esta.

Cookies (mensaje de alerta)

(Sugiere la AGPD en primer lugar situar en la home un mensaje de alerta avisando al usuario de la utilización de cookies con el siguiente texto -literal de la AGPD-)

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí.

(El ‘aquí’ del mensaje de alerta debe ser un link que lleva al texto íntegro sobre la política de cookies)

POLITICA DE COOKIES

Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mayoría de las mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).

La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.

Sin su expreso consentimiento –mediante la activación de las cookies en su navegador–XXXXX no enlazará en las cookies los datos memorizados con sus datos personales proporcionados en el momento del registro o la compra..

¿Qué tipos de cookies utiliza esta página web?

- Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.

- Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.

- Cookies de análisis: Son aquéllas que bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.

- Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.

- Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

Cookies de terceros: La Web de XXXXX puede utilizar servicios de terceros que, por cuenta de XXXXX, recopilaran información con fines estadísticos, de uso del Site por parte del usuario y para la prestacion de otros servicios relacionados con la actividad del Website y otros servicios de Internet.

En particular, este sitio Web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc. con domicilio en los Estados Unidos con sede central en 1600 Amphitheatre Parkway, Mountain View, California 94043.  Para la prestación de estos servicios, estos utilizan cookies que recopilan la información, incluida la dirección IP del usuario, que será transmitida, tratada y almacenada por Google en los términos fijados en la Web Google.com. Incluyendo la posible transmisión de dicha información a terceros por razones de exigencia legal o cuando dichos terceros procesen la información por cuenta de Google.

(En este punto la AGPD sugiere incluir cada una de las cookies de terceros utilizadas y los datos de dichos terceros. Por evidentes razones en este modelo sólo se ha incluido la Google en el uso de Analytics por ser la más extendida y común.)

El Usuario acepta expresamente, por la utilización de este Site, el tratamiento de la información recabada en la forma y con los fines anteriormente mencionados. Y asimismo reconoce conocer la posibilidad de rechazar el tratamiento de tales datos o información rechazando el uso de Cookies mediante la selección de la configuración apropiada a tal fin en su navegador. Si bien esta opción de bloqueo de Cookies en su navegador puede no permitirle el uso pleno de todas las funcionalidades del Website.

Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador:

Si tiene dudas sobre esta política de cookies, puede contactar con XXXXX en info@XXXXX(punto)com

Garantía de cumplimiento de la ley

El modelo de texto mostrado ha intentado seguir todas las directrices de la AGPD, pero como he manifestado anteriormente en este post, el hacerlo así o con este texto a día de hoy no puede garantizar en modo alguno que se esté cumpliendo la ley de cookies de acuerdo con la interpretación de la AGPD (aunque entiendo que es lo más aproximado). Para ello habrá que esperar a las aclaraciones que sin duda nos proporcionará próximamente la AGPD.

Ante la imposibilidad de quedar con cada usuario ante un notario para que preste su consentimiento con todos los datos y explicaciones antes de poder navegar por la Web, hay quien defiende que lo más seguro sería que todo el texto de la política de cookies estuviera antes de la entrada en la Web, antes de cargar cualquier cookie y antes de poder iniciar cualquier la navegación, pero ¿es ello posible?.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Julio 18, 2013

¿Suscripción tácita a Newsletters?

Archivado en: Comercio Electrónico, Marketing — Etiquetas: , , — legisconsulting @ 11:59

¿Basta para añadir un suscriptor a nuestra Newsletter que este no se oponga?. Un consentimiento tácito para la recepción de la Nesletter.

Antecedentes

Como en otros Posts anteriores encuadrados en temas de marketing, como los referidos a la publicidad usando redes sociales o al camuflaje de Emails para que no parezcan publicidad, este surge como los demás de un Email real recibido por mí en el correo del despacho.

En este caso se trata de una primera Newsletter –por cierto muy interesante– en que en el Asunto se me “solicita permiso” para remitirme sucesivos Emails de contenido similar. Mientras que en el cuerpo del mensaje un link permite rechazar la invitación a recibir nuevos correos.

En una primera idea me pareció ingenioso aunque dudosamente legal, pero el hecho es que al proceder el correo del entorno Legal como procedía, me surgió también la duda de si mi primera impresión sería cierta y, ¿sería legal captar el consentimiento del suscriptor de esta forma? .

Requisitos para la suscripción

Tratándose la del remitente de una actividad económica, la comunicación se puede entender como ‘promocional’ sin lugar a dudas, por lo que sería plenamente aplicable la LSSI.

Y para ello los requisitos son

  1. Autorización Previa por parte del suscriptor
  2. El consentimiento expreso del mismo
  3. Cumplimiento de todas las exigencias y requisitos de la normativa relativa a protección de datos de carácter personal (LOPD)

Ingenioso, ¿pero legal?

  • Autorización Previa: La ley exige que las comunicaciones comerciales cuenten con una solicitud o autorización previa.

En este caso he recibido un primer correo sin que al momento de su recepción el remitente contara con autorización para su envío, con lo cual este primer envío ya constituiría una infracción que conllevaría su correspondiente sanción.

  • Consentimiento Expreso: La ley exige que además de ‘previo’ el consentimiento sea ‘expreso.

En este caso se plantea que salvo que rechace expresamente la ‘invitación’a recibir la Newsletter seguiré recibiéndolas. Lo que quiere decir en términos legales que en la mejor de las interpretaciones sería una manifestación de voluntad tácita e ilegal en los términos de la LSSI. Y en la peor de las interpretaciones se trataría, no ya de una manifestación de voluntad tácita, sino de un Derecho de Oposición a una manifestación de voluntad inexistente del Suscriptor.

En cualquier caso la autorización del suscriptor no existiría y todas y cada una de las sucesivas Newsletters supondrían una infracción de la LSSI y la correspondiente sanción

  • LOPD: Además, tratándose de una actividad que no es estrictamente personal o doméstica, habría que haber cumplido todas las exigencias para la captación de datos de carácter personal. Algo que en mi caso concreto estoy bastante seguro de que no se ha cumplido.

En definitiva, que la ley (LSSI) establece una prohibición taxativa y abierta a pocas interpretaciones que es vulnerada por este original mecanismo:

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

Marketing de alto riesgo

Entiendo que la normativa limita enormemente el trabajo de las empresas de Marketing y convierten su actividad de alto riesgo, pero al ley es la que es y la creatividad debe ser también legalmente ‘auditada’.

Y así estoy seguro de que la suma de la creatividad de las agencias de marketing y la de los abogados daría grandes, eficientes (y seguros) resultados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »