Privacidad en las RRSS, ¿nuevo reclamo publicitario?

Tribuna de Silvia Ruiz, abogada de ECIJA.

Desde la entrada en vigor de la actual normativa en materia de privacidad, el conocido Reglamento General de Protección de Datos 679/2016 (“RGPD”), junto a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) centrándonos en nuestro ámbito local, la adaptación de las compañías al cumplimiento del novedoso marco normativo ha resultado, sin lugar a dudas, un ejercicio importante de cara a conseguir cumplir con los parámetros legales establecidos.

Esta actividad frenética, tendente a conseguir llegar a los estándares establecidos legalmente, iba aparejada a la necesidad de implementar principios que, tras ser analizarlos en detalle, suponen un cambio conceptual o una conversión interna en cualquier compañía (como ejemplo, mencionar el conocido principio “Privacy by design”, que tiene como efecto que todas las áreas de una Organización que lance un proyecto que afecte a la privacidad de los usuarios, deban colaborar estrechamente desde el inicio, y en todo momento del proyecto en sí, para llevar a cabo un análisis sobre impacto del tratamiento).

La reacción de las compañías españolas ante la nueva realidad normativa ha ido en paralelo a las prerrogativas de la Autoridad Local de Control, la Agencia Española de Protección de Datos (“AEPD”), en forma de multitud de informes, dictámenes y sanciones en la materia. Sin lugar a duda, la actividad de ésta durante los últimos años, y el análisis continuo de las diversas cuestiones que han ido surgiendo, ha tenido como efecto que la adecuación a la normativa se haya ido realizando al compás de los diversos pronunciamientos de la Autoridad, por lo que, en los casos concretos, los Delegados de Protección de Datos (o bajo sus siglas en inglés “DPO”) han tenido que ejercer sus funciones sin quitar ojo a las novedades o aclaraciones que la AEPD ha ido marcando. En el marco del escenario indicado, y con la perspectiva de estos últimos años de aplicación del marco legal, la pregunta que nos planteamos es si las obligaciones y deberes existentes realmente han calado en las compañías en las que su negocio se centra en el tratamiento de datos personales, de manera directa o indirecta; es decir, si podemos afirmar que el porcentaje de cumplimiento y adecuación a la norma ha ido incrementando y es real, y si realmente el Legislador ha llegado a su objetivo, conseguir la conversión interna de las mismas en aras de proteger los derechos de los ciudadanos.

Sin datos oficiales a la fecha que puedan confirmar el porcentaje exacto de compañías españolas que cumplen con la normativa de aplicación, los últimos datos de 2019 indicaban que el 28% de las organizaciones afirmaban cumplir la normativa y un 30 % señalaba estar «cerca de». Asimismo, en el indicado periodo se indicaba que la tasa de cumplimiento más elevada correspondía a EE. UU. (35%), seguido de Reino Unido y Alemania (en ambos, un 33%), y la más baja a España e Italia (en ambos países, un 21%) y a Suecia (18%). Tras los últimos datos confirmados, sin duda podemos indicar que las compañías en mayor o menor medida han puesto el foco e invertido al menos tiempo en valorar los estándares de cumplimiento vigentes, en muchos casos hasta el extremo de convertir el cumplimiento y el respeto al derecho a la privacidad en epicentro de las acciones publicitarias llevadas a cabo en los últimos años (el gran ejemplo de ello es Apple, que sorprendió todo sea dicho con ráfagas publicitarias contundentes y con cierto sentido de humor, con la palabra “privacidad” como centro de sus preocupaciones).

Sin duda, priorizar que los usuarios asocien una marca con seguridad y por ende privacidad, ha tenido un impacto real en los ciudadanos quienes comprobaban como poco a poco las empresas entraban en el detalle, de manera directa, a la hora de informar sobre aspectos tan oscuros como las finalidades que dan a los datos de los usuarios, las medidas de seguridad activadas a nivel interno, o incluso indicar los derechos que les corresponden a los usuarios para defender sus derechos. Todo lo mencionado anteriormente deja claro que la palabra privacidad vende, y podríamos decir que mucho. Por otro lado, la preocupación que muestran los usuarios por la privacidad de su información, el conocimiento real que tienen sobre la políticas de privacidad y las propias acciones de privacidad que realizan para proteger sus datos, han provocado que nos encontremos ante un usuario-ciudadano concienciado y con nociones básicas de privacidad, que hace que las compañías doblen sus esfuerzos a la hora de ser transparentes, o al menos parecerlo, de cara a evitar que en caso contrario dejen de ser usuarios de sus servicios. Este aspecto hemos podido comprobarlo sin ninguna duda en relación con la evolución de las Redes Sociales, y en concreto, en compañías como Facebook, quien ha apostado por ir mostrando información sobre cómo tratan la información por capas, de manera muy visual e intuitiva, desde el momento en el que el usuario se da de alta en la plataforma, aspectos que anteriormente no se formulaban con la claridad actual.

Como conclusión, podemos afirmar que el hecho de que las compañías intenten que sus marcas se vean vinculadas a términos como cumplimiento, privacidad y seguridad no deja ápice de duda en el sentido de que, a la sensación de temor que en un primer momento emanaba de la norma europea, se le ha dado un giro en el sentido de buscar la fidelidad de los usuarios en formato eslogan, que sin duda debe ir acompañado de acciones internas y reales de cumplimiento para poder conseguirlo.

Programas de Compliance: Evolución e impacto en las nuevas Estrategias de Sostenibilidad y Medio Ambiente

Tribuna de Elena Bradley, abogada de ECIJA, para The Law Clinic.

