El empleo del Big Data y la Inteligencia Artificial en los Consejos de Administración

El empleo del Big Data y la Inteligencia Artificial en los Consejos de Administración

Artículo de Teresa Vara, abogada de ECIJA.

El empleo de nuevas tecnologías como el Big Data y la Inteligencia Artificial es en la actualidad un elemento indispensable en el marco de la adopción de decisiones estratégicas y de negocio.

En particular, la utilización y aprovechamiento de estas posibilidades de gestión de datos masivos se ha convertido en un elemento esencial en el marco de la adopción de decisiones estratégicas en diversos sectores y, entre ellos, específicamente en el ámbito de las decisiones empresariales de negocio. Sin embargo, el uso de estas nuevas herramientas en la toma de decisiones por los órganos de administración de las sociedades plantea una serie de problemas/retos respecto a los deberes de actuación y al régimen de responsabilidad de los administradores.

En particular, desde el punto de vista del deber de diligencia de los administradores debe plantearse si los administradores de las sociedades, en cumplimiento de su deber de información (art. 225 de la Ley de sociedades de capital) están obligados a recabar la información en Big Data disponible y con la asistencia, en la medida de lo posible, de la Inteligencia Artificial. En este sentido, debe señalarse que los administradores, en cumplimiento del referido deber de diligencia, tienen el deber de exigir y el derecho de recabar de la sociedad la información adecuada y necesaria que le sirva para el cumplimiento de sus obligaciones y esta información, por tanto, debería incluir también la información obtenida empleando Big Data e Inteligencia Artificial, siempre que ello sea razonable y proporcional en relación con las decisiones que han de adoptarse y la capacidad de la empresa para invertir y acceder a estas nuevas tecnologías.

Por otro lado, en relación con la aplicación de la regla de protección de la discrecionalidad empresarial (art. 226 de la Ley de sociedades de capital) que establece que “el estándar de diligencia de un ordenado empresario se entenderá cumplido cuando el administrador haya actuado de buena fe, sin interés personal en el asunto objeto de decisión, con información suficiente y con arreglo a un procedimiento de decisión adecuado” cabe plantearse si, no recabar información en Big Data e Inteligencia Artificial aun estando ésta disponible, podría impedir que se aplique la regla de protección de la discrecionalidad empresarial al no actuar con “información suficiente”. En este sentido, siempre que en la adopción de decisiones estratégicas y de negocio los administradores hayan actuado disponiendo de información “suficiente” (junto al resto de requisitos o presupuestos), podrá entenderse que han cumplido con el estándar de diligencia exigible y, por tanto, que quedarán exonerados de responsabilidad por los daños que haya podido derivar de su actuación (aplicación de la regla de protección de la discrecionalidad empresarial). No obstante, podría entenderse que únicamente cuando el acceso a la información en Big Data e Inteligencia Artificial fuera determinante para la adopción de una concreta decisión y ello sea conocido para los administradores, podría considerarse que la actuación de los administradores sin haber recabado y tomado en consideración la información obtenida empleando las herramientas de Big Data e Inteligencia Artificial, no podría considerarse como actuación “con información suficiente” a efectos de aplicación de la referida regla de protección de la discrecionalidad empresarial.

En este punto cabe señalar también que los órganos de administración, cuando empleen el Big Data e Inteligencia Artificial en la toma de sus decisiones, deberán además adoptar las medidas de control y supervisión adecuadas para hacer frente a los riesgos que la utilización de estas tecnologías puede conllevar (veracidad de la información, protección de datos, ciberseguridad…) toda vez que no adoptar dichas medidas de protección y supervisión puede suponer también una infracción del deber de diligencia de los administradores.

En definitiva, sobre la base de que los órganos de administración de las sociedades no pueden ser ajenos al empleo de las nuevas fuentes de información y herramientas, sin embargo, deberá aplicarse el principio de proporcionalidad y tener en cuenta las circunstancias particulares de cada sociedad cuando el acceso a información empleando Big Data e Inteligencia Artificial sea determinante para la adopción de una concreta decisión estratégica y de negocio (o no pueda ser ignorado aplicando un mínimo de atención) y, en cualquier caso deberán adoptarse medidas de control y supervisión suficientes.

 

Cierre de oficinas bancarias y cajeros. ¿Cómo evitar el fin del dinero en efectivo?

Cierre de oficinas bancarias y cajeros:  ¿Cómo evitar el fin del dinero en efectivo?

Tribuna de Javier Carrascal, abogado de ECIJA, para The Law Clinic

  1. Introducción

Según los datos estadísticos del Banco de España[1], en 2015 el número de oficinas bancarias en España era de 31.087, mientras que, al término de 2021, esta cifra había descendido hasta las 19.104 oficinas, aproximadamente un 38,55% menos.

Pese a todo, según las estadísticas del Banco Central Europeo[2], los españoles seguimos eligiendo el dinero en efectivo como nuestro medio de pago favorito, de manera que en 2020 se estimó que el 83% de las operaciones de pago realizadas se ejecutaron en efectivo, frente a la media de la eurozona del 73%, representando éstas el 66% del valor total de las operaciones de pago realizadas frente al 48% de la eurozona.

Son muchas las razones por las cuales las personas eligen realizar pagos en efectivo. Por citar algunos ejemplos, algunas zonas de nuestra geografía carecen de una buena conexión a internet a través de la cual realizar pagos electrónicos con facilidad, mientras que en otros casos se realizan pagos a comercios que no disponen de una terminal de pagos virtual (TPV) o a beneficiarios que ni siquiera poseen una cuenta bancaria, caso que es especialmente frecuente entre menores. También, las personas pueden elegir el dinero en efectivo con la intención de salvaguardar su privacidad o por no estar acostumbradas al uso de las nuevas tecnologías (esta vez, el caso se da con mayor frecuencia entre la población envejecida).

  1. ¿Por qué los bancos están cerrando sus oficinas y cajeros?

A pesar de los datos arrojados por el Banco Central Europeo en su estudio arriba citado, el dinero físico y los servicios presenciales nunca habían sido tan dispensables. El sólo gesto de sacar nuestro smartphone del bolsillo nos permite abrir cuentas corrientes, contratar créditos o emitir pagos instantáneos, por mencionar sólo algunos ejemplos.

En otro tiempo, tal vez los bancos no habrían optado por el cierre de sus oficinas, sin embargo, existen dos factores que presionan a los bancos a soltar el lastre que supone el mantenimiento de estas instalaciones.

En primer lugar, la rentabilidad de los bancos de la eurozona se ha mantenido muy reducida en los últimos años como consecuencia de los bajos tipo de interés. Por otro lado, durante estos años han proliferado múltiples prestadores de servicios de pago nativo-digitales o fintechs, que no deben soportar los gastos que conlleva la estructura titánica de la banca tradicional, lo que les permite bajar sus precios hasta niveles que los consumidores no habían visto antes. En definitiva, los bancos tradicionales se jugarán sus actuales cuotas de mercado si no comienzan a emprender las reformas necesarias.

  1. Algunas medidas adoptadas para reducir el impacto de la limitación de acceso al dinero en efectivo

Por el lado de las administraciones públicas, y sin intención de analizar su efectividad o coste, se ha optado, principalmente, por las siguientes acciones:

  • Ayudas a entidades financieras para la instalación y mantenimiento de cajeros automáticos;
  • Instalación y mantenimiento de cajeros automáticos fijos por parte de la propia administración pública;
  • Instalación y mantenimiento de cajeros automáticos en autobuses que circulan por distintas localidades, por parte de la administración pública.

En cuanto a las entidades financieras, las medidas propuestas consisten principalmente en el mantenimiento de las oficinas y cajeros automáticos cuyo cierre causaría un mayor impacto, además de ampliar los horarios de atención al cliente.

  1. Otras alternativas para el acceso al efectivo basadas en la tecnología. El cashback y el cash in shop

El cashback consiste en que el cliente de un comercio minorista, tras haber adquirido un bien, solicite al comercio minorista (supermercados, gasolineras, etc.) que le facilite una determinada cantidad de dinero en efectivo.

El cashback no está regulado actualmente en la Unión Europea, dado que se excluye expresamente de las leyes de servicios de pago vigentes en los países miembros, armonizadas por la Directiva (UE) 2015/2366 («PSD2»), de 25 de noviembre de 2015.  Por tanto, cualquier empresa puede prestar este servicio con total libertad, ya que ni siquiera necesita estar registrada como entidad de pago, de tal manera que el cashback, a día de hoy, goza en España de una notable expansión.

El problema del cashback es que será necesario realizar una compra de forma previa a la retirada del efectivo, lo cual implica un gasto adicional y por tanto condiciona la libertad del individuo de recurrir a este servicio.

La posibilidad de retirar efectivo en comercios minoristas sin necesidad de adquirir un bien previamente es conocida como cash in shop, y en algunos países se está avanzando también en la desregularización de esta práctica. Por ejemplo, en el Reino Unido se ha propuesto la modificación de las Payment Services Regulations 2017 a fin de excluir el cash in shop de su ámbito de aplicación.

Por nuestra parte, la Unión Europea no parece estar valorando la liberalización de esta actividad, sin embargo, las leyes de servicios de pago vigentes en la Unión no prohíben el cash in shop, simplemente no lo excluyen de su ámbito de aplicación de forma expresa. Por ello, la concepción actual es que cash in shop podría llevarse a cabo siempre que se cumplan las obligaciones legalmente establecidas, tal y como se está empezando a hacer en algunos países de la Unión Europea, entre ellos, tímidamente, España, donde algunas entidades de pago ya están ofreciendo ese servicio.

Sin embargo, el Banco de España aún no se ha pronunciado sobre el cash in shop, cuestión ésta que aliviaría notablemente la incertidumbre de futuros inversores, acelerando la consolidación de estos servicios en nuestro entorno social, y especialmente en lo referente a si el cash in shop se subsume en el concepto de pago en efectivo, en cuyo caso quedaría también excluido del ámbito de aplicación de la PSD2, de forma que cualquier comercio minorista, sin ser entidad de pago, podría prestar este servicio.

  1. Conclusiones

Las medidas adoptadas para reducir el ritmo de cierre de oficinas y cajeros no han logrado invertir esta tendencia, si bien sí la ralentizan. No obstante, la tecnología actual pone a nuestra disposición métodos de acceso al dinero en efectivo que nos permitirían superar la necesidad de tener cerca de nosotros un cajero automático.

En este caso, las del cashback y cash in shop facilitan la multiplicación de los puntos de acceso al efectivo hasta niveles no vistos antes.

[1] http://www.bde.es/webbde/es/estadis/infoest/a0447.pdf.

[2] EUROPEAN CENTRAL BANK (2020), Study on the payment attitudes of consumers in the euro area.

Sobre la dificultad de celebrar Juntas Generales exclusivamente telemáticas en sociedades cotizadas

Sobre la dificultad de celebrar Juntas Generales exclusivamente telemáticas en sociedades cotizadas

Tribuna de Marina Torres, abogada de ECIJA

La situación extraordinaria derivada de la pandemia de COVID-19 en España en 2020 y 2021 determinó la adopción de un conjunto de medidas excepcionales y temporales dirigidas a facilitar el desarrollo de la actividad económica en un contexto de restricción a la libertad de movimientos por razones de interés público. Entre esas medidas se permitió que las juntas generales se celebrasen por vía exclusivamente telemática, es decir, excluyéndose la asistencia física de los socios y sus representantes (artículo 41.1.d) del Real Decreto-ley 8/2020, de 17 de marzo, de medidas urgentes extraordinarias para hacer frente al impacto económico y social del COVID-19 y artículo 3 del Real Decreto-Ley 34/2020, de 17 de noviembre), limitándose por tanto el derecho de asistencia de los socios a las juntas generales de las sociedades de capital.

A partir de la experiencia adquirida durante la pandemia, la Ley 5/2021 incorporó al texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julioLSC») la posibilidad de que, con carácter general y ya sin vinculación a circunstancias excepcionales, puedan celebrarse juntas generales exclusivamente telemáticas cuando ello esté expresamente previsto en los estatutos sociales (artículo 182 bis LSC). Ello se prevé con carácter general para todas las sociedades de capital, sean sociedades de responsabilidad limitada o sociedades anónimas, estas últimas tanto no cotizadas como cotizadas (artículo 521.3 LSC).

Esta tendencia ya había sido recogida en el Código de Buen Gobierno de las sociedades cotizadas reformado parcialmente por la CNMV en junio de 2020, que completó la Recomendación 7 del mismo, estableciendo que las sociedades cuenten con mecanismos que permitan la delegación y el ejercicio del voto por medios telemáticos e incluso, tratándose de sociedades de elevada capitalización y en la medida en que resulte proporcionado, la asistencia y participación activa en la Junta General.

Si bien la mayoría de las sociedades cotizadas han incorporado a sus estatutos en 2021 la posibilidad de celebrar juntas generales con asistencia telemática de los accionistas y sus representantes, así como juntas exclusivamente telemáticas, o lo van a hacer en sus juntas de 2022, lo cierto es que en la práctica se plantean numerosas dificultades para el cumplimiento de los requisitos establecidos en los artículos 182 bis y 521.3 LSC para la celebración de juntas exclusivamente telemáticas, que son más exigentes y técnicamente complejos que los previstos en la normativa excepcional aplicable en 2020 y 2021.

En este sentido, la LSC exige para celebrar juntas exclusivamente telemáticas que «todos los asistentes puedan participar efectivamente en la reunión mediante medios de comunicación a distancia apropiados, como audio o video, complementados con la posibilidad de mensajes escritos durante el transcurso de la junta, tanto para ejercitar en tiempo real los derechos de palabra, información, propuesta y voto que les correspondan, como para seguir las intervenciones de los demás asistentes por los medios indicado», debiendo los administradores «implementar las medidas necesarias con arreglo al estado de la técnica y a las circunstancias de la sociedad, especialmente el número de sus socios».

Dado que la convocatoria de la junta para su celebración de forma exclusivamente telemática impide que el socio pueda asistir físicamente, han de extremarse las medidas para facilitar que todos los socios puedan asistir por la única vía posible en ese caso, es decir, por medios de comunicación a distancia. De este modo, el órgano de administración ha de adoptar las medidas necesarias para garantizar que se ponen a disposición de todos los socios los mecanismos adecuados que les permitan asistir telemáticamente como si estuviesen físicamente presentes en la reunión. Adicionalmente, han de preverse también medios que permitan el envío y la recepción de mensajes en tiempo real (artículo 182 bis.3 LSC), una exigencia legal que sin embargo no se prevé en el supuesto de juntas «híbridas», es decir, con asistencia tanto física como telemática de los socios y sus representantes.

Precisamente porque los socios no tienen la alternativa de asistir físicamente, no se permite en el caso de las juntas exclusivamente telemáticas la restricción de los derechos de los socios que, en cambio, sí se admite en el supuesto de las juntas híbridas. En particular, mientras que el artículo 182 LSC permite que los administradores determinen que las intervenciones y propuestas de acuerdo que tengan intención de formular quienes vayan a asistir por medios telemáticos «se remitan a la sociedad con anterioridad al momento de la constitución de la junta», esta posibilidad no se admite en el caso de las juntas exclusivamente telemáticas en las que ha de posibilitarse al socio que pueda realizar sus intervenciones −incluyendo el ejercicio de su derecho de información durante la junta− y formular propuestas en tiempo real durante la celebración de la reunión (artículo 182 bis.3 LSC).