En la última década hemos vivido una tendencia a escala global, en donde las empresas han apostado por el desarrollo de estrategias de negocio basadas en buenas prácticas, que aquí en España han dado lugar a los conocidos programas de Compliance Penal[1], que, aún hoy, se diseñan e implementan en multitud de organizaciones.  A día de hoy, dicha tendencia se encuentra en plena evolución, estando en pleno estallido la implementación de Programas de Compliance de otras materias, como competencia, diversidad y/o medio ambiente.

Si bien al inicio del “Compliance Penal” en España se suscitó el debate de si dicha disciplina había llegado para quedarse, creo no equivocarme al afirmar que pocos, sino nadie, ponen ya en duda la importancia de la implementación de estos Programas en el seno de las empresas. Precisamente esta importancia se ha visto reforzada con la aparición de nuevos marcos normativos como, por ejemplo, la Directiva 2019/1937 de protección de los whistleblowers, directamente relacionada con unos de los elementos básicos de estos programas, los canales de denuncias. Por lo mismo, se han visto especialmente reforzados con la proyección de éstos sobre más ámbitos normativos.

No puede pasarse por alto que, en su día, las reformas del Código Penal español (2010 y 2015[2]) pusieron el foco en otras materias, más allá de la penal, al incluir dentro de los delitos imputables a la persona jurídica delitos como los relacionados con conductas de abuso de mercado o delitos contra el medio ambiente. Con la inclusión de estos tipos penales, las empresas, en especial aquellas con actividades estrechamente expuestas a esos tipos delictivos, se han visto sujetas a incluir en el diseño y desarrollo de sus Programa de Compliance Penal controles dirigidos a la mitigación de los riesgos no solo en la prevención de delitos, sino, también, en lo relativo a la prevención del régimen sancionador específico en los ámbitos normativos relacionados con dichas materias.

Resulta especialmente interesante resaltar la tendencia al desarrollo de Programas de Compliance en materia de sostenibilidad, economía circular y medio ambiente. La perspectiva de que estos programas estén experimentando cierto auge, se debe principalmente a tres cuestiones; (i) en primer lugar al aumento de la conciencia social, siendo cada vez más reprochables aquellas conductas que dañan el medio ambiente, (ii) directamente relacionado con la primera cuestión, la preocupación de las propias empresas por incurrir en un daño reputacional por conductas contra el medio ambiente, de hecho el informe publicado por el Instituto de auditores internos europeos ─Risk In Focus 2021─ resalta la importancia y preocupación creciente de las empresas en lo que a medio ambiente se refiere, ya que ante las evidencias del cambio climático los grandes inversores buscan oportunidades de negocio que pongan en valor estrategias sostenibles y (iii) finalmente a la ya mencionada proliferación de marcos normativos y novedades legislativas que aumentan las obligaciones de transparencia e implementación de políticas de medio ambiente, como la Ley 26/2007, de 23 de octubre, de Responsabilidad Medioambiental o la más reciente Ley 7/2021, de 20 de mayo, de Cambio Climático y Transición Ecológica, como respuesta a la obligaciones contraídas por España en el Acuerdo de París[3].

En relación con esta cuestión y dando un ejemplo con un acercamiento más práctico, cabe destacar la obligación de transparencia recogida en la  Ley 11/ 2018 de 28 de diciembre en Materia de Información No Financiera y Diversidad[4] que afecta directamente a las empresas (desde 2018 aquellas de más de 500 trabajadores y en 2021 aquellas de más de 250 trabajadores que cumplan ciertos requisitos), al estar obligadas a informar sobre sus políticas en materia social, de diversidad y sobre el respeto a los derechos humanos, de lucha contra la corrupción y de sostenibilidad, medioambiente, economía circular etc, teniendo en función de la actividad que se desarrolle mayor o menor relevancia algunos de los bloques.

Esta Ley 11/2018, que transpone la Directiva europea 2014/95/UE, tiene como objetivo identificar los riesgos para mejorar la sostenibilidad y aumentar la confianza de los inversores, consumidores y de la sociedad en general, mediante la transparencia y divulgación de información de las estrategias empresariales, que permitan a los stakeholders tomar decisiones informadas y acreditar la mayor diligencia posible.

En definitiva, coincidiendo con la cumbre internacional del cambio climático (COP26[5]), que comenzó este pasado 31 de octubre en Glasgow, con la participación de casi 200 países y que evidencia la importancia y preocupación política y social de todas cuestiones medioambientales, no parece aventurado afirmar que las obligaciones y normativas en este ámbito van a seguir aumentando y que las empresas, especialmente aquellas que de forma inherente a su actividad generen residuos o puedan tener impacto en el medio ambiente, deben estar preparadas e ir integrando, también, en sus Programas de Compliance sus propias estrategias sostenibles.

[1] Basados en la posible exención penal de la persona jurídica, art. 31 bis del Código Penal, en caso de incurrir en un delito imputable a una persona jurídica.

[2] Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

[3] Acuerdo dentro del marco de la Convención Marco de las Naciones Unidas sobre el Cambio Climático que establece medidas para la reducción de las emisiones de gases de efecto invernadero

[4] Transposición de la Directiva Europea 2014/95

[5] Las siglas COP en inglés se refieren a “Conference of the Parties”. La reunión —anual— de los casi 200 países que forman parte de la Convención Marco de las Naciones Unidas sobre el Cambio Climático.

La vídeo-peritación es una de las soluciones disruptivas para el sector de los seguros y aplica una  tecnología que ha permitido la transformación de muchos de los procesos de negocio del sector asegurador. Por ello, queremos analizar algunos de las implicaciones en materia de protección de datos que conlleva dicha actividad.

Por todos es conocido, que el sector Insurtech y Fintech son la causa de la creación de muchas Start-ups que basan su modelo de negocio en la tecnología. En concreto, queremos poner el foco en una actividad que lleva un tiempo en el mercado tecnológico y que, en los últimos años, está potenciando su implementación en el sector asegurador; la video-peritación.

En este sentido, nos centraremos en algunas de las implicaciones en materia de protección de datos que puede conllevar esta modalidad de servicio.

En primer lugar, indicar que la video-peritación consiste en llevar a cabo el proceso de negocio por el cual se realiza la valoración requerida, bien por un perito, o mediante Inteligencia Artificial, a través de medios telemáticos.

El sector asegurador, aplica esta tecnología principalmente en dos procesos de negocio. Por una parte, a la hora de suscribir un seguro, por ejemplo, de automóvil, y, por otra, en la tramitación de siniestros, en especial, para la valoración del siniestro.

Debemos poner de relieve que la video-peritación trae beneficios para las dos partes ya que a la aseguradora le ahorra los costes de desplazamiento de los peritos, y a los tomadores/asegurados, les evita adaptar sus horarios a las visitas del perito. Además, si tenemos en cuenta la empresa que provee a la aseguradora la tecnología necesaria para ejecutar esta actividad, serían tres partes las beneficiadas en el proceso de video-peritación.

¿Qué implicaciones tiene en materia de protección de datos?

Como es habitual en nuestro blog, señalamos el deber de informar, recogido en el artículo 13 del Reglamento (UE) 2016/679. (en adelante, “RGPD”), como pilar fundamental para llevar a cabo el tratamiento de datos personales en cuestión.

En especial, y en el caso de que sea aplique la Inteligencia Artificial a la video-peritación, debe atenderse a la obligación de informar sobre el posible tratamiento de datos personales para la elaboración de perfiles, informando al interesado, si procede, de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, de acuerdo con lo previsto en el artículo 22 del RGPD.

Es cierto que, para determinados tipos de seguros, el perfilado podría no hacerse sobre datos que identifiquen directamente al interesado. En este sentido, hacemos referencia a los seguros de hogar ya que los resultados de los cálculos para la determinación de la prima se basan en datos de la vivienda, y no de una persona física. No obstante, para otro tipo de productos, tanto financieros, como de seguros, sí se podrían elaborar perfiles y decisiones automatizadas sobre datos personales que identifican directamente a una persona física.

Por otra parte, debe tenerse en cuenta que durante el proceso se llevarían a cabo captaciones imágenes algo, que no supondría un gran inconveniente para ciertos seguros, como por ejemplo el de autos, puesto que en principio no se captarían imágenes de personas físicas sino del objeto asegurado; el vehículo. Aunque, teniendo en mente los principios de protección de datos desde el diseño y protección de datos por defecto, así como el principio de minimización del tratamiento, el desarrollo de estas herramientas supone establecer ciertas medidas.

En primer lugar, debe evitarse la captación de imágenes que no sean las estrictamente necesarias para la ejecución del proceso de negocio. Es importante trasladar ciertas instrucciones a los clientes sobre la captura de imágenes o grabaciones de video, de forma que evitemos obtener datos que no son necesarios para la finalidad perseguida y que provoquen una elevación del riesgo sobre el tratamiento.

Generalmente, esta tecnología lleva aparejada la geolocalización, puesto que la situación geográfica es una de las variantes que se tienen en cuenta a la hora de realizar los cálculos para la determinación de la prima correspondiente. Debemos tener en cuenta que la geolocalización, es un tratamiento que requerirá de un análisis especifico y una valoración sobre la base legitimadora de aplicación.

Asimismo, se deben establecer ciertas garantías contractuales entre las partes intervinientes. En consecuencia, es esencial formar a los peritos que puedan realizar una video-peritación en tiempo real, así como capturar imágenes para su valoración, incluyendo las medidas de seguridad adecuadas en sus dispositivos. Adicionalmente se deberán suscribir los contratos de confidencialidad y protección de datos pertinentes, máxime sí se tratan de peritos o gabinetes periciales independientes.

En cuanto a la relación con los proveedores de tecnología para la video-peritación, por lo general, tendrán la figura de encargados del tratamiento con respecto a las aseguradoras, y en cumplimiento del artículo 28 del RGPD, será necesario suscribir el acuerdo de encargo de tratamiento.

En lo referente a la elaboración de perfiles para la determinación de la prima en la suscripción del contrato  de seguro (perfilados con fines actuariales y análisis de mercados objetivos) sostiene su base legitimadora en la obligación legal establecida en diferentes artículo de la Ley  20/2015, de  14 de julio, de ordenación, supervisión  y solvencia de  las entidades aseguradoras y reaseguradoras, como por ejemplo, el artículo 66.5, que exige el desarrollo de una función actuarial efectiva o el artículo 94.1 en relación a la cotización de las tarifas, que indica que “deberán fundamentarse en bases técnicas y en información estadística elaborada de acuerdo con lo dispuesto en esta Ley y en sus normas de desarrollo.”  Y añade: “Deberán ser suficientes, según hipótesis actuariales razonables, para permitir a la entidad aseguradora satisfacer el conjunto de las obligaciones derivadas de los contratos de seguro y, en particular, constituir las provisiones técnicas adecuadas.”

Aunque la elaboración de perfiles en ciertos procesos de negocio de las aseguradoras, en este caso en la suscripción de seguros, pueda sustentar su base legitimadora en la legislación de aplicación, ello no supone que todos los tratamientos de datos personales que se puedan llevar a cabo a través de la video-peritación, puedan basarse en una habilitación legal, dado que la sensibilidad de los mismos, así como la tecnología aplicada, puede requerir el encaje en otras bases legitimadoras.