A su vez, los problemas técnicos que pueden plantearse durante la celebración de la reunión en relación con la conexión de los asistentes y su desconexión sobrevenida no voluntaria pueden afectar al propio desarrollo de la reunión y, eventualmente, también a la validez de los acuerdos que se adopten en la misma. En este sentido, las desconexiones sobrevenidas no deben asimilarse al abandono voluntario de la reunión. En este sentido, si a la Mesa le constase la imposibilidad transitoria de conexión por razones involuntarias de uno o varios de los asistentes, deberán realizarse los mejores esfuerzos para conseguir que la conexión se restablezca y todos los asistentes puedan seguir y participar en la reunión, pudiendo para ello proponer la prórroga de la reunión (artículo 195 LSC), todo ello para evitar que pueda considerarse como una privación del derecho del socio a asistir a la reunión que, en atención a las circunstancias del caso, pudiera permitir la impugnación de los acuerdos sociales.

En definitiva, en grandes sociedades con un elevado número de socios, y especialmente en las cotizadas, el cumplimiento de los requisitos establecidos legalmente para la válida celebración de una junta exclusivamente telemática plantea importantes problemas prácticos de tipo organizativo y operativo, con la consiguiente inseguridad jurídica que ello produce, razón por la que, junto con la ausencia hasta este momento de criterios judiciales en relación con la interpretación y aplicación del nuevo régimen legal, la mayor parte de las sociedades cotizadas están convocando sus juntas generales ordinarias de 2022 bajo la modalidad de junta híbrida.

Uso de tecnologías de reconocimiento facial de Clearview: de su prohibición en Italia a su despliegue en el conflicto ucraniano

Uso de tecnologías de reconocimiento facial de Clearview: de su prohibición en Italia a su despliegue en el conflicto ucraniano

Tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.

La controvertida startup estadounidense Clearview acumula sanciones en materia de privacidad en numerosos países mientras defiende su modelo de negocio y ofrece su uso de manera gratuita al gobierno de Zelenski. A continuación, analizamos su tecnología e implicaciones

Los usuarios estamos cada vez más acostumbrados al uso de tecnologías de reconocimiento facial en nuestro día a día, desde para desbloquear el teléfono hasta en el marco del proceso de control de pasaportes en los aeropuertos. Ello, unido a la creciente exposición en Internet de nuestra información, supone que surjan empresas que traten nuestros datos personales más allá de nuestras expectativas.

Un ejemplo claro es el de Clearview AI, una startup estadounidense de reconocimiento facial, que desde su creación en 2017 ha ido acumulando sanciones en materia de protección de datos en distintos países, desde Australia, a Canadá y, recientemente, Italia.

Desde su creación Clearview ha utilizado técnicas de web scraping para obtener imágenes faciales disponibles en Internet, gracias a lo cual ha llegado a construir una base de datos que ellos mismos cifran en alrededor de 10.000 millones de imágenes faciales. Estas imágenes las obtienen de perfiles abiertos en redes sociales como Facebook, Twitter, LinkedIn o Instagram, medios de comunicación, webs públicas e incluso de plataformas de vídeo como YouTube.

A partir de esta base de datos, Clearview ofrece a sus clientes un motor de búsqueda por reconocimiento facial. De esta forma, una empresa usuaria de su plataforma puede subir una foto de un individuo, que será tratada por la Clearview para obtener el patrón biométrico del individuo, y posteriormente comparar este con la base de imágenes obtenidas de Internet mediante un proceso de verificación 1 a N (uno a muchos). La empresa usuaria recibe como respuesta un listado de las coincidencias detectadas, acompañado de enlaces para acceder a la página donde las imágenes se encuentran publicadas, así como metadatos asociados que hubiera disponibles. Por ejemplo: el título de la imagen o página web, la geolocalización, el sexo o la fecha de nacimiento).

Aunque la compañía inicialmente comercializaba sus servicios a organismos policiales de todo el mundo (se calcula que alrededor de 1.800, entre los que destaca, por ejemplo, el FBI), ha ampliado su mercado y en la actualidad entidades privadas, tales como Walmart o Macy’s, se listan entre sus clientes.

A diferencia de otras herramientas de búsqueda a las que argumentan que se asimilan, como puede ser Google, el cotejo realizado por Clearview no es respecto a imágenes disponibles en Internet en el momento de la consulta, sino que se realiza respecto a su propia base de datos que alimenta progresivamente. De esta forma, Clearview conserva las imágenes faciales extraídas y las URL correspondientes incluso después de que la URL original de la imagen en línea o de la página web correspondiente haya sido eliminada. Esto supone, por ejemplo, que en el caso de un individuo que hubiera publicado una foto en su perfil público de Instagram, y que posteriormente borrara la foto o hiciera su perfil privado, la misma se mantendría almacenada en las bases de Clearview.

El modelo de negocio de Clearview ha sido analizado por numerosas autoridades de control en materia de protección de datos, tales como la francesa (CNIL), la británica (ICO, actualmente con un procedimiento sancionador abierto con una sanción potencial de 17 millones de libras), la australiana (OAIC), la sueca o la autoridad competente de Hamburgo. Encontrándose deficiencias en relación con el cumplimiento de sus respectivas normativas de aplicación en protección de los datos personales y la privacidad de sus ciudadanos.

Por ser la más reciente, y por la cuantía fijada como sanción, reviste especial relevancia el análisis realizado por la autoridad italiana, el Garante per la Protezione dei Dati Personali (en adelante, el “Garante”) en su Resolución contra Clearview AI de 10 de febrero de 2022.

Antes de profundizar en el detalle de los incumplimientos detectados, es interesante comentar la interpretación realizada por el Garante de la aplicabilidad del RGPD a Clearview, y su consiguiente competencia para sancionar a la entidad. Así, conforme Clearview alegó, la empresa no cuenta con establecimientos en la Unión Europea, y desde que en 2020 despertara las suspicacias de los reguladores y se le impusieran las primeras sanciones, Clearview no oferta sus servicios a clientes europeos, habiendo incluso adoptado medidas técnicas para evitar el acceso a su plataforma desde IPs europeas.

En este punto el Garante se acoge al denominado criterio de selección de destinatarios (art. 3.2 RGPD) para concluir que la actividad de Clearview se encuentra dentro del ámbito territorial del Reglamento General de Protección de Datos (RGPD). En primer lugar, considera que Clearview sí que ofrece sus servicios a interesados en la UE (art. 3.2.a) RGPD), ya que hasta 2020 existieron cuentas de prueba de agencias gubernamentales europeas, y en su propia política de privacidad hasta el inicio del procedimiento sancionador Clearview incluía información dirigida a ciudadanos europeos (información sobre transferencias de datos fuera del Espacio Económico Europeo, o sobre la posibilidad de interponer reclamaciones ante las autoridades europeas de protección de datos). En segundo lugar, conforme a la interpretación del Garante, Clearview realiza un control del comportamiento de personas en la UE (art. 3.2.b) RGPD), teniendo en cuenta que las imágenes faciales que almacena se enriquecen a lo largo del tiempo, reflejando los cambios físicos de una misma persona, y sobre todo considerando que la finalidad del tratamiento de datos realizado por Clearview es la de comparar, evaluando aspectos personales relativos a una persona física.

En consecuencia, el Garante concluye que Clearview lleva a cabo un tratamiento sometido al RGPD, lo que supone que esta autoridad tiene competencia para sancionar a la compañía.

Una vez solventada la problemática de la jurisdicción, el Garante aclara que, al contrario de lo defendido por Clearview y de conformidad por lo ya alegado por el Supervisor Europeo de Protección de Datos[1], la compañía actúa en todo caso como responsable del tratamiento, y no como encargado de tratamiento, ya que decide de forma autónoma sobre los fines y los medios del tratamiento.

Tras analizar el modelo de Clearview, el Garante detecta los siguientes incumplimientos de la normativa de protección de datos europea:

  • Principio de lealtad y transparencia (art. 5.1.a) RGPD): las personas no son conscientes ni esperan que sus imágenes sean tratadas en el contexto del servicio provisto por Clearview, ni están informadas de sus actividades.
  • Principio de limitación de la finalidad (art. 5.1.b) RGPD): el posible carácter público (accesible) de las imágenes faciales no es suficiente para considerar que las personas puedan esperar razonablemente que se utilicen con fines de reconocimiento facial, además por parte de una plataforma privada, no establecida en la UE y de cuya existencia y actividad la mayoría de los interesados no son conscientes.
  • Principio de limitación del plazo de conservación (art. 5.1.e) RGPD): Clearview conserva la información en su base de datos de manera indefinida, procediendo a su borrado únicamente a petición expresa del interesado.
  • Principio de licitud (arts. 6 y 9 RGPD): la compañía no cuenta con ninguna base de legitimación en la que amparar el tratamiento. Adicionalmente, son objeto de tratamiento datos biométricos que identifican de manera unívoca a una persona, y, por lo tanto, datos de categoría especial, sin que aplique ninguna de las circunstancias previstas en el art. 9 RGPD que permiten su tratamiento.
  • Asimismo, se identifican deficiencias en la gestión de ejercicios de derechos, y se sanciona la falta de representante de Clearview en la Unión Europea, al no contar con establecimiento en el territorio.

Lo anterior resultó en la imposición por parte del Garante de una multa pecuniaria de 20 millones de euros, y la prohibición del tratamiento de datos de interesados en territorio italiano por parte de Clearview. Ello implica tanto que no se sigan tratando los datos existentes en la base de datos de Clearview, como la no recogida de imágenes y metadatos conexos relativos a personas que se encuentren en el territorio italiano.

A pesar de que el uso de esta polémica tecnología de reconocimiento facial está siendo perseguida en los países con normativas más robustas en materia de protección de datos, habiéndose detectado importantes riesgos para la privacidad y protección de datos, la realidad es que la entidad sigue creciendo, atrayendo numerosos y potentes inversores, y su uso se generaliza por los organismos policiales de algunos territorios.

Recientemente, en el contexto de la guerra en Ucrania, Clearview ha ofrecido el uso de su plataforma de manera gratuita al gobierno ucraniano. Las finalidades para las cuales el gobierno de Zelenski usará esta tecnología no son conocidas todavía, pero pueden abarcar desde fines menos peligrosos, como la identificación de fallecidos o reunir a familias de refugiados, a fines más controvertidos como la identificación de ciudadanos rusos. Contando Clearview con 2.000 millones de imágenes faciales obtenidas de la red social rusa VKontakte.

Tecnologías como la de Clearview pueden crearse con las mejores intenciones, pero teniendo en cuenta los riesgos para la privacidad y protección de datos que plantean, requieren de un marco legal definido y eficaz a nivel global del que en la actualidad se carece. Mientras tanto, los ciudadanos europeos podemos beneficiarnos del marco regulatorio más protector del derecho fundamental a la protección de datos, el cual gracias a sus mecanismos de aplicación extraterritorial puede mitigar los riesgos como los planteados por tecnologías como la de Clearview en el marco de la Unión.

[1] https://edps.europa.eu/system/files/2022-01/21-03-29_edps_opinion_2020-0372.pdf

Identificación previa para el registro en redes sociales: ¿fin del anonimato en internet?

Identificación previa para el registro en redes sociales: ¿fin del anonimato en internet?

Tribuna de Rubén Lahiguera, abogado de ECIJA, para The Law Clinic.

Todo son ventajas en Internet. O, al menos, eso parece. Acceso a información ilimitada, a recursos inimaginables. La fuente inagotable de contenido, pero también el altavoz más potente que existe, donde siempre importa lo que uno pueda decir o pensar…y donde, en consecuencia, encontraremos una (o más de una) respuesta, aunque no sea siempre de nuestro agrado.

 

En particular, las redes sociales han conseguido, entre otras cosas, modificar nuestra forma de relacionarnos, dar voz a multitud de personas y, además, generar ingentes cantidades de beneficios. Todo ello a cambio de un simple requisito: el registro del usuario a través de una cuenta o perfil. Como norma general, dicho registro se configura como gratuito, facilitando la popularidad de estos medios en Internet, lo cual los ha convertido en un catalizador de importantes movimientos sociales, culturales y, sobre todo, políticos.

En este sentido, han proliferado ciertas conductas en estas plataformas que pueden considerarse, como mínimo, reprochables en una sociedad democrática: descalificativos, insultos, humillaciones y, en muchos casos, verdaderas amenazas y agresiones verbales, por no hablar de conductas de suplantación de identidad a través de las conocidas como cuentas fake o cuentas falsas, gracias al fácil acceso de los usuarios a la imagen de terceros y otros datos personales (la denominada por algunos como “huella digital”).

A fin de combatir esta lacra, ha sido registrada en el Senado una Proposición de Ley con el objetivo de modificar la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y del comercio electrónico (“LSSI”), que contiene algunas de las propuestas que se detallan a continuación.

Deber de identificación

Esta Proposición obligaría a determinados prestadores de servicios a identificar a cada uno de los perfiles y cuentas de usuario, mediante el Documento Nacional de Identidad o el Pasaporte. Sin embargo, en el texto no se especifica el alcance de esta labor de identificación ni si dichos datos identificativos constarán accesibles al resto de usuarios de la plataforma correspondiente. Esta cuestión es esencial para determinar el impacto para la privacidad en los usuarios de dichas plataformas. De este modo, atendiendo al fin último de la proposición, esto es, identificar y, por tanto, poder atribuir a un sujeto concreto una conducta típica, atajando la impunidad en Internet, parecería suficiente con que, únicamente, la plataforma correspondiente llevara a cabo dicha identificación internamente sin su divulgación a terceros.

En este sentido, las técnicas de seudonimización se configurarían como idóneas para dar cumplimiento a la normativa sobre protección de datos, de modo que la información adicional que pudiera permitir una posible reidentificación fuese accesible, exclusivamente, con ocasión de la comisión de conductas ilícitas, sin perjuicio de que, para dotar de mayor seguridad a esta iniciativa, las conductas que pudieran activar este proceso fueran, necesariamente, objeto de mayor concreción.

Responsabilidad de los prestadores de servicios de almacenamiento de datos

El artículo 16 de la LSSI dispone ciertos supuestos de exención de responsabilidad de los prestadores de servicios de almacenamiento de datos fundamentados en el conocimiento efectivo de las actividades ilícitas y en la diligencia debida en su retirada o denegación de acceso cuando hubieran tenido conocimiento de aquellas. Sin embargo, con esta Proposición, se añaden ciertas circunstancias en las que no operará esta exención. A saber:

 

a) cuando la plataforma no disponga de la identificación del individuo que almacena los datos; o

 

b) cuando no disponga de los medios tecnológicos adecuados para identificar a dicho individuo.

Desde la perspectiva de privacidad, estos requisitos se sumarían a los que estos prestadores deben observar para dar cumplimiento a las obligaciones de protección de datos desde el diseño y por defecto, así como las relativos a la seguridad del tratamiento de datos personales.