En conclusión, aunque a priori en determinados productos pueda no identificarse un tratamiento de datos personales de alto riesgo para los interesados, el proceso de video-peritación tiene múltiples aristas que deben ser analizadas en cada caso.

Vehículos inteligentes, conduciendo con nuestros datos

Tribuna de Javier Arnaiz, abogado de ECIJA, para The Law Clinic.

El incesante avance de los vehículos inteligentes o conectados plantea las mismas inquietudes legales que avances en la tecnología empleada.

Si hay algo que siempre se discute sobre cómo evolucionará la tecnología en 50 años, es el potencial avance en los vehículos de transporte. Vehículos voladores, conducción autónoma o tecnologías impensables son la base de mucha literatura y películas. La realidad es que, lejos de muchas de estas utopías, a día de hoy sí que se encuentran grandísimos avances en la tecnología empleada en los vehículos.

Si bien hablar de la innovación en los vehículos y del impacto legal en los mismos en un artículo de opinión puede resultar una materia demasiado amplia de cubrir, este artículo se va a ceñir en los puntos que más impacto tienen en los usuarios y ciudadanos (y en su privacidad), como pueden ser la geolocalización de los vehículos, la utilización de sistemas de tratamiento de información del vehículo y las cámaras a bordo.

Cuando se habla de geolocalización de los vehículos, los conductores plantean cuestiones que afectan directamente a su privacidad, como los usos de dicha geolocalización, la temporalidad o el contenido exacto de dicha información que aporta el vehículo.

La realidad es que la geolocalización no es un dato personal que sea considerado sensible por la normativa de protección de datos, aunque diferentes documentos sí que lo mencionan como un tratamiento con alto riesgo para la privacidad de los interesados.[1]

Para poder analizar este punto adecuadamente, hay que tener en cuenta que la geolocalización puede ser utilizada tanto para conductores individuales como para sistemas de gestión de flotas.

En ambos supuestos, cobra relevancia la finalidad del tratamiento, ya que, de cara a los usuarios, resulta fundamental que la información sea clara y transparente sobre todas las finalidades a realizar. Esta información sería altamente recomendable que fuera aportada dentro de los sistemas del vehículo, como puede ser en las pantallas a bordo donde el usuario pudiera ser consciente de la finalidad y límites de la geolocalización.

Con respecto a los usuarios, la geolocalización, debería estar basada en el consentimiento del conductor para poder activarla o no, a no ser que fuera necesaria para alguna funcionalidad del vehículo (como la asistencia remota) siendo en este caso, la geolocalización, necesaria para la ejecución de dicho servicio.

La geolocalización tiene un impacto mayor en la gestión de flotas, siendo este tratamiento en muchos casos fundamental para su gestión. Detección de malos usos, necesidad del cliente de identificar el uso hecho de la flota, localización de los vehículos para su recuperación, son algunos de los supuestos en los que la geolocalización sería necesaria para la ejecución de dicha relación (sin ser necesario un consentimiento), aunque incluso en este caso, la transparencia resulte fundamental de cara al conductor[2].

Aquí cobra especial relevancia si existen terceros implicados (como pudiera ser la compañía de renting de vehículos) ya que la relación y el tratamiento de los datos derivados de la geolocalización tiene que estar bien delimitado tanto contractualmente como de cara a los usuarios finales. De nuevo, la transparencia de cara al usuario, es fundamental.

Pero no solo se trata la geolocalización como información asociada al vehículo, la tecnología actual y los sistemas de los vehículos pueden recoger desde usos de este, estado de los neumáticas, revisiones realizadas, tipo de conducción realizada por el conductor…

Toda esta información, puede convertirse fácilmente en datos personales al ser asociada con el conductor para determinar por ejemplo un perfil de conducción o la personalización de diferentes elementos del vehículo en función del uso realizado.

De nuevo, estos usos tienen que estar vinculados con la información que se aporte al conductor y las finalidades de dicho tratamiento. La problemática, surge, en muchos casos, por la falta de transparencia de cara al usuario y la dificultad de acceso a dichos textos informativos.

Un apartado concreto serían las cámaras de los vehículos utilizadas para la prevención de accidentes[3] o involucradas en sistemas de aprendizaje e inteligencia artificial.

La cuestión principal de estos tratamientos puede venir por el uso de dichas cámaras y el impacto con la privacidad de los sujetos potencialmente grabados. En este sentido, la Agencia Española de Protección de Datos ya cubrió dicha cuestión en un informe del año 2015.[4] Posicionándose “favorablemente” a dichas cámaras, aunque con algunas cuestiones que debían ser implementadas (como por ejemplo, que las cámaras únicamente se encendieran en caso de siniestro).

No obstante, estas nuevas tecnologías de grabación pueden suponer nuevos retos ya que no solo están encendidas en el momento de los accidentes, sino que proceden a grabar de manera continua el recorrido del conductor.

En este sentido, ya ha habido en España diversas acciones relacionadas con el uso de información relativa a vehículos conectados para realizar estudios[5]. De nuevo, aquí la cuestión es determinar si estos tratamientos son transparentes de cara al conductor, y en todo caso, compatibles con la normativa de protección de datos (y una base legal válida).

Con respecto a los posibles usos de la información de los vehículos para proyectos relacionados con la Inteligencia Artificial, cabe hacer especial referencia a la propuesta de Reglamento Europeo sobre Inteligencia Artificial.[6] A modo de resumen, si bien parece que los sistemas de IA de un vehículo no estarían dentro de las prohibiciones absolutas, el artículo 6 sí que parece que pudiera incluirlas el uso de IA en sistemas de seguridad del vehículo (los sistemas de IA que conlleven el riesgo de causar un perjuicio a la salud y la seguridad).