 

Régimen sancionador

De acuerdo con la citada Proposición, la falta de identificación de los sujetos, según lo dispuesto anteriormente, está calificada como una infracción muy grave, la cual puede acarrear, según lo dispuesto en el artículo 39 de la LSSI, multas de hasta 600.001 €.

Sin duda, se trata de una calificación con un claro objetivo disuasorio, sin perjuicio de las dudas sobre la proporcionalidad en esta calificación, considerando el resto de las conductas tipificadas como infracción.

Conclusiones

Con la incorporación de esta obligación para los proveedores de servicios de almacenamiento se produciría, indudablemente, un tratamiento de datos personales por parte de estos derivado de la obligación a la que se encontrarían sujetos si la Proposición es aprobada finalmente. Sin embargo, contrariamente al impacto mediático de esta iniciativa, no parece llevarse a cabo un tratamiento de datos personales de naturaleza sensible, esto es, referidos a categoría especiales de datos (orientación sexual, salud, afiliación política o creencia religiosa, etc.) o relativos a infracciones penales.

Cuestión distinta es que la medida pueda considerarse desproporcionada atendiendo al principio de minimización de datos, siempre que existan métodos alternativos que supongan alcanzar la misma finalidad (poder atribuir una conducta concreta a un usuario) tratando menos datos personales.

Algunas voces consideran que esta medida supondría el fin del anonimato en internet, el cual, en algunos casos, se ha configurado como un verdadero derecho en la era digital, quizás confundido con el derecho de la protección de datos personales y, concretamente, a no verse sometido a tratamientos indeseados (tradicionalmente relacionados con el marketing directo)

Por su parte, muchas otras entidades del sector digital, sin embargo, incorporan ya este tratamiento para combatir el fraude y otras prácticas indeseadas, implementando las medidas de necesarias para garantizar la seguridad de los datos personales. Aplicaciones relacionadas con el sector financiero, de transporte colaborativo, e incluso del sector sanitario, solicitan el DNI como método de verificación del usuario en sus procesos de registro.

En definitiva, ante las numerosas dudas que despierta esta Proposición, cabe preguntarse, por una parte, ¿cuáles serán las consecuencias prácticas para el usuario declarado infractor de cualquier conducta delictiva, más allá de las propias en vía jurisdiccional? ¿se limitaría indefinidamente el acceso a redes sociales? Y por otra, ¿supone esta medida una colisión con el derecho a la libertad de expresión? ¿y con el derecho a la protección de datos? O incluso ¿la ausencia de anonimato constituye un límite a la libertad de expresión? Legisladores, hagan juego.

Compliance, el delito de estafa y el deber de autoprotección de las personas jurídicas

Compliance, el delito de estafa y el deber de autoprotección de las personas jurídicas

Tribuna de Valvanera Campos, abogada de ECIJA

Recién inaugurado el año 2022 es  público y notorio las ventajas que aporta la implantación de un programa de compliance a la hora de delimitar la responsabilidad a las personas jurídicas. Por tanto, no es baladí ni reiterativo recordar su importancia en aras de evitar lo que se denomina como la “autopuesta en peligro” de las empresas en los casos en los que se permite o se llega a pasar por alto ciertos mecanismos de control escudándose en la confianza depositada en sus empleados.

 

La reciente Sentencia del Tribunal Supremo nº 904/2021, de 24 de Noviembre de 2021, nos viene a recordar como las mercantiles perjudicadas no pierden su carácter de víctimas pese a la falta de implantación de mecanismos de compliance en su organización. Si bien el compliance se presenta como un programa de cumplimiento voluntario, únicamente tendente a favorecer a la propia empresa, el incumplimiento o dejación de sus deberes de autoprotección puede llegar a jugar en contra de la mercantil y desplazar la culpa de los ilícitos penales que se cometan por sus empleados en el seno de su organización.

En el supuesto de hecho de la sentencia citada, nos encontramos, principalmente, con la comisión de un delito continuado de estafa por una trabajadora de dos empresas, quien, aprovechándose de sus visitas periódicas a sucursales bancarias en el Banco Santander y Caixabank, y valiéndose de la confianza adquirida con los empleados, solicitaba la entrega de talonarios de cheques, a pesar de no ser la titular de las cuentas ni tener autorización. Obtenidos de esta forma, procedía a manipular los registros contables de la sociedad, llegando a defraudar una cantidad de más de un millón de euros durante los diez años que se tardó en detectar la dinámica fraudulenta.

Antes de proceder a un análisis más exhaustivo, adelantar que las entidades bancarias también han sido condenadas como responsables civiles subsidiarias por la actuación negligente de sus empleados al incumplir los mínimos de verificación impuestos en su normativa interna.

La principal cuestión jurídica sobre la que se quiere incidir la encontramos en el primer motivo del recurso de casación planteado por la defensa de la acusada: ¿la falta de este deber de autoprotección de las empresas puede llevar a no apreciar los elementos del tipo del delito de estafa? Depende.

No es la primera vez que se plantea, tanto por la doctrina como por sentencias anteriores, si es posible hablar de “engaño bastante[1]”, elemento del tipo necesario en todo delito de estafa, en los casos en los que podría haberse evitado con una actuación diligente por parte de la víctima (en este caso sería advirtiendo las falsedades asentadas en la contabilidad, al estar las cuentas a su alcance y los cargos injustificados podían consultarse en la cuenta bancaria de la que tenían permanente acceso).

El engaño, en principio, podría ser considerado como “bastante” cuando es capaz de vencer los mecanismos de autoprotección que le son exigibles a la víctima, pero ¿y si no existen esos mecanismos de autoprotección?.

En STS nº1024/2007 de 30 de Noviembre 2007 se establece que “en aquellos casos en los que la propia indolencia y un sentido de la credulidad no merecedor de tutela penal hayan estado en el origen del acto dispositivo, es entendible que se niegue el juicio de tipicidad que define el delito de estafa”.

En consecuencia, en estos juicios de idoneidad es indudable la importancia que tiene el principio de autorresponsabilidad como delimitador de la idoneidad típica del engaño en el delito de estafa, debiéndose entender que una “confianza plena” o un “cheque en blanco” a favor de sus empleados desvirtúan el elemento del tipo objetivo del delito de estafa.

Me atrevo a afirmar que, si bien debe analizarse caso por caso, los delitos de estafa cometidos en el seno de la empresa no pueden quedar impunes escudándose en un abuso de confianza o falta de implantación del compliance en la empresa perjudicada. Así lo declara el Tribunal Supremo:

una cosa es que las empresas estén hoy en día adoptando e implementando programas de compliance, cada vez en mayor medida por la alta especialización de profesionales que lo están trasladando al sector empresarial a fin de evitar fraude interno -como aquí ha ocurrido- y externo con estos mecanismos de vigilancia, y otra bien distinta es que sea el autor de un delito de estafa quien marque los parámetros y medidas que debe adoptar la empresa para protegerse, y que si no se hace en una elevada graduación de autotutela quedará exonerado el autor del ilícito penal, lo que, obviamente, no puede admitirse”(…)

Si bien esto debe ser matizado. El delito de estafa no incluye como requisito típico otras exigencias de autoprotección adicionales de las que están implícitas en la expresión “engaño bastante”. Es decir, este engaño debe ser adecuado y no permitido tácitamente por la empresa para desplegar el error en el tercero, no bastando una simple negligencia en la organización de la empresa para descartar el delito de estafa. En este caso, así fue, el perjuicio patrimonial se produjo y por la complejidad de la operativa únicamente pudo detectarse el fraude mediante una auditoría externa. Por lo tanto, no hubo negligencia grave o permitida, desestimándose el motivo de casación de la defensa en aras de desvirtuar el delito de estafa.

 

Por lo tanto, la propia inexistencia de una medida de «autoprotección» de la empresa con el programa de cumplimiento normativo, no puede entenderse más allá que un propio error interno de la empresa que solo puede favorecerle, no perjudicarle de manera directa, y por tanto, debe quedar claro que, que haya tenido más o menos facilidad para eludir los mínimos o mayores controles internos, no reduce el quantum de la estafa ni mucho menos puede desplazar su autoría.

En este sentido, encontramos sentencias[2] del Alto Tribunal  recordando que “un robo sigue siendo un robo aunque la víctima se haya comportado despreocupadamente con sus cosas”. Sin embargo, esta declaración no debe tomarse en términos absolutos especialmente en el caso de las personas jurídicas, y debe invitar a la reflexión respecto al alcance del deber de autorresponsabilidad, especialmente en aquellas que no cuenten con un programa de compliance.

[1] STS 1276/2006 de 20 de Diciembre de 2006 define el engaño bastante como: “Se añade que el engaño sea bastante para producir error en el otro (STS 29.5.2002) es decir que sea capaz en un doble sentido: primero para traspasar lo ilícito civil y penetrar en la ilicitud penal, y en segundo lugar, que sea idóneo, relevante y adecuado para producir el error que genera el fraude, no bastando un error burdo, fantástico o inaccedible, incapaz de mover la voluntad de las personas (…)”

[2] STS 162/2012, de 15 de marzo y 243/2012 de 30 de Marzo.

Validez de la firma electrónica

Validez de la firma electrónica

Tribuna de Lara Puyol, abogada de ECIJA

Actualmente las operaciones o contrataciones a distancia forman parte de nuestro día a día, tanto desde el punto de vista laboral (si eres empleado o empresa), como desde el punto de vista de contratación de productos o servicios con entidades bancarias, aseguradoras, etc. En este sentido, es evidente que estamos cada vez más acostumbrados a gestionar este tipo de operaciones a través de medios electrónicos o desde entornos on-line.

La firma electrónica es, hoy en día, un instrumento fundamental mediante el que las organizaciones y ciudadanos llevan a cabo multitud de operaciones, pero ¿tiene la misma validez cualquier tipo de firma plasmada en formato electrónico? ¿Cómo debe ser una firma electrónica para que surta plenos efectos jurídicos sobre el documento que se está firmando? ¿Qué dice nuestra normativa al respecto?

Algunas sentencias relevantes    

Recientemente, hemos conocido casos en los que se evaluaba la validez de la firma presentada en el marco de distintas operaciones y que sirven de referencia para conocer cuáles son las cuestiones que se están planteando ante los tribunales.

Falta de pruebas que acrediten la firma electrónica

En enero de 2021 conocimos una sentencia en la que la Audiencia Provincial de Lleida revocaba la sentencia de primera instancia y absolvía a la demandada del pago de la cantidad reclamada por no poder probar (por la entidad crediticia) que la firma que consta en el contrato es efectivamente de la demandada. Cabe recordar que, de acuerdo con el artículo 326. 2 de la Ley de Enjuiciamiento Civil, cuando se impugnare la autenticidad de un documento privado, el que lo haya presentado puede pedir cualquier medio de prueba que resulte útil y pertinente al efecto.

Pues bien, el sistema utilizado para llevar a cabo la firma  (DocuSign) resultó no ser suficiente para acreditar que el firmante es quien dice ser. En concreto, dicho sistema consistía en el envío de los documentos objeto de firma por correo electrónico a su destinatario para que este los firme y devuelva, electrónicamente, el documento firmado. El aspecto clave en este caso es la ausencia de autenticación del firmante puesto que, queda acreditado que el sistema no utiliza medios de autenticación reforzada del firmante y, por tanto, en ningún momento se comprueba que quien recibió el correo para la firma del documento y quien lo envía con posterioridad firmado, es efectivamente la misma persona.

La sentencia concluye que estamos ante un simple documento privado cuya firma  enviada por medios electrónicos no había podido ser acreditada ni constatada por quién la impugnó por ausencia de pruebas en la autenticación del firmante que constatasen que la firma realizada corresponde a la persona que efectivamente debía firmar.

SAP L 54/2021 – ECLI:ES:APL:2021:54

Uso de certificado cualificado de firma en un documento que es escaneado

Por su parte, una Sentencia del Tribunal de Justicia de mayo de 2020, declaró inadmisible la presentación de un recurso por falta de firma manuscrita.  Y es que, según declaró este Tribunal, las firmas que aportaban los abogados en el documento (se trataba de una demanda), que tenían apariencia de firma manuscrita, indicaban en el propio documento en papel “Firmadas digitalmente por [ Nombre del Abogado]”. En este caso, el documento original objeto de firma se entregaba en soporte papel y los abogados que firmaron la demanda lo hicieron con sus certificados electrónicos imprimiendo los documentos para su entrega.

El Tribunal de Justicia declaró que los datos relativos a esas firmas eran meras menciones impresas, por lo que no cabía considerar que las mismas supusieran una firma electrónica cualificada como alegó la parte recurrida, puesto que la demanda no se presentaba por medios electrónicos. Reforzando el argumento de Tribunal este concluyó que, aunque las firmas tenían apariencia de ser firmas manuscritas e incluían la fecha y hora del momento de la misma (de acuerdo con el uso de certificados cualificados de firma electrónica), las firmas incluidas resultaban imágenes escaneadas de dichas firmas, y por tanto las mismas eran meras impresiones en papel de un documento electrónico. Por todo ello, este Tribunal negó el hecho de considerar las mismas firmas electrónicas cualificadas o firmas manuscritas, teniendo así consideración de firmas escaneadas, careciendo de los efectos jurídicos que sí puede ofrecer una firma electrónica cualificada.

C-309/19 P: Asociación de fabricantes de morcilla de Burgos/Comisión

Firma en el marco de un contrato laboral

En la misma línea, otra sentencia dictaminó, en el marco de un contrato laboral de un jugador de futbol profesional, que la firma escaneada y enviada por correo electrónico no resultaba admisible, en ningún caso, dentro del ámbito en el que se desarrolló (contrato laboral) alegándose que una firma de estas características es fácilmente manipulable, no pudiendo acreditarse fehacientemente que el firmante es quién dice ser.

Roj: SJSO 16/2017 – ECLI: ES:JSO:2017:16

Cabe señalar que, en el ámbito laboral, es especialmente recomendable utilizar una firma cualificada que es la que ofrece más garantías de autoría, integridad y autenticidad del consentimiento prestado por el firmante y se equipara a la firma manuscrita. Y es que esta firma supone un paso adicional en la legitimidad, seguridad y control de la firma electrónica, cumpliendo con los requisitos de la firma avanzada pero además es creada mediante un dispositivo cualificado de creación de firmas electrónicas y está basada en un certificado cualificado de firma electrónica (emitido por un prestador de servicios cualificado). Sin embargo, en el ámbito privado, no resulta obligatoria por lo que el uso de cualquier otra firma que no presente los requisitos exactos de una firma cualificada, no debe invalidarse por defecto.

De los casos anteriormente expuestos puede deducirse que uno de los aspectos clave a tener en cuenta cuando queremos realizar operaciones vía electrónica, es contar con las evidencias suficientes que puedan acreditar en definitiva la autenticidad del firmante y la integridad del documento firmado. Pero ¿qué aspectos deberíamos conocer para valorar si estamos ante la firma electrónica que regula nuestra normativa?

Consideraciones respecto a la validez de la firma electrónica

La firma electrónica persigue garantizar, igual que la firma manuscrita tradicional, la autoría de la firma y la integridad del documento asociado a ésta, de manera que se genere una confianza suficiente hacia terceros respecto al firmante que está vinculado al documento electrónico objeto de la firma. En definitiva, trata de garantizar la identidad del firmante, el no repudio y la autenticidad e integridad del documento firmado. De estos elementos, dependerá precisamente el nivel de eficacia y validez de la firma electrónica realizada en el marco de una operación concreta.

Partiendo de estas premisas, cabe diferenciar lo que sería una firma electrónica regulada por nuestra normativa principal en la materia (Reglamento (UE) Nº 910/2014, o reglamento “eIDAS ) y una firma digitalizada, esto es, aquella que se genera por la conversión del trazo de una firma en una imagen (como puede ser, la que obtienes una vez la escaneas el documento en cuestión, en línea con los casos citados). Si bien, aunque las firmas digitalizadas son legales, lo cierto es que, como hemos podido ver en los casos antes expuestos, no ofrecen garantía respecto a la identidad del firmante por si solas.

En la práctica, nuestra normativa regula la firma electrónica simple o básica (aunque no tiene esta denominación oficial por nuestra normativa) como puede ser, el uso de un usuario y contraseña, por otro lado,  la firma avanzada (cumpliendo los requisitos del artículo 26 de eIDAS) y la firma cualificada (basada en un certificado cualificado y que es creada mediante un dispositivo seguro de creación de firma), teniendo la primera, el nivel más bajo de seguridad y por tanto siendo más complicado acreditar las garantías de seguridad de la firma y, la firma cualificada la que presentaría un nivel de  seguridad más alto, cuyos efectos se equiparan a la firma manuscrita.

No obstante, debe tenerse presente que el hecho de que una firma esté en formato electrónico o no cumpla con los requisitos de una firma electrónica cualificada, no supone que la firma no pueda ser admitida como prueba por un juez, tal y como indica el considerando 49 de eIDAS.

Según lo anterior, dependiendo de la relevancia y las obligaciones jurídicas de la transacción u operación que queramos realizar, podrá ser suficiente una firma simple o, por el contrario, ser más recomendable utilizar una firma avanzada o cualificada.

Requisitos de una firma avanzada

En el marco de un proceso judicial donde se esté analizando la validez de la firma electrónica utilizada, la firma avanzada será aquella que pueda garantizar los siguientes requisitos:

  • Que se encuentre vinculada de manera única al firmante, esto es, solo puede ser utilizada por el titular de la firma y esta ligada directamente a este.

 

  • Adicionalmente al “grafo” de la propia firma, es aquella que identifica al firmante con mecanismos adicionales, como puede ser la solicitud de algún tipo de acreditación de la identidad del titular que le autentique y puede comprobarse en un alto grado de confianza que el firmante es efectivamente el titular de la misma.

 

  • Que la firma ha sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, de tal forma que el proceso de generación de firma ha requerido al usuario al menos dos de tres factores, como son, el factor de conocimiento (conocimiento de una contraseña), tenencia (dispositivo utilizado) o inherencia (por ejemplo, la huella dactilar) en el momento de realizar el firmado del documento en cuestión.

 

  • Que la firma se encuentra vinculada con la información firmada por la misma de modo tal que cualquier modificación ulterior del documento pueda ser detectable, de tal forma que el sistema de firma utilizado garantice que el documento firmado se encuentra asociado, de forma inexorable a la firma en cuestión, por ejemplo, mediante un algoritmo unidireccional seguro, la función resumen (o hash) del documento en cuestión.

Así pues, algunos casos de uso que podrían considerarse una firma avanzada podrían ser:

  • Firmar el documento utilizando una doble autenticación del firmante, como por ejemplo, a través de sistemas OTP (One Time Password) que, junto con el uso de certificados electrónicos o de sellos de tiempo cualificados garanticen la integridad del documento ante posibles modificaciones posteriores del mismo.

 

  • A través de una firma biométrica en la que los datos recogidos sean inherentes al firmante (rasgos faciales, huella dactilar o grafo) a través de los cuales puedan determinarse, por ejemplo en el caso de la firma ológrafa, la velocidad y presión ejercida para la firma). Otro ejemplo de firma avanzada, podría ser aquella firma biométrica que se realiza sobre un dispositivo que cuente con  una pantalla resistiva capaz de captar datos biométricos ejercidos sobre la misma. Este factor inherente junto con otros mecanismos utilizados en el momento de la identificación y autenticación del firmante, y con medios que doten de integridad al documento firmado y a la propia firma, podría generar un sistema robusto de firma con las garantías de seguridad suficientes para acreditar que el sujeto que firmó es quien dice ser.

Sin perjuicio de los casos descritos todo proceso quedará sujeto, en caso de impugnación o repudio de la firma, a una prueba por peritos expertos que, en definitiva, valide y acredite las evidencias generadas en los procesos de firmado y demuestren ante el juez que efectivamente la persona que firmó es quién dice ser.

Conclusiones

Como hemos visto, existen diversas modalidades de firma que pueden llegar a demostrar que estamos ante una firma electrónica cuya acreditación depende fundamentalmente de las evidencias recogidas durante todas las fases del proceso de firmado.

En esta línea, parece evidente que, para demostrar en el marco de un procedimiento judicial, si una firma electrónica cuenta con plenos efectos jurídicos debe realizarse un análisis pormenorizado de todo el proceso desde los medios de la recogida inicial de los datos identificativos del firmante hasta la inclusión de la firma en el documento, pudiendo ser demostrado por la intervención de un perito experto en la materia.

Asimismo, en todo proceso de firmado, resulta relevante la fase de identificación y autenticación previa del firmante, así como los medios técnicos que se utilicen para firmar (dispositivos concretos) o la relevancia del formato en el cual se presenta el documento original que posteriormente es objeto de firma.

Nuestra normativa deja en manos de los jueces la decisión de validez de las firmas, sin perder el foco en dos aspectos clave: por un lado, la acreditación de la autenticidad durante el proceso y, por otro lado, la integridad de la firma y del documento objeto de firma para evitar un posible delito de usurpación de la identidad o la falta de evidencias técnicas, que supongan como consecuencia, la anulación del contrato o documento objeto de firma.

Privacidad en las RRSS, ¿nuevo reclamo publicitario?

Privacidad en las RRSS, ¿nuevo reclamo publicitario?

Tribuna de Silvia Ruiz, abogada de ECIJA.

Desde la entrada en vigor de la actual normativa en materia de privacidad, el conocido Reglamento General de Protección de Datos 679/2016 (“RGPD”), junto a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) centrándonos en nuestro ámbito local, la adaptación de las compañías al cumplimiento del novedoso marco normativo ha resultado, sin lugar a dudas, un ejercicio importante de cara a conseguir cumplir con los parámetros legales establecidos.

 

Esta actividad frenética, tendente a conseguir llegar a los estándares establecidos legalmente, iba aparejada a la necesidad de implementar principios que, tras ser analizarlos en detalle, suponen un cambio conceptual o una conversión interna en cualquier compañía (como ejemplo, mencionar el conocido principio “Privacy by design”, que tiene como efecto que todas las áreas de una Organización que lance un proyecto que afecte a la privacidad de los usuarios, deban colaborar estrechamente desde el inicio, y en todo momento del proyecto en sí, para llevar a cabo un análisis sobre impacto del tratamiento).

 

La reacción de las compañías españolas ante la nueva realidad normativa ha ido en paralelo a las prerrogativas de la Autoridad Local de Control, la Agencia Española de Protección de Datos (“AEPD”), en forma de multitud de informes, dictámenes y sanciones en la materia. Sin lugar a duda, la actividad de ésta durante los últimos años, y el análisis continuo de las diversas cuestiones que han ido surgiendo, ha tenido como efecto que la adecuación a la normativa se haya ido realizando al compás de los diversos pronunciamientos de la Autoridad, por lo que, en los casos concretos, los Delegados de Protección de Datos (o bajo sus siglas en inglés “DPO”) han tenido que ejercer sus funciones sin quitar ojo a las novedades o aclaraciones que la AEPD ha ido marcando. En el marco del escenario indicado, y con la perspectiva de estos últimos años de aplicación del marco legal, la pregunta que nos planteamos es si las obligaciones y deberes existentes realmente han calado en las compañías en las que su negocio se centra en el tratamiento de datos personales, de manera directa o indirecta; es decir, si podemos afirmar que el porcentaje de cumplimiento y adecuación a la norma ha ido incrementando y es real, y si realmente el Legislador ha llegado a su objetivo, conseguir la conversión interna de las mismas en aras de proteger los derechos de los ciudadanos.

 

Sin datos oficiales a la fecha que puedan confirmar el porcentaje exacto de compañías españolas que cumplen con la normativa de aplicación, los últimos datos de 2019 indicaban que el 28% de las organizaciones afirmaban cumplir la normativa y un 30 % señalaba estar «cerca de». Asimismo, en el indicado periodo se indicaba que la tasa de cumplimiento más elevada correspondía a EE. UU. (35%), seguido de Reino Unido y Alemania (en ambos, un 33%), y la más baja a España e Italia (en ambos países, un 21%) y a Suecia (18%). Tras los últimos datos confirmados, sin duda podemos indicar que las compañías en mayor o menor medida han puesto el foco e invertido al menos tiempo en valorar los estándares de cumplimiento vigentes, en muchos casos hasta el extremo de convertir el cumplimiento y el respeto al derecho a la privacidad en epicentro de las acciones publicitarias llevadas a cabo en los últimos años (el gran ejemplo de ello es Apple, que sorprendió todo sea dicho con ráfagas publicitarias contundentes y con cierto sentido de humor, con la palabra “privacidad” como centro de sus preocupaciones).

 

Sin duda, priorizar que los usuarios asocien una marca con seguridad y por ende privacidad, ha tenido un impacto real en los ciudadanos quienes comprobaban como poco a poco las empresas entraban en el detalle, de manera directa, a la hora de informar sobre aspectos tan oscuros como las finalidades que dan a los datos de los usuarios, las medidas de seguridad activadas a nivel interno, o incluso indicar los derechos que les corresponden a los usuarios para defender sus derechos. Todo lo mencionado anteriormente deja claro que la palabra privacidad vende, y podríamos decir que mucho. Por otro lado, la preocupación que muestran los usuarios por la privacidad de su información, el conocimiento real que tienen sobre la políticas de privacidad y las propias acciones de privacidad que realizan para proteger sus datos, han provocado que nos encontremos ante un usuario-ciudadano concienciado y con nociones básicas de privacidad, que hace que las compañías doblen sus esfuerzos a la hora de ser transparentes, o al menos parecerlo, de cara a evitar que en caso contrario dejen de ser usuarios de sus servicios. Este aspecto hemos podido comprobarlo sin ninguna duda en relación con la evolución de las Redes Sociales, y en concreto, en compañías como Facebook, quien ha apostado por ir mostrando información sobre cómo tratan la información por capas, de manera muy visual e intuitiva, desde el momento en el que el usuario se da de alta en la plataforma, aspectos que anteriormente no se formulaban con la claridad actual.

 

Como conclusión, podemos afirmar que el hecho de que las compañías intenten que sus marcas se vean vinculadas a términos como cumplimiento, privacidad y seguridad no deja ápice de duda en el sentido de que, a la sensación de temor que en un primer momento emanaba de la norma europea, se le ha dado un giro en el sentido de buscar la fidelidad de los usuarios en formato eslogan, que sin duda debe ir acompañado de acciones internas y reales de cumplimiento para poder conseguirlo.

Programas de Compliance: Evolución e impacto en las nuevas Estrategias de Sostenibilidad y Medio Ambiente

Programas de Compliance: Evolución e impacto en las nuevas Estrategias de Sostenibilidad y Medio Ambiente

Tribuna de Elena Bradley, abogada de ECIJA, para The Law Clinic.

En la última década hemos vivido una tendencia a escala global, en donde las empresas han apostado por el desarrollo de estrategias de negocio basadas en buenas prácticas, que aquí en España han dado lugar a los conocidos programas de Compliance Penal[1], que, aún hoy, se diseñan e implementan en multitud de organizaciones.  A día de hoy, dicha tendencia se encuentra en plena evolución, estando en pleno estallido la implementación de Programas de Compliance de otras materias, como competencia, diversidad y/o medio ambiente.

Si bien al inicio del “Compliance Penal” en España se suscitó el debate de si dicha disciplina había llegado para quedarse, creo no equivocarme al afirmar que pocos, sino nadie, ponen ya en duda la importancia de la implementación de estos Programas en el seno de las empresas. Precisamente esta importancia se ha visto reforzada con la aparición de nuevos marcos normativos como, por ejemplo, la Directiva 2019/1937 de protección de los whistleblowers, directamente relacionada con unos de los elementos básicos de estos programas, los canales de denuncias. Por lo mismo, se han visto especialmente reforzados con la proyección de éstos sobre más ámbitos normativos.

No puede pasarse por alto que, en su día, las reformas del Código Penal español (2010 y 2015[2]) pusieron el foco en otras materias, más allá de la penal, al incluir dentro de los delitos imputables a la persona jurídica delitos como los relacionados con conductas de abuso de mercado o delitos contra el medio ambiente. Con la inclusión de estos tipos penales, las empresas, en especial aquellas con actividades estrechamente expuestas a esos tipos delictivos, se han visto sujetas a incluir en el diseño y desarrollo de sus Programa de Compliance Penal controles dirigidos a la mitigación de los riesgos no solo en la prevención de delitos, sino, también, en lo relativo a la prevención del régimen sancionador específico en los ámbitos normativos relacionados con dichas materias.

Resulta especialmente interesante resaltar la tendencia al desarrollo de Programas de Compliance en materia de sostenibilidad, economía circular y medio ambiente. La perspectiva de que estos programas estén experimentando cierto auge, se debe principalmente a tres cuestiones; (i) en primer lugar al aumento de la conciencia social, siendo cada vez más reprochables aquellas conductas que dañan el medio ambiente, (ii) directamente relacionado con la primera cuestión, la preocupación de las propias empresas por incurrir en un daño reputacional por conductas contra el medio ambiente, de hecho el informe publicado por el Instituto de auditores internos europeos ─Risk In Focus 2021─ resalta la importancia y preocupación creciente de las empresas en lo que a medio ambiente se refiere, ya que ante las evidencias del cambio climático los grandes inversores buscan oportunidades de negocio que pongan en valor estrategias sostenibles y (iii) finalmente a la ya mencionada proliferación de marcos normativos y novedades legislativas que aumentan las obligaciones de transparencia e implementación de políticas de medio ambiente, como la Ley 26/2007, de 23 de octubre, de Responsabilidad Medioambiental o la más reciente Ley 7/2021, de 20 de mayo, de Cambio Climático y Transición Ecológica, como respuesta a la obligaciones contraídas por España en el Acuerdo de París[3].

En relación con esta cuestión y dando un ejemplo con un acercamiento más práctico, cabe destacar la obligación de transparencia recogida en la  Ley 11/ 2018 de 28 de diciembre en Materia de Información No Financiera y Diversidad[4] que afecta directamente a las empresas (desde 2018 aquellas de más de 500 trabajadores y en 2021 aquellas de más de 250 trabajadores que cumplan ciertos requisitos), al estar obligadas a informar sobre sus políticas en materia social, de diversidad y sobre el respeto a los derechos humanos, de lucha contra la corrupción y de sostenibilidad, medioambiente, economía circular etc, teniendo en función de la actividad que se desarrolle mayor o menor relevancia algunos de los bloques.