La evolución normativa de los vehículos conectados es incesante, e incluso desde la parte técnica ya se aportan recomendaciones de seguridad[7] e incluso a nivel privado se ha promovido una suerte de estándar de seguridad específico[8].

Es por esto que la información disponible en los vehículos resulta muy amplia y puede ser explotada con diversas finalidades. El marco legal actual puede resultar suficiente para cubrir la tecnología reciente, pero sí que es cierto que futuros desarrollos tecnológicos pueden necesitar de una normativa ad hoc debido al mayor impacto no solo en la privacidad, sino en la seguridad de las personas.

__

[1] La AEPD en la lista de tratamientos que requieren una evaluación de impacto y que entraña probablemente un alto riesgo incluye tratamientos de geolocalización sistemáticos y exhaustivos.

[2] https://noticias.juridicas.com/actualidad/noticias/15608-el-supremo-avala-la-geolocalizacion-por-gps-de-trabajadores-en-vehiculos-de-empresa-si-hay-aviso-previo/

[3] https://www.expansion.com/economia/2020/10/14/5f85e6c7e5fdea380c8b459a.html

[4] https://www.aepd.es/sites/default/files/2019-12/2015-0456.pdf

[5] https://movilidadelectrica.com/barcelona-autonomous-ready-spain/

[6] https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0008.02/DOC_1&format=PDF

[7] https://www.enisa.europa.eu/publications/recommendations-for-the-security-of-cam/

[8] https://eurocybcar.com/en/

La OCDE, el Banco Mundial, el BID y el CIAT han elaborado un programa de asistencia a autoridades tributarias para facilitar la recaudación de IVA en operaciones de comercio electrónico

El Impuesto al Valor Agregado (IVA) es, en promedio, la mayor fuente de ingresos fiscales para los países de Latinoamérica y el Caribe (LAC)

El Kit de Herramientas de IVA Digital para Latinoamérica y el Caribe (LAC) proporciona orientaciones detalladas para la implementación exitosa de una estrategia integral en la aplicación del IVA al comercio electrónico. Ha sido diseñado para ayudar a los gobiernos en la importante tarea de obtener ingresos fiscales por concepto de IVA y también velar por la igualdad de condiciones entre negocios físicos tradicionales y proveedores en línea desde el extranjero.  El incremento del comercio electrónico posterior al inicio de la pandemia de COVID-19 acentuó la importancia de aplicar Impuesto al Valor Agregado (IVA) al comercio electrónico de una manera eficaz.

El IVA es, en promedio, la mayor fuente de ingresos fiscales en LAC. Los principales desafíos de los sistemas de IVA en materia comercio electrónico se relacionan con el fuerte crecimiento de las ventas de servicios y productos digitales a consumidores finales y con el crecimiento exponencial que han experimentado las ventas en línea de bienes de bajo valor de importación, normalmente por vendedores desde el extranjero, en las cuales el IVA no es recaudado eficazmente bajo las reglas existentes.

América Latina ha sido el mercado de comercio electrónico de más rápido crecimiento en el mundo, con ventas que el año pasado aumentaron un 36,7%, seguido por un 31,8% en América del Norte y un 29,1% en Europa Central y Oriental, según un estudio de e-Marketer.

El Kit de Herramientas provee orientaciones detalladas para lograr la implementación exitosa de una estrategia integral de IVA dirigida a todas las modalidades de comercio electrónico. Ha sido diseñado para ayudar a los gobiernos en la importante tarea de obtener ingresos fiscales por concepto de IVA y también asegurar la igualdad de condiciones entre proveedores en línea y comercios físicos tradicionales.

Este Kit de Herramientas lo ha desarrollado la OCDE en asociación con el Banco Mundial. Esta colaboración también comprende la futura entrega de ediciones para Asia Pacífico y África. El Centro Interamericano de Administraciones Tributarias (CIAT) y el Banco Interamericano de Desarrollo (BID) han hecho importantes contribuciones como socios regionales para Latinoamérica y el Caribe. Este trabajo es también parte de una estrategia más amplia de la OCDE para abordar los desafíos fiscales derivados de la digitalización de la economía.

La economía digital es uno de los pilares clave de la respuesta del BID para acelerar la recuperación económica de América Latina y el Caribe en la postpandemia. El Banco, la mayor fuente de financiamiento multilateral en la región, está trabajando en estrecha colaboración con sus países miembros prestatarios para modernizar y fortalecer sus instituciones a fin de aprovechar la economía digital para promover un desarrollo sostenible y equitativo.

_____________

 ECIJA Advisory

info@ecija.com

Los seguros colectivos y la protección de datos personales: ¿puedo ceder los datos de mis trabajadores?

Tribuna de Eduardo Martínez, abogado de ECIJA.

Desde la experiencia que los profesionales de ECIJA hemos podido adquirir por trabajar día a día con clientes del sector asegurador, hemos observado que hay una consulta que se viene repitiendo desde la entrada en vigor del RGPD.

Las empresas, colegios profesionales y organismos público, entre otros, suelen consultar cómo deben proceder a la hora de facilitar datos personales de sus empleados o colegiados a la compañía aseguradora con la que tienen suscrito una póliza colectiva.

Un gran número de estas entidades suelen considerar que las compañías aseguradoras tienen la condición de encargados del tratamiento, ya que son terceros que al prestar un “servicio” a la compañía, deben de acceder a datos personales de sus empleados. Asimismo, desde el sector asegurador se reciben múltiples solicitudes de firma de un acuerdo de encargo de tratamiento tras la firma de una póliza colectiva. Es más, en las propias licitaciones públicas y privadas se vienen incluyendo cláusulas de encargo de tratamiento en los propios pliegos y condiciones de la licitación.