Esta Ley 11/2018, que transpone la Directiva europea 2014/95/UE, tiene como objetivo identificar los riesgos para mejorar la sostenibilidad y aumentar la confianza de los inversores, consumidores y de la sociedad en general, mediante la transparencia y divulgación de información de las estrategias empresariales, que permitan a los stakeholders tomar decisiones informadas y acreditar la mayor diligencia posible.

En definitiva, coincidiendo con la cumbre internacional del cambio climático (COP26[5]), que comenzó este pasado 31 de octubre en Glasgow, con la participación de casi 200 países y que evidencia la importancia y preocupación política y social de todas cuestiones medioambientales, no parece aventurado afirmar que las obligaciones y normativas en este ámbito van a seguir aumentando y que las empresas, especialmente aquellas que de forma inherente a su actividad generen residuos o puedan tener impacto en el medio ambiente, deben estar preparadas e ir integrando, también, en sus Programas de Compliance sus propias estrategias sostenibles.

 

 

[1] Basados en la posible exención penal de la persona jurídica, art. 31 bis del Código Penal, en caso de incurrir en un delito imputable a una persona jurídica.

[2] Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

 

[3] Acuerdo dentro del marco de la Convención Marco de las Naciones Unidas sobre el Cambio Climático que establece medidas para la reducción de las emisiones de gases de efecto invernadero

[4] Transposición de la Directiva Europea 2014/95

[5] Las siglas COP en inglés se refieren a “Conference of the Parties”. La reunión —anual— de los casi 200 países que forman parte de la Convención Marco de las Naciones Unidas sobre el Cambio Climático.

Vídeo-peritación retos en el tratamiento de datos personales

La vídeo-peritación es una de las soluciones disruptivas para el sector de los seguros y aplica una  tecnología que ha permitido la transformación de muchos de los procesos de negocio del sector asegurador. Por ello, queremos analizar algunos de las implicaciones en materia de protección de datos que conlleva dicha actividad.

Por todos es conocido, que el sector Insurtech y Fintech son la causa de la creación de muchas Start-ups que basan su modelo de negocio en la tecnología. En concreto, queremos poner el foco en una actividad que lleva un tiempo en el mercado tecnológico y que, en los últimos años, está potenciando su implementación en el sector asegurador; la video-peritación.

En este sentido, nos centraremos en algunas de las implicaciones en materia de protección de datos que puede conllevar esta modalidad de servicio.

En primer lugar, indicar que la video-peritación consiste en llevar a cabo el proceso de negocio por el cual se realiza la valoración requerida, bien por un perito, o mediante Inteligencia Artificial, a través de medios telemáticos.

El sector asegurador, aplica esta tecnología principalmente en dos procesos de negocio. Por una parte, a la hora de suscribir un seguro, por ejemplo, de automóvil, y, por otra, en la tramitación de siniestros, en especial, para la valoración del siniestro.

Debemos poner de relieve que la video-peritación trae beneficios para las dos partes ya que a la aseguradora le ahorra los costes de desplazamiento de los peritos, y a los tomadores/asegurados, les evita adaptar sus horarios a las visitas del perito. Además, si tenemos en cuenta la empresa que provee a la aseguradora la tecnología necesaria para ejecutar esta actividad, serían tres partes las beneficiadas en el proceso de video-peritación.

¿Qué implicaciones tiene en materia de protección de datos?

Como es habitual en nuestro blog, señalamos el deber de informar, recogido en el artículo 13 del Reglamento (UE) 2016/679. (en adelante, “RGPD”), como pilar fundamental para llevar a cabo el tratamiento de datos personales en cuestión.

En especial, y en el caso de que sea aplique la Inteligencia Artificial a la video-peritación, debe atenderse a la obligación de informar sobre el posible tratamiento de datos personales para la elaboración de perfiles, informando al interesado, si procede, de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, de acuerdo con lo previsto en el artículo 22 del RGPD.

Es cierto que, para determinados tipos de seguros, el perfilado podría no hacerse sobre datos que identifiquen directamente al interesado. En este sentido, hacemos referencia a los seguros de hogar ya que los resultados de los cálculos para la determinación de la prima se basan en datos de la vivienda, y no de una persona física. No obstante, para otro tipo de productos, tanto financieros, como de seguros, sí se podrían elaborar perfiles y decisiones automatizadas sobre datos personales que identifican directamente a una persona física.

Por otra parte, debe tenerse en cuenta que durante el proceso se llevarían a cabo captaciones imágenes algo, que no supondría un gran inconveniente para ciertos seguros, como por ejemplo el de autos, puesto que en principio no se captarían imágenes de personas físicas sino del objeto asegurado; el vehículo. Aunque, teniendo en mente los principios de protección de datos desde el diseño y protección de datos por defecto, así como el principio de minimización del tratamiento, el desarrollo de estas herramientas supone establecer ciertas medidas.

En primer lugar, debe evitarse la captación de imágenes que no sean las estrictamente necesarias para la ejecución del proceso de negocio. Es importante trasladar ciertas instrucciones a los clientes sobre la captura de imágenes o grabaciones de video, de forma que evitemos obtener datos que no son necesarios para la finalidad perseguida y que provoquen una elevación del riesgo sobre el tratamiento.

Generalmente, esta tecnología lleva aparejada la geolocalización, puesto que la situación geográfica es una de las variantes que se tienen en cuenta a la hora de realizar los cálculos para la determinación de la prima correspondiente. Debemos tener en cuenta que la geolocalización, es un tratamiento que requerirá de un análisis especifico y una valoración sobre la base legitimadora de aplicación.

Asimismo, se deben establecer ciertas garantías contractuales entre las partes intervinientes. En consecuencia, es esencial formar a los peritos que puedan realizar una video-peritación en tiempo real, así como capturar imágenes para su valoración, incluyendo las medidas de seguridad adecuadas en sus dispositivos. Adicionalmente se deberán suscribir los contratos de confidencialidad y protección de datos pertinentes, máxime sí se tratan de peritos o gabinetes periciales independientes.

En cuanto a la relación con los proveedores de tecnología para la video-peritación, por lo general, tendrán la figura de encargados del tratamiento con respecto a las aseguradoras, y en cumplimiento del artículo 28 del RGPD, será necesario suscribir el acuerdo de encargo de tratamiento.

En lo referente a la elaboración de perfiles para la determinación de la prima en la suscripción del contrato  de seguro (perfilados con fines actuariales y análisis de mercados objetivos) sostiene su base legitimadora en la obligación legal establecida en diferentes artículo de la Ley  20/2015, de  14 de julio, de ordenación, supervisión  y solvencia de  las entidades aseguradoras y reaseguradoras, como por ejemplo, el artículo 66.5, que exige el desarrollo de una función actuarial efectiva o el artículo 94.1 en relación a la cotización de las tarifas, que indica que “deberán fundamentarse en bases técnicas y en información estadística elaborada de acuerdo con lo dispuesto en esta Ley y en sus normas de desarrollo.”  Y añade: “Deberán ser suficientes, según hipótesis actuariales razonables, para permitir a la entidad aseguradora satisfacer el conjunto de las obligaciones derivadas de los contratos de seguro y, en particular, constituir las provisiones técnicas adecuadas.”

Aunque la elaboración de perfiles en ciertos procesos de negocio de las aseguradoras, en este caso en la suscripción de seguros, pueda sustentar su base legitimadora en la legislación de aplicación, ello no supone que todos los tratamientos de datos personales que se puedan llevar a cabo a través de la video-peritación, puedan basarse en una habilitación legal, dado que la sensibilidad de los mismos, así como la tecnología aplicada, puede requerir el encaje en otras bases legitimadoras.

En conclusión, aunque a priori en determinados productos pueda no identificarse un tratamiento de datos personales de alto riesgo para los interesados, el proceso de video-peritación tiene múltiples aristas que deben ser analizadas en cada caso.

 

Vehículos inteligentes, conduciendo con nuestros datos

Vehículos inteligentes, conduciendo con nuestros datos

Tribuna de Javier Arnaiz, abogado de ECIJA, para The Law Clinic.

El incesante avance de los vehículos inteligentes o conectados plantea las mismas inquietudes legales que avances en la tecnología empleada.

Si hay algo que siempre se discute sobre cómo evolucionará la tecnología en 50 años, es el potencial avance en los vehículos de transporte. Vehículos voladores, conducción autónoma o tecnologías impensables son la base de mucha literatura y películas. La realidad es que, lejos de muchas de estas utopías, a día de hoy sí que se encuentran grandísimos avances en la tecnología empleada en los vehículos.

Si bien hablar de la innovación en los vehículos y del impacto legal en los mismos en un artículo de opinión puede resultar una materia demasiado amplia de cubrir, este artículo se va a ceñir en los puntos que más impacto tienen en los usuarios y ciudadanos (y en su privacidad), como pueden ser la geolocalización de los vehículos, la utilización de sistemas de tratamiento de información del vehículo y las cámaras a bordo.

Cuando se habla de geolocalización de los vehículos, los conductores plantean cuestiones que afectan directamente a su privacidad, como los usos de dicha geolocalización, la temporalidad o el contenido exacto de dicha información que aporta el vehículo.

La realidad es que la geolocalización no es un dato personal que sea considerado sensible por la normativa de protección de datos, aunque diferentes documentos sí que lo mencionan como un tratamiento con alto riesgo para la privacidad de los interesados.[1]

Para poder analizar este punto adecuadamente, hay que tener en cuenta que la geolocalización puede ser utilizada tanto para conductores individuales como para sistemas de gestión de flotas.

En ambos supuestos, cobra relevancia la finalidad del tratamiento, ya que, de cara a los usuarios, resulta fundamental que la información sea clara y transparente sobre todas las finalidades a realizar. Esta información sería altamente recomendable que fuera aportada dentro de los sistemas del vehículo, como puede ser en las pantallas a bordo donde el usuario pudiera ser consciente de la finalidad y límites de la geolocalización.

Con respecto a los usuarios, la geolocalización, debería estar basada en el consentimiento del conductor para poder activarla o no, a no ser que fuera necesaria para alguna funcionalidad del vehículo (como la asistencia remota) siendo en este caso, la geolocalización, necesaria para la ejecución de dicho servicio.

La geolocalización tiene un impacto mayor en la gestión de flotas, siendo este tratamiento en muchos casos fundamental para su gestión. Detección de malos usos, necesidad del cliente de identificar el uso hecho de la flota, localización de los vehículos para su recuperación, son algunos de los supuestos en los que la geolocalización sería necesaria para la ejecución de dicha relación (sin ser necesario un consentimiento), aunque incluso en este caso, la transparencia resulte fundamental de cara al conductor[2].

Aquí cobra especial relevancia si existen terceros implicados (como pudiera ser la compañía de renting de vehículos) ya que la relación y el tratamiento de los datos derivados de la geolocalización tiene que estar bien delimitado tanto contractualmente como de cara a los usuarios finales. De nuevo, la transparencia de cara al usuario, es fundamental.

Pero no solo se trata la geolocalización como información asociada al vehículo, la tecnología actual y los sistemas de los vehículos pueden recoger desde usos de este, estado de los neumáticas, revisiones realizadas, tipo de conducción realizada por el conductor…

Toda esta información, puede convertirse fácilmente en datos personales al ser asociada con el conductor para determinar por ejemplo un perfil de conducción o la personalización de diferentes elementos del vehículo en función del uso realizado.

De nuevo, estos usos tienen que estar vinculados con la información que se aporte al conductor y las finalidades de dicho tratamiento. La problemática, surge, en muchos casos, por la falta de transparencia de cara al usuario y la dificultad de acceso a dichos textos informativos.

Un apartado concreto serían las cámaras de los vehículos utilizadas para la prevención de accidentes[3] o involucradas en sistemas de aprendizaje e inteligencia artificial.

La cuestión principal de estos tratamientos puede venir por el uso de dichas cámaras y el impacto con la privacidad de los sujetos potencialmente grabados. En este sentido, la Agencia Española de Protección de Datos ya cubrió dicha cuestión en un informe del año 2015.[4] Posicionándose “favorablemente” a dichas cámaras, aunque con algunas cuestiones que debían ser implementadas (como por ejemplo, que las cámaras únicamente se encendieran en caso de siniestro).

No obstante, estas nuevas tecnologías de grabación pueden suponer nuevos retos ya que no solo están encendidas en el momento de los accidentes, sino que proceden a grabar de manera continua el recorrido del conductor.

En este sentido, ya ha habido en España diversas acciones relacionadas con el uso de información relativa a vehículos conectados para realizar estudios[5]. De nuevo, aquí la cuestión es determinar si estos tratamientos son transparentes de cara al conductor, y en todo caso, compatibles con la normativa de protección de datos (y una base legal válida).

Con respecto a los posibles usos de la información de los vehículos para proyectos relacionados con la Inteligencia Artificial, cabe hacer especial referencia a la propuesta de Reglamento Europeo sobre Inteligencia Artificial.[6] A modo de resumen, si bien parece que los sistemas de IA de un vehículo no estarían dentro de las prohibiciones absolutas, el artículo 6 sí que parece que pudiera incluirlas el uso de IA en sistemas de seguridad del vehículo (los sistemas de IA que conlleven el riesgo de causar un perjuicio a la salud y la seguridad).

La evolución normativa de los vehículos conectados es incesante, e incluso desde la parte técnica ya se aportan recomendaciones de seguridad[7] e incluso a nivel privado se ha promovido una suerte de estándar de seguridad específico[8].

Es por esto que la información disponible en los vehículos resulta muy amplia y puede ser explotada con diversas finalidades. El marco legal actual puede resultar suficiente para cubrir la tecnología reciente, pero sí que es cierto que futuros desarrollos tecnológicos pueden necesitar de una normativa ad hoc debido al mayor impacto no solo en la privacidad, sino en la seguridad de las personas.

__

[1] La AEPD en la lista de tratamientos que requieren una evaluación de impacto y que entraña probablemente un alto riesgo incluye tratamientos de geolocalización sistemáticos y exhaustivos.

[2] https://noticias.juridicas.com/actualidad/noticias/15608-el-supremo-avala-la-geolocalizacion-por-gps-de-trabajadores-en-vehiculos-de-empresa-si-hay-aviso-previo/

[3] https://www.expansion.com/economia/2020/10/14/5f85e6c7e5fdea380c8b459a.html

[4] https://www.aepd.es/sites/default/files/2019-12/2015-0456.pdf

[5] https://movilidadelectrica.com/barcelona-autonomous-ready-spain/

[6] https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0008.02/DOC_1&format=PDF

[7] https://www.enisa.europa.eu/publications/recommendations-for-the-security-of-cam/

[8] https://eurocybcar.com/en/

La OCDE, el Banco Mundial, el BID y el CIAT han elaborado un programa de asistencia a autoridades tributarias para facilitar la recaudación de IVA en operaciones de comercio electrónico

La OCDE, el Banco Mundial, el BID y el CIAT han elaborado un programa de asistencia a autoridades tributarias para facilitar la recaudación de IVA en operaciones de comercio electrónico

El Impuesto al Valor Agregado (IVA) es, en promedio, la mayor fuente de ingresos fiscales para los países de Latinoamérica y el Caribe (LAC)

El Kit de Herramientas de IVA Digital para Latinoamérica y el Caribe (LAC) proporciona orientaciones detalladas para la implementación exitosa de una estrategia integral en la aplicación del IVA al comercio electrónico. Ha sido diseñado para ayudar a los gobiernos en la importante tarea de obtener ingresos fiscales por concepto de IVA y también velar por la igualdad de condiciones entre negocios físicos tradicionales y proveedores en línea desde el extranjero.  El incremento del comercio electrónico posterior al inicio de la pandemia de COVID-19 acentuó la importancia de aplicar Impuesto al Valor Agregado (IVA) al comercio electrónico de una manera eficaz.

El IVA es, en promedio, la mayor fuente de ingresos fiscales en LAC. Los principales desafíos de los sistemas de IVA en materia comercio electrónico se relacionan con el fuerte crecimiento de las ventas de servicios y productos digitales a consumidores finales y con el crecimiento exponencial que han experimentado las ventas en línea de bienes de bajo valor de importación, normalmente por vendedores desde el extranjero, en las cuales el IVA no es recaudado eficazmente bajo las reglas existentes.

América Latina ha sido el mercado de comercio electrónico de más rápido crecimiento en el mundo, con ventas que el año pasado aumentaron un 36,7%, seguido por un 31,8% en América del Norte y un 29,1% en Europa Central y Oriental, según un estudio de e-Marketer.

El Kit de Herramientas provee orientaciones detalladas para lograr la implementación exitosa de una estrategia integral de IVA dirigida a todas las modalidades de comercio electrónico. Ha sido diseñado para ayudar a los gobiernos en la importante tarea de obtener ingresos fiscales por concepto de IVA y también asegurar la igualdad de condiciones entre proveedores en línea y comercios físicos tradicionales.

Este Kit de Herramientas lo ha desarrollado la OCDE en asociación con el Banco Mundial. Esta colaboración también comprende la futura entrega de ediciones para Asia Pacífico y África. El Centro Interamericano de Administraciones Tributarias (CIAT) y el Banco Interamericano de Desarrollo (BID) han hecho importantes contribuciones como socios regionales para Latinoamérica y el Caribe. Este trabajo es también parte de una estrategia más amplia de la OCDE para abordar los desafíos fiscales derivados de la digitalización de la economía.

La economía digital es uno de los pilares clave de la respuesta del BID para acelerar la recuperación económica de América Latina y el Caribe en la postpandemia. El Banco, la mayor fuente de financiamiento multilateral en la región, está trabajando en estrecha colaboración con sus países miembros prestatarios para modernizar y fortalecer sus instituciones a fin de aprovechar la economía digital para promover un desarrollo sostenible y equitativo.

_____________

 ECIJA Advisory

info@ecija.com

Los seguros colectivos y la protección de datos personales: ¿puedo ceder los datos de mis trabajadores?

Los seguros colectivos y la protección de datos personales: ¿puedo ceder los datos de mis trabajadores?

Tribuna de Eduardo Martínez, abogado de ECIJA.

Desde la experiencia que los profesionales de ECIJA hemos podido adquirir por trabajar día a día con clientes del sector asegurador, hemos observado que hay una consulta que se viene repitiendo desde la entrada en vigor del RGPD.

Las empresas, colegios profesionales y organismos público, entre otros, suelen consultar cómo deben proceder a la hora de facilitar datos personales de sus empleados o colegiados a la compañía aseguradora con la que tienen suscrito una póliza colectiva.

Un gran número de estas entidades suelen considerar que las compañías aseguradoras tienen la condición de encargados del tratamiento, ya que son terceros que al prestar un “servicio” a la compañía, deben de acceder a datos personales de sus empleados. Asimismo, desde el sector asegurador se reciben múltiples solicitudes de firma de un acuerdo de encargo de tratamiento tras la firma de una póliza colectiva. Es más, en las propias licitaciones públicas y privadas se vienen incluyendo cláusulas de encargo de tratamiento en los propios pliegos y condiciones de la licitación.

Pero, lo cierto es que difícilmente la compañía aseguradora, puede ostentar la figura de un encargado del tratamiento en el marco de una póliza colectiva. Entonces, ¿puedo ceder los datos de los trabajadores a la compañía aseguradora?

Anteriormente a la aplicación del RGPD, la Agencia Española de Protección de Datos (AEPD) se ya se había pronunciado en diferentes ocasiones sobre las figuras que ostentan las compañías aseguradoras y los tomadores de pólizas colectivas. En este sentido, la AEPD consideraba que, dado que la empresa aseguradora realiza diversos tratamientos de los datos de los trabajadores asegurados, decidiendo el contenido, uso y finalidad de los mismos al establecer las condiciones generales y particulares de la póliza y las adhesiones individuales de los trabajadores, se concluye que estamos en un supuesto sometido a las normas reguladoras de la cesión de datos.

Cabe decir, que desde la aplicación del RGPD no había demasiadas publicaciones oficiales contemplando este supuesto, más allá de las propias guía y códigos de conducta del sector asegurador, entre otros UNESPA (Unión Española de Entidades Aseguradoras y Reaseguradoras).  Pero a través de la reciente Guía sobre protección de datos y relaciones laborales publicada en mayo de 2021 por la propia AEPD, ha convenido incluir este aspecto y lo cierto es, que aclara muchas dudas al respecto que nos gustaría resaltar.

En primer lugar, la AEPD aclara que el flujo de datos entre la compañía como tomador de una póliza colectiva y la compañía aseguradora, corresponde a una comunicación de datos personales.

Entonces, si es una cesión de datos ¿qué bases legitimadoras entran en juego?

Por una parte, la compañía aseguradora tiene una habilitación legal contemplada en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras, comúnmente conocida como “LOSSEAR”.

En su artículo 99 establece que “Las entidades aseguradoras podrán tratar los datos de los tomadores, asegurados, beneficiarios o terceros perjudicados, así como de sus derechohabientes sin necesidad de contar con su consentimiento a los solos efectos de garantizar el pleno desenvolvimiento del contrato de seguro y el cumplimiento de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo”

En cuanto a la compañía tomadora de un seguro colectivo, la AEPD aclara que la base de legitimación podrá depender, al menos, de dos aspectos:

  • Pacto entre empleador y la persona trabajadora por el que aquél se comprometa a esa contratación.
  • La obligación que derive de un convenio colectivo, en cuyo caso, el consentimiento no es necesario para este tratamiento de datos

Ahora bien, al contemplar bases legitimadoras que puedan habilitar la comunicación de los datos a la compañía aseguradora, no podemos perder de vista el cumplimiento del deber de informar. Esto es, informar previamente al empleado de la cesión de sus datos personales a la entidad aseguradora con la finalidad claramente establecida y demás aspectos contemplados en la normativa en materia de protección de datos.

En segundo lugar, la guía también canaliza las distintas casuísticas en cuanto al flujo de datos entre sendos responsables del tratamiento. Pero algo a destacar, es la necesidad de establecer un “procedimiento para la captación y tratamiento de los datos personales”.

La recomendación de la mencionada autoridad de control, es que la compañía tomadora, facilite únicamente los datos de los asegurados, para que la aseguradora sea quien les contacte y establezca la relación directa entre asegurado-aseguradora, con las implicaciones en materia de protección de datos que esto conlleva.

No obstante, caben otras alternativas que si bien pueden ser “más garantistas” pueden conllevan al fin y al cabo una mínima comunicación de datos personales entre ambas entidades.

Por ejemplo, se podría poner a disposición de los empleados, que puedan beneficiarse de la póliza, unos formularios con datos de contacto de la aseguradora para que sea el propio empleado quien solicite la adhesión a la póliza colectiva. Pero como avanzábamos, seguramente sería necesaria una comunicación de datos entre la compañía aseguradora y la tomadora para que al menos, se pueda cotejar que efectivamente esa persona puede beneficiarse de la póliza colectiva.

Por último, queríamos resaltar un aspecto que realmente es útil para los responsables del tratamiento. Lo relativo al tratamiento de datos personales de personas relacionadas con el empleado, generalmente familiares, que pueden ser beneficiarios u optar de alguna forma a beneficiarse de la póliza contratada.

En este sentido, la AEPD recuerda que cuando la relación jurídica es formalizada por un afectado en beneficio de un tercero, el tratamiento de los datos de éste, que resulta necesario para la adecuada formalización de la mencionada relación, podría considerarse amparado por la legislación de protección de datos. Por lo que no sería necesario recabar el consentimiento de este beneficiario para el tratamiento de sus datos personales, en el marco de la formalización de una póliza.

En resumidas cuentas, las empresas que ostenten la figura del tomador de una póliza colectiva en la que sus empleados son asegurados, deberán en primer lugar, revisar en qué supuesto de los descritos se encuentran. Es decir, si la póliza colectiva se contrata derivado de  un Convenio Colectivo, a un pacto con el empleado etc. Asimismo, deberán revisar qué categorías de datos y mediante qué procedimiento se facilitan datos personales de los empleados a la aseguradora, siempre llevando el principio de minimización por bandera.  Y todo ello, con el estricto cumplimiento del deber de informar con respecto a estos empleados, en los términos descritos.

El ICO como impulsor del ecosistema emprendedor en España

El ICO como impulsor del ecosistema emprendedor en España

En 2020 se lanzó la mayor convocatoria de Fond ICO Global tanto en importe (€430 millones) como en número de fondos en los que pudo invertir (16)

La decimotercera convocatoria que lanzó el año pasado AXIS, la sociedad de capital riesgo del Grupo ICO, fue la mayor desde la creación de Fond Ico Global y contribuyó significativamente a la recuperación y transformación de la economía española en torno a ejes estratégicos como la sostenibilidad, la digitalización y la innovación.

Los datos muestran que, mediante la colaboración público-privada, los 329 millones de euros invertidos por AXIS en 15 fondos, permitieron canalizar 1.220 millones de euros a empresas españolas en 2020. Así, podemos afirmar que Fond ICO Global tiene un papel protagonista como dinamizador del sector del capital riesgo en España y contribuye directamente a impulsar vías de financiación complementarias. Los fondos en los que participa Fond ICO Global realizan inversiones en empresas en todas sus fases de desarrollo, prestando especial atención a las inversiones en primeros estadios e innovación.

La diversificación en las vías de financiación supone que las compañías tengan un crecimiento más sólido y sean más competitivas. Por eso, la financiación de proyectos que combinan innovación y emprendimiento fue uno de los pilares de la anterior convocatoria y la base para asentar la recuperación económica y la creación de empleo. En este sentido, 9 de los 15 fondos que recibieron la inversión de Fond ICO Global el año pasado, se encuadraron en las categorías de incubación, transferencia tecnológica y venture capital.

En las trece convocatorias de Fond-ICO Global realizadas, se han seleccionado 108 fondos privados que habrán invertido hasta 8.892 millones euros en empresas españolas. Por su versatilidad, se ajusta a las necesidades del ecosistema emprendedor en cada momento, este instrumento se ha convertido para las gestoras de fondos en una de las principales alternativas a la hora conseguir financiación para constituir nuevos fondos.

La convocatoria que se espera para el verano de 2021, se estima que sea igual o incluso más ambiciosa que la anterior. El desempeño del ecosistema emprendedor y los fondos orientados a invertir en etapas tempranas en el último año ha sido notable y AXIS va a fomentar sin duda un mayor dinamismo y crecimiento del sector con su próxima convocatoria.

Artículo de ECIJA Advisory.

 

El canal de denuncias: un elemento esencial de la cultura de cumplimiento en España

El canal de denuncias: un elemento esencial de la cultura de cumplimiento en España

Artículo de Marta Guzmán, abogada de ECIJA.

Se tiene la convicción de que las reformas del Código Penal de los años 2010 y 2015 introdujeron en España todas las medidas que hoy conocemos en materia de responsabilidad penal de la persona jurídica, como el Canal de Denuncias. Pero, lo cierto es que podemos encontrar referencias a la necesidad de implementar en las organizaciones herramientas o medios, que permitiesen a los empleados informar sobre posibles incumplimientos, anteriores a dichas reformas. Concretamente, la primera referencia data del año 2006, cuando la Comisión Nacional del Mercado de Valores, en su artículo 50 del Código de Bueno Gobierno de Sociedades Cotizadas, indicaba la necesidad de “establecer y supervisar un mecanismo que permita a los empleados comunicar, de forma confidencial y, si se considera apropiado, anónima las irregularidades de potencial trascendencia, especialmente financieras y contables, que se adviertan en el seno de la empresa”. Desde ese momento, la importancia y esencialidad de la implementación de canales de denuncias, no ha parado de crecer, de hecho, hoy en nuestra jurisdicción encontramos normas de gran calado que refieren dichos canales. Las más relevantes son la Circular 1/2016 de la Fiscalía General del Estado sobre la Responsabilidad Penal de las Personas Jurídicas y la reciente Directiva 2019/1937 relativa a la protección de las personas que informen sobre las infracciones del derecho de la unión.

Dentro de este marco jurídico, debemos hacernos la pregunta más evidente; ¿Cuál es el objetivo de un Canal de Denuncias? El objetivo de los Canales de Denuncias debiera ser el alcanzar una verdadera cultura ética en el seno de las organizaciones. Ello, mediante la puesta a disposición de los empleados, de una herramienta que les permita informar de cualquier mala práctica o vulneración de la normativa interna o de la legalidad vigente. Asimismo, y para que dicha herramienta sea puesta en valor y genere esa cultura de cumplimiento, debe ser promovida por parte de la organización, de tal forma que vaya calando en sus empleados la importancia de los valores y principios corporativos, rechazando cualquier actuación o situación que se encuentre fuera de estos valores y principios. Por lo que implementar en una compañía un Canal de Denuncias debe verse como un valor añadido frente a sus propios empleados y frente a terceros, evidenciando la intención de la misma de rechazar actuaciones fuera de lo establecido internamente.

En esta línea, la Circular 1/2016, aunque tiene un mero valor orientativo y no es de obligado cumplimiento, establece que el modelo de organización y gestión debe posibilitar la detección de cualquier conducta criminal que pudiera nacer en el seno la compañía. Recalcando la importancia de la existencia de un Canal de Denuncias de incumplimientos internos o de actividad ilícitas, considerando esta parte fundamental en un modelo de prevención.

Establecido lo anterior, otra pregunta que debemos hacernos es, ¿qué elementos precisa un Canal de Denuncias para ser efectivo y cumplir su objetivo? En este sentido, la Fiscalía pone de manifiesto la relevancia de regular y supervisar esta herramienta con la ayuda de un tercero ajeno a la organización, ofreciendo así mayor objetividad al tratamiento de las comunicaciones recibidas. Asimismo, resalta la importancia de establecer todas las garantías, para proteger específicamente a los denunciantes de buena fe, pudiendo garantizar la confidencialidad de las comunicaciones recibidas, sin que el denunciante pueda sentir riesgo a sufrir represalias por parte la compañía.