Pero, lo cierto es que difícilmente la compañía aseguradora, puede ostentar la figura de un encargado del tratamiento en el marco de una póliza colectiva. Entonces, ¿puedo ceder los datos de los trabajadores a la compañía aseguradora?

Anteriormente a la aplicación del RGPD, la Agencia Española de Protección de Datos (AEPD) se ya se había pronunciado en diferentes ocasiones sobre las figuras que ostentan las compañías aseguradoras y los tomadores de pólizas colectivas. En este sentido, la AEPD consideraba que, dado que la empresa aseguradora realiza diversos tratamientos de los datos de los trabajadores asegurados, decidiendo el contenido, uso y finalidad de los mismos al establecer las condiciones generales y particulares de la póliza y las adhesiones individuales de los trabajadores, se concluye que estamos en un supuesto sometido a las normas reguladoras de la cesión de datos.

Cabe decir, que desde la aplicación del RGPD no había demasiadas publicaciones oficiales contemplando este supuesto, más allá de las propias guía y códigos de conducta del sector asegurador, entre otros UNESPA (Unión Española de Entidades Aseguradoras y Reaseguradoras).  Pero a través de la reciente Guía sobre protección de datos y relaciones laborales publicada en mayo de 2021 por la propia AEPD, ha convenido incluir este aspecto y lo cierto es, que aclara muchas dudas al respecto que nos gustaría resaltar.

En primer lugar, la AEPD aclara que el flujo de datos entre la compañía como tomador de una póliza colectiva y la compañía aseguradora, corresponde a una comunicación de datos personales.

Entonces, si es una cesión de datos ¿qué bases legitimadoras entran en juego?

Por una parte, la compañía aseguradora tiene una habilitación legal contemplada en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, comúnmente conocida como “LOSSEAR”.

En su artículo 99 establece que “Las entidades aseguradoras podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo”

En cuanto a la compañía tomadora de un seguro colectivo, la AEPD aclara que la base de legitimación podrá depender, al menos, de dos aspectos:

• Pacto entre empleador y la persona trabajadora por el que aquél se comprometa a esa contratación.
• La obligación que derive de un convenio colectivo, en cuyo caso, el consentimiento no es necesario para este tratamiento de datos

Ahora bien, al contemplar bases legitimadoras que puedan habilitar la comunicación de los datos a la compañía aseguradora, no podemos perder de vista el cumplimiento del deber de informar. Esto es, informar previamente al empleado de la cesión de sus datos personales a la entidad aseguradora con la finalidad claramente establecida y demás aspectos contemplados en la normativa en materia de protección de datos.

En segundo lugar, la guía también canaliza las distintas casuísticas en cuanto al flujo de datos entre sendos responsables del tratamiento. Pero algo a destacar, es la necesidad de establecer un “procedimiento para la captación y tratamiento de los datos personales”.

La recomendación de la mencionada autoridad de control, es que la compañía tomadora, facilite únicamente los datos de los asegurados, para que la aseguradora sea quien les contacte y establezca la relación directa entre asegurado-aseguradora, con las implicaciones en materia de protección de datos que esto conlleva.

No obstante, caben otras alternativas que si bien pueden ser “más garantistas” pueden conllevan al fin y al cabo una mínima comunicación de datos personales entre ambas entidades.

Por ejemplo, se podría poner a disposición de los empleados, que puedan beneficiarse de la póliza, unos formularios con datos de contacto de la aseguradora para que sea el propio empleado quien solicite la adhesión a la póliza colectiva. Pero como avanzábamos, seguramente sería necesaria una comunicación de datos entre la compañía aseguradora y la tomadora para que al menos, se pueda cotejar que efectivamente esa persona puede beneficiarse de la póliza colectiva.

Por último, queríamos resaltar un aspecto que realmente es útil para los responsables del tratamiento. Lo relativo al tratamiento de datos personales de personas relacionadas con el empleado, generalmente familiares, que pueden ser beneficiarios u optar de alguna forma a beneficiarse de la póliza contratada.

En este sentido, la AEPD recuerda que cuando la relación jurídica es formalizada por un afectado en beneficio de un tercero, el tratamiento de los datos de éste, que resulta necesario para la adecuada formalización de la mencionada relación, podría considerarse amparado por la legislación de protección de datos. Por lo que no sería necesario recabar el consentimiento de este beneficiario para el tratamiento de sus datos personales, en el marco de la formalización de una póliza.

En resumidas cuentas, las empresas que ostenten la figura del tomador de una póliza colectiva en la que sus empleados son asegurados, deberán en primer lugar, revisar en qué supuesto de los descritos se encuentran. Es decir, si la póliza colectiva se contrata derivado de  un Convenio Colectivo, a un pacto con el empleado etc. Asimismo, deberán revisar qué categorías de datos y mediante qué procedimiento se facilitan datos personales de los empleados a la aseguradora, siempre llevando el principio de minimización por bandera.  Y todo ello, con el estricto cumplimiento del deber de informar con respecto a estos empleados, en los términos descritos.

El ICO como impulsor del ecosistema emprendedor en España

En 2020 se lanzó la mayor convocatoria de Fond ICO Global tanto en importe (€430 millones) como en número de fondos en los que pudo invertir (16)

La decimotercera convocatoria que lanzó el año pasado AXIS, la sociedad de capital riesgo del Grupo ICO, fue la mayor desde la creación de Fond Ico Global y contribuyó significativamente a la recuperación y transformación de la economía española en torno a ejes estratégicos como la sostenibilidad, la digitalización y la innovación.