De esta forma, la organización da un paso al frente y se dota de un mecanismo de prevención y detección frente a las malas prácticas que puedan darse dentro de la misma. Dado que la Fiscalía del Estado concede especial valor al descubrimiento de los delitos por parte de la propia corporación, en caso de que la organización detectar motu proprio la comisión de un delito, se podrá solicitar la exención de la pena aparejada a la persona jurídica, al dejar patente la existencia de mecanismos efectivos de prevención, que han generado una cultura de cumplimiento normativa en la compañía.

Así las cosas, y en línea con la ya manifestada importancia de los Canales de Denuncia, debemos detenernos en la novedosa Directiva 2019/1937 o comúnmente conocida como Directiva Whistleblower, que nace para reforzar la aplicación del Derecho y de las políticas de la Unión. Por ello, establece normas mínimas para los Estados Miembros proporcionando principalmente protección a los denunciantes. Aún no se ha traspuesto dicha Directiva a nuestro ordenamiento jurídico, teniendo que hacerse antes de finalizar el año 2021. Ello supone novedades en materia de protección de los denunciantes.

Principalmente, la Directiva Whistleblower define su ámbito de actuación, teniendo incidencia tanto en el plano privado como en el público. Asimismo, protege tanto a los trabajadores de la organización como aquellos que comuniquen infracciones en el marco de una relación laboral ya finalizada. La nueva regulación va más allá y protege no solo al denunciante, sino a la figura del facilitador, entendiéndose como terceros que están relacionados con el denunciante y con aquellas entidades jurídicas implicadas. Es fundamental la oportunidad que se otorga a realizar la comunicación de modo anónimo.

Resulta esencial implementar los nuevos deberes de confidencialidad, entre los que se exige la no revelación de la identidad del denunciante sin el consentimiento expreso del mismo. Salvo que se trate de una obligación necesaria y proporcionada. En este mismo sentido, se enumeran medidas que pudieran tomar a modo de represalia contra los denunciantes, quedando todas ellas prohibidas de cualquier modo la ejecución de las mismas.

Otro de los aspectos fundamentales que se proponen en la nueva regulación es el seguimiento de la denuncia recibida a través de los canales habilitados para ello. Se puede destacar la novedad de informar al denunciante del acuse de recibo en un plazo de siete días a partir de la recepción de la denuncia. La comunicación se seguirá de modo diligente y dará respuesta a las mismas en un plazo razonable; que no podrá excederse tres meses desde el acuse de recibo. Para que el procedimiento cumpla con todas las garantías es necesario que la información sea clara y fácilmente accesible.

En definitiva, el canal de denuncias se evidencia como uno de los elementos esenciales de cualquier sistema de gestión de compliance. Se debe entender como una herramienta que, aporta valor añadido en la cultura ética de la compañía, de la que se pueden hacer valer sus empleados y que le permite conocer de pleno las actividades que se realizan en el seno de la misma. No hay que olvidar la importancia de la protección al denunciante, que como se ha venido manifestando en los últimos tiempos ha adquirido un papel de especial trascendencia. Desde ECIJA creemos que implementar un Canal de Denuncias da a conocer el compromiso con las buenas prácticas de cualquier compañía que cuente con este Canal, además de facilitar la gestión y comunicación con los miembros de la misma e incluso con otros terceros, otorgando así un alto valor añadido y un impacto reputacional positivo.

 

Cyborgs e IA: retos hacia una nueva realidad

Cyborgs e IA: retos hacia una nueva realidad

¿Cuántas veces hemos escuchado la frase: “me estoy quedando sin batería”? Seguramente cientos, y no parece que haya nada de extraño en ella, pero ¿acaso nos pasa esto a nosotros o a los dispositivos que utilizamos a diario? Según Neil Harbisson, un artista cyborg, este pensamiento es una señal de la unión psicológica entre la tecnología y nosotros, empezando a perder la diferencia entre ambas cosas. En su caso, al ver todo en escala de grises desde su nacimiento esto le empujó a investigar sobre las frecuencias de colores y ahora tiene una antena implantada en su cabeza, que le hace escuchar esas frecuencias mediante un software, llegando incluso a distinguir los infrarrojos y ultravioleta. Todo ello lleva a la creación de los sentidos artificiales (no inteligencia artificial) como proyectos de futuro. Ahora bien, esto no está exento de dificultades a nivel de bioética, seguridad en caso de hackeo o la aceptación por la propia sociedad.

 

El desarrollo de IA es otro de los temas que pone en manos de los expertos un inmenso abanico de posibilidades y, al mismo tiempo, preocupaciones. Elon Musk, CEO de Tesla y SpaceX, defiende la postura de integrarnos con la inteligencia artificial para evitar que ésta nos supere en el futuro. Con ese objetivo está desarrollando el proyecto llamado Neuralink, con el que aspira lograr una mejora humana (transhumanismo) a largo plazo. Sin embargo, queda mucho recorrido todavía y por eso entre los objetivos a corto plazo está crear las interfaces cerebro-computadora para ayudar, entre otras cosas, a las personas incapacitadas físcamente a controlar teléfonos, ordenadores, prótesis robóticas y sintetizadores del habla, además de curar el autismo o la pérdida de memoria.

 

Habrá que esperar para ver si estos proyectos formarán parte de nuestras vidas o quizás simplemente se queden en la ciencia ficción, y no como ya están siendo, por ejemplo, las predicciones con IA en el campo de medicina a través del análisis de radiografías de rayos X para calcular la probabilidad de desarrollar una enfermedad.

 

Lo cierto es que vivimos en una época de cambios y transformaciones. De una forma u otra, todas estas iniciativas nos van a llevar a que se produzca un mayor desarrollo e impulso en campos como la salud, la medicina, la ciencia y la tecnología, llegando a evolucionar hasta tal punto en el que sea bastante difícil distinguirlos y separarlos. Todo ello sin dejar de tener en cuenta la repercusión que estos hechos tendrán más allá de lo puramente médico, ya que conllevarán cambios regulatorios, legislativos, éticos, de seguridad…

 

Olena Steblynska

Data Analyst ECIJA Advisory

PSD2 y protección de datos: perspectivas a casi un año de la consulta realizada por el Comité Europeo de Protección de Datos

Autora: Daniela Vidal Bucher.

A casi un año del lanzamiento de la consulta que el Comité Europeo de Protección de Datos hizo en julio de 2020 a los distintos actores y operadores del mercado sobre las implicaciones jurídicas que tenía la PSD2 o Second Payment Services Directive[1] en materia de protección de datos, sigue siendo relevante en la actualidad y prueba de ello son la cantidad de nuevos actores que se han incorporado al mercado de servicios de pago y financiero, donde podemos observar a empresas como WhatsApp entrando en Brasil hace sólo unas semanas, ofreciendo mecanismos de pago inmediatos y sin ninguna clase de comisión a los usuarios.

La PSD2, traspuesta al ordenamiento jurídico español a través del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera (en adelante, “RDL 19/2018”) introduce varias novedades, pero sin lugar a dudas la más relevante, por implicar una alteración de los participantes en el mercado, fue habilitar que los consumidores tuviesen el derecho de permitir que terceros, es decir, que terceras empresas pudiesen acceder a las cuentas de pago que el cliente tuviese con su banco o incluso en distintos bancos. Estos terceros son los denominados “iniciadores de pago” y los “agregadores de información sobre cuentas”. Los primeros ejecutan órdenes de pago en nombre del cliente y, los segundos normalmente analizan los datos de las transacciones o movimientos bancarios para devolver información agregada al cliente sobre sus niveles de gasto, ingresos, porcentajes de endeudamiento, ahorro, etc.

Esto ha supuesto para todo el sector un antes y un después en cuanto parecía que la relación exclusiva con los clientes se veía amenazada. Hoy, echando la vista hacia atrás vemos que el mercado ha abierto las puertas a estos actores y que de hecho muchos de ellos se han transformado en auténticos players de la banca.

Siendo esto así, como no podía ser de otra manera y dada la sensibilidad que supone que haya terceros accediendo a las cuentas de pago de los clientes, que la PSD2 hace referencias explícitas a la protección de datos y al Reglamento General de Protección de Datos (en adelante, “RGPD”)[2]. Tres son los pilares fundamentales o limitaciones que se van a encontrar estos actores.

La primera de ellas, el acceso a las cuentas de pago deberá estar autorizada por los clientes. Debe quedar rastro de ese acceso, y estar autorizado e informado, de acuerdo a lo establecido por la normativa de protección de datos. Es decir, las obligaciones informativas del RGPD y de licitud del tratamiento se aplican en toda su extensión.

En segundo lugar, el acceso deberá ser limitado a lo solicitado por el cliente. El acceso a una cuenta de pago no puede ser una vía libre para obtener cuantos datos se quiera acerca del cliente, más teniendo en cuenta lo sensible que son determinados datos que figuran en dichas cuentas, como ocurre, por ejemplo, con el pago de las afiliaciones a partidos políticos, asociaciones religiosas, o incluso determinada información de la que pudiera extraerse conclusiones sobre la inclinación sexual de determinada persona o incluso, a nivel salud, por ejemplo, tipo de primas abonadas a los seguros, o el abono de determinado tratamiento, etc.

En definitiva, lo que la normativa de protección de datos clasifica como categorías de datos de especial protección que requieren a los responsables del tratamiento medidas adicionales para su tratamiento. En otro orden de cuestiones, también es importante considerar qué ocurre con los datos de los beneficiarios de una transferencia bancaria que figura también en esas cuentas de pago y a quienes no se les ha pedido autorización para el tratamiento de sus datos.

En relación con lo anterior, el Comité Europeo de Protección de Datos en su guía de diciembre sobre este tema habla de la proporcionalidad. Elemento que también ha sido mencionado en reiteradas ocasiones por la AEPD en sus recientes sanciones económicas.

Por último, el pilar de la seguridad. El acceso no podrá darse si no es seguro como no podía ser de otra manera, y por ello se incluye toda una serie de medidas de seguridad tendentes a proteger la confidencialidad, integridad y disponibilidad de los datos y que variará según estemos hablando de iniciadores de pago o de agregadores de información sobre cuentas.

En definitiva, la PSD2 eleva las obligaciones a estos operadores por la sensibilidad de los datos involucrados en esta clase de tratamientos, aspectos que, sin duda, redundan tanto en el cumplimiento normativo como en la generación de confianza y valor a entidades y usuarios.

Si tienes cualquier duda sobre los tratamientos de datos mencionados en el presente artículo o cualesquiera otros, no dudes en contactar con nuestro Departamento especializado en Privacidad y Protección de Datos.

[1] Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE

[2] REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Denominación de Origen: ¿puede proteger frente a servicios vinculados a la distribución directa o indirecta?

Autor: Claudia Peña

El 10 de octubre de 2019, la Audiencia Provincial de Barcelona, elevaba una serie de cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea (TJUE) relativas a la interpretación del artículo 103 del Reglamento Europeo 1308/2013 por el que se crea la organización común de mercados de los productos agrarios[1] (Reglamento), sobre la tutela que aporta la normativa a los productos protegidos por la denominación de origen.

El proceso principal del que se derivan las cuestiones prejudiciales involucra al Comité Interprofessionnel du Vin de Champagne (CIVC) y a GB, usando los últimos el signo “champanillo” en el sector de la hostelería como nombre comercial de locales destinados a bares de tapas en Cataluña; es decir, utilizado para designar servicios y no productos.

CVIC alegó que existía riesgo de confusión en el mercado por el uso del término champanillo con la denominación de origen champagne, solicitando el cese inmediato del uso del término champanillo no solo en los locales, sino también en todas las redes sociales y páginas de internet.

El Reglamento define denominación de origen como “nombre de una región, de un lugar determinado o, en casos excepcionales debidamente justificados, de un país, que sirve para designar un producto […]”, este producto deberá cumplir una serie de requisitos recogidos en el Reglamento para gozar de la designación.  

Aunque el procedimiento de cuestiones prejudiciales sigue pendiente de resolución por parte del TJUE, el Abogado General, Giovanni Pitruzzella, emitió el pasado 29 de abril sus conclusiones sobre las mismas.

El artículo 103 en su apartado segundo letra b del Reglamento establece que las denominaciones de origen están protegidas de cualquier “[…] evocación, aunque se indique el origen verdadero del […] servicio […]”, y es por ello que el Abogado General recomienda al TJUE que, para dar respuesta a la primera cuestión prejudicial, interprete la protección que otorga el Reglamento no solo para prácticas que hagan referencia a productos o servicios similares, sino también para las que evoquen una denominación de origen en prestación de servicios.

Para poder aportar su interpretación a la cuestión prejudicial segunda y tercera, el Abogado General analiza si el término champanillo evoca al término champán y puede inducir a error al consumidor medio, asociando por ende los mismos. Indica que ha de realizarse por parte de la Audiencia Provincial de Barcelona un análisis en conjunto de las circunstancias, además de la similitud fonética y visual de la denominación de origen y el término controvertido. El Abogado General concluye en este punto que, a su percepción es de aplicación el apartado segundo letra b del artículo 103 del Reglamento, ya que champanillo[…] induce al consumidor medio europeo normalmente informado y razonablemente atento y cuidadoso a pensar directamente, como imagen de referencia, en el producto amparado por la DOP «Champagne» […][2].

Respecto la cuarta y última cuestión prejudicial, la cual hace referencia a si la evocación se puede interpretar como competencia desleal, el Abogado General indica que la normativa de protección de las denominaciones de origen frente a términos que las evoquen, no implica que exista una competencia entre los productos protegidos por la mismas y los servicios, en este caso, controvertidos.

Quedamos a la espera de la resolución del TJUE, donde podremos ver hasta qué punto el tribunal ha seguido las recomendaciones recibidas por parte del Abogado General y qué recomendaciones e indicaciones facilita el mismo a la Audiencia Provincial de Barcelona, ¿tendrán que retirar champanillo de los locales de bares y tapas de Cataluña? Pronto lo sabremos.


[1] Reglamento Europeo 1308/2013 del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, por el que se crea la organización común de mercados de los productos agrarios y por el que se derogan los Reglamentos (CEE) n ° 922/72, (CEE) n ° 234/79, (CE) n ° 1037/2001 y (CE) n ° 1234/2007

[2] CONCLUSIONES DEL ABOGADO GENERAL SR. GIOVANNI PITRUZZELLA presentadas el 29 de abril de 2021(1). Asunto C‑783/19.

Protección de datos y redes sociales: ¿cómo casan ambos factores?

Autor: Lorea Roncal, asociada en ECIJA

Como bien sabemos el Reglamento General de Protección de Datos de la Unión Europea (RGPD), que entró en vigor en mayo de 2018, supuso la existencia de una norma común en toda la UE sobre la protección de datos personales, sin embargo, también trajo consigo importantes novedades, entre las que destacamos:

  • Consentimiento explícito de los usuarios para determinadas finalidades.
  • Comunicación a la AEPD de infracciones en materia de protección de los datos en un plazo máximo de 72 horas.
  • En determinados supuestos, comunicación a los usuarios de tal infracción, cuando sus consecuencias les afecten.
  • Se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento.
  • Obligación de informar a los usuarios de los datos de responsable de tratamiento, finalidad, plazo de guarda, derechos e información adicional, de forma concisa, transparente y fácil de entender
  • El RGPD aplica a todas las empresas que traten datos de ciudadanos de la UE, aunque no estén registradas en un país europeo.
  • DPO obligatorio en determinados supuestos
  • Si compartes datos personales con otras empresas, has de asegurarte de que también cumplen el RGPD (por ejemplo, en el caso de proveedores de e-mailing o campañas de co-marketing).