Los datos muestran que, mediante la colaboración público-privada, los 329 millones de euros invertidos por AXIS en 15 fondos, permitieron canalizar 1.220 millones de euros a empresas españolas en 2020. Así, podemos afirmar que Fond ICO Global tiene un papel protagonista como dinamizador del sector del capital riesgo en España y contribuye directamente a impulsar vías de financiación complementarias. Los fondos en los que participa Fond ICO Global realizan inversiones en empresas en todas sus fases de desarrollo, prestando especial atención a las inversiones en primeros estadios e innovación.

La diversificación en las vías de financiación supone que las compañías tengan un crecimiento más sólido y sean más competitivas. Por eso, la financiación de proyectos que combinan innovación y emprendimiento fue uno de los pilares de la anterior convocatoria y la base para asentar la recuperación económica y la creación de empleo. En este sentido, 9 de los 15 fondos que recibieron la inversión de Fond ICO Global el año pasado, se encuadraron en las categorías de incubación, transferencia tecnológica y venture capital.

En las trece convocatorias de Fond-ICO Global realizadas, se han seleccionado 108 fondos privados que habrán invertido hasta 8.892 millones euros en empresas españolas. Por su versatilidad, se ajusta a las necesidades del ecosistema emprendedor en cada momento, este instrumento se ha convertido para las gestoras de fondos en una de las principales alternativas a la hora conseguir financiación para constituir nuevos fondos.

La convocatoria que se espera para el verano de 2021, se estima que sea igual o incluso más ambiciosa que la anterior. El desempeño del ecosistema emprendedor y los fondos orientados a invertir en etapas tempranas en el último año ha sido notable y AXIS va a fomentar sin duda un mayor dinamismo y crecimiento del sector con su próxima convocatoria.

Artículo de ECIJA Advisory.

El canal de denuncias: un elemento esencial de la cultura de cumplimiento en España

Artículo de Marta Guzmán, abogada de ECIJA.

Se tiene la convicción de que las reformas del Código Penal de los años 2010 y 2015 introdujeron en España todas las medidas que hoy conocemos en materia de responsabilidad penal de la persona jurídica, como el Canal de Denuncias. Pero, lo cierto es que podemos encontrar referencias a la necesidad de implementar en las organizaciones herramientas o medios, que permitiesen a los empleados informar sobre posibles incumplimientos, anteriores a dichas reformas. Concretamente, la primera referencia data del año 2006, cuando la Comisión Nacional del Mercado de Valores, en su artículo 50 del Código de Bueno Gobierno de Sociedades Cotizadas, indicaba la necesidad de “establecer y supervisar un mecanismo que permita a los empleados comunicar, de forma confidencial y, si se considera apropiado, anónima las irregularidades de potencial trascendencia, especialmente financieras y contables, que se adviertan en el seno de la empresa”. Desde ese momento, la importancia y esencialidad de la implementación de canales de denuncias, no ha parado de crecer, de hecho, hoy en nuestra jurisdicción encontramos normas de gran calado que refieren dichos canales. Las más relevantes son la Circular 1/2016 de la Fiscalía General del Estado sobre la Responsabilidad Penal de las Personas Jurídicas y la reciente Directiva 2019/1937 relativa a la protección de las personas que informen sobre las infracciones del derecho de la unión.

Dentro de este marco jurídico, debemos hacernos la pregunta más evidente; ¿Cuál es el objetivo de un Canal de Denuncias? El objetivo de los Canales de Denuncias debiera ser el alcanzar una verdadera cultura ética en el seno de las organizaciones. Ello, mediante la puesta a disposición de los empleados, de una herramienta que les permita informar de cualquier mala práctica o vulneración de la normativa interna o de la legalidad vigente. Asimismo, y para que dicha herramienta sea puesta en valor y genere esa cultura de cumplimiento, debe ser promovida por parte de la organización, de tal forma que vaya calando en sus empleados la importancia de los valores y principios corporativos, rechazando cualquier actuación o situación que se encuentre fuera de estos valores y principios. Por lo que implementar en una compañía un Canal de Denuncias debe verse como un valor añadido frente a sus propios empleados y frente a terceros, evidenciando la intención de la misma de rechazar actuaciones fuera de lo establecido internamente.

En esta línea, la Circular 1/2016, aunque tiene un mero valor orientativo y no es de obligado cumplimiento, establece que el modelo de organización y gestión debe posibilitar la detección de cualquier conducta criminal que pudiera nacer en el seno la compañía. Recalcando la importancia de la existencia de un Canal de Denuncias de incumplimientos internos o de actividad ilícitas, considerando esta parte fundamental en un modelo de prevención.

Establecido lo anterior, otra pregunta que debemos hacernos es, ¿qué elementos precisa un Canal de Denuncias para ser efectivo y cumplir su objetivo? En este sentido, la Fiscalía pone de manifiesto la relevancia de regular y supervisar esta herramienta con la ayuda de un tercero ajeno a la organización, ofreciendo así mayor objetividad al tratamiento de las comunicaciones recibidas. Asimismo, resalta la importancia de establecer todas las garantías, para proteger específicamente a los denunciantes de buena fe, pudiendo garantizar la confidencialidad de las comunicaciones recibidas, sin que el denunciante pueda sentir riesgo a sufrir represalias por parte la compañía.

De esta forma, la organización da un paso al frente y se dota de un mecanismo de prevención y detección frente a las malas prácticas que puedan darse dentro de la misma. Dado que la Fiscalía del Estado concede especial valor al descubrimiento de los delitos por parte de la propia corporación, en caso de que la organización detectar motu proprio la comisión de un delito, se podrá solicitar la exención de la pena aparejada a la persona jurídica, al dejar patente la existencia de mecanismos efectivos de prevención, que han generado una cultura de cumplimiento normativa en la compañía.

Así las cosas, y en línea con la ya manifestada importancia de los Canales de Denuncia, debemos detenernos en la novedosa Directiva 2019/1937 o comúnmente conocida como Directiva Whistleblower, que nace para reforzar la aplicación del Derecho y de las políticas de la Unión. Por ello, establece normas mínimas para los Estados Miembros proporcionando principalmente protección a los denunciantes. Aún no se ha traspuesto dicha Directiva a nuestro ordenamiento jurídico, teniendo que hacerse antes de finalizar el año 2021. Ello supone novedades en materia de protección de los denunciantes.

Principalmente, la Directiva Whistleblower define su ámbito de actuación, teniendo incidencia tanto en el plano privado como en el público. Asimismo, protege tanto a los trabajadores de la organización como aquellos que comuniquen infracciones en el marco de una relación laboral ya finalizada. La nueva regulación va más allá y protege no solo al denunciante, sino a la figura del facilitador, entendiéndose como terceros que están relacionados con el denunciante y con aquellas entidades jurídicas implicadas. Es fundamental la oportunidad que se otorga a realizar la comunicación de modo anónimo.

Resulta esencial implementar los nuevos deberes de confidencialidad, entre los que se exige la no revelación de la identidad del denunciante sin el consentimiento expreso del mismo. Salvo que se trate de una obligación necesaria y proporcionada. En este mismo sentido, se enumeran medidas que pudieran tomar a modo de represalia contra los denunciantes, quedando todas ellas prohibidas de cualquier modo la ejecución de las mismas.

Otro de los aspectos fundamentales que se proponen en la nueva regulación es el seguimiento de la denuncia recibida a través de los canales habilitados para ello. Se puede destacar la novedad de informar al denunciante del acuse de recibo en un plazo de siete días a partir de la recepción de la denuncia. La comunicación se seguirá de modo diligente y dará respuesta a las mismas en un plazo razonable; que no podrá excederse tres meses desde el acuse de recibo. Para que el procedimiento cumpla con todas las garantías es necesario que la información sea clara y fácilmente accesible.

En definitiva, el canal de denuncias se evidencia como uno de los elementos esenciales de cualquier sistema de gestión de compliance. Se debe entender como una herramienta que, aporta valor añadido en la cultura ética de la compañía, de la que se pueden hacer valer sus empleados y que le permite conocer de pleno las actividades que se realizan en el seno de la misma. No hay que olvidar la importancia de la protección al denunciante, que como se ha venido manifestando en los últimos tiempos ha adquirido un papel de especial trascendencia. Desde ECIJA creemos que implementar un Canal de Denuncias da a conocer el compromiso con las buenas prácticas de cualquier compañía que cuente con este Canal, además de facilitar la gestión y comunicación con los miembros de la misma e incluso con otros terceros, otorgando así un alto valor añadido y un impacto reputacional positivo.

Cyborgs e IA: retos hacia una nueva realidad

¿Cuántas veces hemos escuchado la frase: “me estoy quedando sin batería”? Seguramente cientos, y no parece que haya nada de extraño en ella, pero ¿acaso nos pasa esto a nosotros o a los dispositivos que utilizamos a diario? Según Neil Harbisson, un artista cyborg, este pensamiento es una señal de la unión psicológica entre la tecnología y nosotros, empezando a perder la diferencia entre ambas cosas. En su caso, al ver todo en escala de grises desde su nacimiento esto le empujó a investigar sobre las frecuencias de colores y ahora tiene una antena implantada en su cabeza, que le hace escuchar esas frecuencias mediante un software, llegando incluso a distinguir los infrarrojos y ultravioleta. Todo ello lleva a la creación de los sentidos artificiales (no inteligencia artificial) como proyectos de futuro. Ahora bien, esto no está exento de dificultades a nivel de bioética, seguridad en caso de hackeo o la aceptación por la propia sociedad.

El desarrollo de IA es otro de los temas que pone en manos de los expertos un inmenso abanico de posibilidades y, al mismo tiempo, preocupaciones. Elon Musk, CEO de Tesla y SpaceX, defiende la postura de integrarnos con la inteligencia artificial para evitar que ésta nos supere en el futuro. Con ese objetivo está desarrollando el proyecto llamado Neuralink, con el que aspira lograr una mejora humana (transhumanismo) a largo plazo. Sin embargo, queda mucho recorrido todavía y por eso entre los objetivos a corto plazo está crear las interfaces cerebro-computadora para ayudar, entre otras cosas, a las personas incapacitadas físcamente a controlar teléfonos, ordenadores, prótesis robóticas y sintetizadores del habla, además de curar el autismo o la pérdida de memoria.

Habrá que esperar para ver si estos proyectos formarán parte de nuestras vidas o quizás simplemente se queden en la ciencia ficción, y no como ya están siendo, por ejemplo, las predicciones con IA en el campo de medicina a través del análisis de radiografías de rayos X para calcular la probabilidad de desarrollar una enfermedad.

Lo cierto es que vivimos en una época de cambios y transformaciones. De una forma u otra, todas estas iniciativas nos van a llevar a que se produzca un mayor desarrollo e impulso en campos como la salud, la medicina, la ciencia y la tecnología, llegando a evolucionar hasta tal punto en el que sea bastante difícil distinguirlos y separarlos. Todo ello sin dejar de tener en cuenta la repercusión que estos hechos tendrán más allá de lo puramente médico, ya que conllevarán cambios regulatorios, legislativos, éticos, de seguridad…

Olena Steblynska

Data Analyst ECIJA Advisory