Si bien en el presente únicamente nos centraremos en los cambios que trajo consigo el RGPD en las áreas de comunicación y marketing de las empresas y, cerrando el círculo, las consecuencias que implica el cumplimiento de tan aludida norma en el uso de RRSS.

Facebook, Instagram WhatsApp y Messenger

Estas RRSS; como otras y otros tantos dominios, actualizaron con motivo de la cita norma sus políticas de privacidad con la finalidad de adecuarse, así como de seguir prestando sus servicios en el territorio UE en los términos que venían haciendo hasta la fecha.

En 2018 con motivo de la obligatoriedad marcada por el RGPD, FB, entre otras, se dedicó a enviar notificaciones por medio de email a sus usuarios con la finalidad de obtener el consentimiento claro, expreso e inequívoco en los términos recogidos por el RGPD.

Si bien el consentimiento, en cumplimiento de norma, se ciñe a aquellas personas mayores de 14 años, siendo así que en el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores, cabe recalcar que es WhatsApp quien eleva esta edad a los 16, recogiendo en sus políticas de uso que Si resides en un país del Espacio Económico Europeo (incluida la Unión Europea) o en cualquier otro país o territorio que forme parte de él (denominados en conjunto Región europea), debes tener al menos 16 años de edad (o más, si así lo requiere la legislación de tu país) para registrarte y utilizar WhatsApp. https://faq.whatsapp.com/general/security-and-privacy/minimum-age-to-use-whatsapp/?lang=es ofreciendo si cabe una postura un poco mas garante que el resto de las redes, si podemos entenderlo así.

Twitter

Twitter gestionó los cambios por medio de una posibilidad amplia de configuración de privacidad en cuenta. Esta RRSS permite, y como tal se recoge en su política política de privacidad, la configuración de no solo de acceso y comunicación pública del perfil, sino también de los accesos, lecturas, privacidad o publicidad de comentarios y tweets, entre otros.

Twitter permite, en esta configuración personalizar anuncios, personalizar dispositivos donde se ha iniciado sesión, Aplicaciones, preferencias y gustos según criterios de ubicación, entre otras.

LinkedIn

Los cambios en esta RRSS no han sido, quizás, de tanta relevancia como los anteriores, si bien es importante remarcar que a fecha de hoy la política de uso de datos de LinkedIn ofrece la posibilidad de acceder a los datos de los usuarios desde puntos externos a esta plataforma, si bien ofrece la posibilidad de oposición y/o revocación de consentimiento pudiendo el usuario negarse a dicho acceso desde fuera de esta plataforma.

Cambios más destacados

Común a todas las mencionadas, y resumiendo los cambios más destacados que vinieron con el RGPD, son:

  • Obtención del consentimiento expreso y manifiesto, en lenguaje claro y sencillo cuando el tratamiento es para determinadas finalidades (Comunicaciones comérciales, perfilados, etc).
  • Obligación de informar, entre otros puntos como los plazos de guarda, de las cesiones y comunicaciones, de que los datos de usuarios se compartirán entre distintas plataformas, independientemente de que formen parte de un mismo grupo (Ejemplo FB y WhatsApp).
  • La posibilidad de revocación de consentimiento, ejercicios del derecho de oposición, y sobre determinadas finalidades, no aprobando todas en bloque, como se hacía con anterioridad.
  • La elevación de la edad de uso de aplicación de los 14 a los 16, como hemos comentado del caso de WhatsApp.

Si bien hemos querido presentar de manera somera las novedades en las políticas y condiciones de uso de las RRSS mentadas, queremos hacer de igual modo una reflexión sobre los peligros en materia de ciberseguridad, privacidad y riesgos que implica no solo el uso de RRSS sino del acceso a las mismas, iniciando sesiones desde distintos dispositivos y Apps, guardando tales datos de acceso, como son usser y password.

En el propio blog de la Agencia Española de Protección de Datos describe los riesgos de la privacidad en las condiciones de uso que indicamos, esto es la posibilidad que nos ofrecen determinados servicios o Webs, de ingresar en los mismo no por medio de usser y password ex novo, sino utilizando los propios datos de acceso de otras cuentas, o RRSS, como son Google,  Instagram, TikTok, Twitter, Facebook, para ingresar en dominios como Aliexpress o Ebay entre muchos otros., de este modo se nos permite no tener que darnos de alta, ex novo como decimos, si no usar esas webs o Apps usando los datos de registro previos en otros dominios. Este servicio se basa en que un tercero independiente (como es una RRSS) es quien autentica al usuario ante las diferentes aplicaciones o sitios webs. Esto, a los ojos de cualquier usuario es una práctica que comporta riesgos en la privacidad del usuario, así como en la confidencialidad de nuestros datos.

La multitud de identidades digitales que tenemos hoy en día hace que sea cada vez más complicado recordar las contraseñas en los términos que cualquier reglamento, guías o recomendaciones de seguridad nos indican (número de caracteres mínimos, mayúsculas, minúsculas, números, caracteres extraños, etc.)

Este sistema de acceso se denomina Identidad Federada (Federated Identity Management) cuyo objeto es obtener una gestión de usuarios eficiente y la sincronización de datos identificativos, gestión de acceso y servicios de agrupación de identidades y accesos.

El uso de identidades federadas supone una serie de ventajas, y así lo indica la AEPD, estas son:

  • Reducir el número de credenciales que usamos.
  • Agilizar los procesos de registro.
  • Menor riesgo de hackeo de credenciales de acceso afectadas por una brecha de seguridad dado que esas aplicaciones no guardarán nuestras contraseñas. Y en caso de verse afectada sólo sería necesario cambiar una contraseña.

El uso de la autenticación de Identidad federada debe contar con las garantías suficientes para no perder el control sobre nuestros datos personales. Por tanto, esta manera de proceder implica igualmente ciertos riesgos, como:

  • Pérdida de control sobre los datos personales.
  • Utilización de los datos para finalidades distintas de las consentidas por el usuario.
  • Acceso de las RRSS a una mayor información sobre nuestro uso de las aplicaciones o datos comportamentales.
  • En caso de perder el control sobre la cuenta de la red social (robo de credenciales), se pierde también el control del resto de servicios donde nos hemos registrado con esa cuenta, que podrían también verse comprometidos.

La propia AEPD, como otras entidades, dan recomendaciones sobre el uso racional y seguro de RRSS, aplicaciones y registros, si bien, en la ponderación de la comodidad del usuario y agilidad de acceso, frente al control, confidencialidad y privacidad de la información que damos o cuyo acceso facilitamos de manera más o menos informada, ha de prevalecer la privacidad el usuario, el secreto, la intimidad el uso racional de redes; sin embargo, estas cuestiones no son tema en boga hoy en día.

Buscamos la rapidez, la inmediatez y eso nos hace relegar a un segundo plano factores o principios como la racionalidad y la intimidad en la navegación que hagamos por las redes.

Sea por exceso de información, sea por la falta de claridad, esta manera de funcionar puede suponer la limitación en las libertades del usuario, las cuales, además, se dan con su propio consentimiento, eso sí, expreso, manifiesto, libre e informado.

No siempre es prevaricación: concepto de resolución en torno al delito de prevaricación

Autor: Noelia Álvarez, asociada senior en ECIJA.

Referencia al supuesto de los acuerdos de los Consejos de Gobierno de las comunidades autónomas que contienen los anteproyectos de las leyes de presupuestos autonómicas

El Código Penal regula en su artículo 404 el delito de prevaricación, y lo hace en los siguientes términos:

“A la autoridad o funcionario público que, a sabiendas de su injusticia, dictare una resolución arbitraria en un asunto administrativo, se le castigará con la pena de inhabilitación especial para empleo o cargo público y para el ejercicio del derecho de sufragio pasivo por tiempo de nueve a quince años”.

En este contexto, para analizar aquellos casos en los que se puede considerar que un funcionario público o una autoridad ha cometido este delito deben concurrir una serie de elementos que conforman el mismo, a saber:

  • Es necesario que el sujeto activo del delito sea una autoridad o funcionario público en los términos del artículo 24 del Código Penal[1];
  • Debe existir una resolución que sea contraria a Derecho
  • Esa resolución contraria a Derecho debe ser dictada de forma arbitraria e injusta
  • Esta resolución debe ser dictada con conocimiento. El funcionario o autoridad pública debe actuar a sabiendas de la injustica que está cometiendo

En muchas ocasiones, el elemento que más controversia genera a la hora de dilucidar su posible existencia es la concurrencia de una resolución propiamente dicha que haya sido dictada por el funcionario o la autoridad pública.

¿Qué se entiende por “resolución” a los efectos del delito de prevaricación?

Por “resolución” ha de entenderse todo acto administrativo que suponga una declaración de voluntad de contenido decisorio que afecte a los derechos de los administrados y a la colectividad en general, quedando expresamente excluidos los actos políticos[2].

Es en este contexto donde en nuestra labor defensora, los abogados en múltiples ocasiones nos encontramos con clientes de perfil político que son acusados por la comisión de un delito de prevaricación por haber aprobado Anteproyectos de Leyes de Presupuestos -a través de los consecuentes Acuerdos del Consejo de Gobierno de las correspondientes comunidades autónomas-, cuando estos documentos no pueden ser en ningún caso considerados como “resolución” a efectos del delito de prevaricación.

Todos los gobiernos autonómicos en España tienen la obligación de preparar cada año el correspondiente Anteproyecto de Ley de Presupuestos para cada Comunidad Autónoma para su posterior remisión al los diferentes Parlamentos autonómicos que la votarán, enmendarán y aprobarán. Normalmente esos Anteproyectos se encuentran recogidos en los Acuerdos del Consejo de Gobierno de las correspondientes comunidades autónomas que, en ningún caso, cumplen con los requisitos exigidos por la doctrina jurisprudencial de la Excma. Sala Segunda del Tribunal Supremo puesto que la adopción de los mismos constituyen meros actos preparatorios de la posterior conformación de voluntad presupuestaria de los diferentes Parlamentos autonómicos -órganos con competencia exclusiva y excluyente para el examen, enmienda y aprobación de las Leyes de Presupuestos de las diferentes comunidades autónomas-.

De hecho, del estudio jurisprudencial realizado al respecto se extraen las siguientes conclusiones:

  • Los acuerdos de los Consejos de Gobierno por los que se aprueban los Anteproyectos de las Leyes de Presupuestos de las diferentes comunidades autónomas y su remisión como proyectos de leyes a los diferentes parlamentos no son resoluciones dictadas en asuntos administrativos puesto que no se pueden caracterizar como actuaciones administrativas sujetas a Derecho Administrativo, en tanto en cuanto ello supondría desconocer o devaluar la naturaleza sustancial de la posterior actuación de los parlamentos, ya que solo la aprobación parlamentaria es la que dota de validez jurídica y eficacia a dicho ato gubernamental.
  • Los referidos acuerdos de los Consejos de Gobierno son meros actos preparatorios de una decisión parlamentaria en materia presupuestaria cuya adopción corresponde exclusiva y excluyentemente a los diferentes parlamentos, tras su examen, enmienda y aprobación en sede parlamentaria.
  • Los acuerdos de los Consejos de Gobierno son actos carentes por si mismos de entidad jurídica propia y, por tanto, están privados de eficacia jurídica excepto la propiamente preparatoria del acto parlamentario en si mismo
  • Los acuerdos de los Consejos de Gobierno carecen de efectos jurídicos ad extra del propio procedimiento presupuestario, por lo que por si mismos no podrían afectar a derechos o intereses de terceros

Todo lo anterior es así, toda vez que estos acuerdos de los Consejos de Gobierno autonómicos constituyen verdaderos actos políticos o de gobierno que, según se ha establecido con anterioridad, no pueden en ningún caso ser considerados resoluciones a efectos del delito de prevaricación previsto y penado en el artículo 404 del Código Penal[3].


[1] Art. 24 CP: “1. A los efectos penales se reputará autoridad al que por si solo o como miembro de alguna corporación, Tribunal u órgano colegiado tenga mando o ejerza jurisdicción propia. En todo caso, tendrán la consideración de autoridad los miembros del Congreso de los Diputados, del Senado, de las Asambleas Legislativas de las Comunidades Autónomas y del Parlamento Europeo. Se reputará también autoridad a los funcionarios del Ministerio Fiscal. 2. Se considerará funcionario público todo aquel que por disposición inmediata de la Ley o por elección o por nombramiento de autoridad competente participe en el ejercicio de la función pública.”

[2] Sentencia del Tribunal Supremo 627/2006, de 8 de junio

[3] Sentencia del Tribunal Constitucional 83/2016 de 28 de abril, entre otras.

El préstamo financiero, una nueva forma de canalizar la inversión privada en las producciones audiovisuales nacionales

Autor: Carmen Aguado, abogada de ECIJA.

En los Presupuestos Generales del Estado, a través de la Ley 11/2020, de 30 de diciembre, de Presupuestos Generales del Estado para el año 2021, se han mejorado los incentivos fiscales al cine. El Gobierno español ha realizado cambios en la Ley del Impuesto de Sociedades (en adelante “LIS”) respecto a los artículos 36.1, 36.2, 39.5 y 39.7, que atañen tanto a las producciones nacionales (crédito fiscal) como a las internacionales (tax rebate).

En el presente artículo nos vamos a centrar en la introducción de los contratos de préstamo como una alternativa a la materialización de la inversión, diferente a la vigente hasta la fecha, que consistía en la aportación de capital de los inversores a través de una Agrupación de Interés Económico (en adelante “AIE”).

Es importante señalar que este nuevo texto normativo permite seguir utilizando las AIEs, como vehículos jurídicos para canalizar la inversión privada en el sector audiovisual referido a producciones nacionales y en el de las artes escénicas. Las AIEs no quedan derogadas, sino que se introduce un nuevo mecanismo para canalizar la inversión privada, más sencillo, pero con una rentabilidad más limitada para el inversor, que son los contratos de préstamo.

Esta nueva alternativa ha incorporado un debate dentro del sector, sobre qué mecanismo es el más útil desde el punto de vista del productor y del potencial inversor.

Los contratos de préstamo, como nueva fórmula de inversión, se recogen en un nuevo apartado 7 del artículo 39 LIS (en adelante “Contrato de Préstamo”), permiten que se pueda transmitir las deducciones del art. 36.1 referidas a las inversiones en producciones audiovisuales españolas mediante la formalización de un contrato de financiación con un tercero (que no disponga de derechos de propiedad intelectual sobre la obra), bajo el cumplimiento de determinados requisitos formales. La rentabilidad de la transferencia de créditos fiscales se limita, en este caso, al 20%.

Se establece un sistema idéntico al navarro, a través de un contrato de financiación.

Los requisitos formales que tiene que disponer dicho Contrato de Préstamo son los siguientes:

  • Identidad de los contribuyentes que participan en la producción.
  • Descripción de la producción.
  • Presupuesto de la producción con descripción detallada de los gastos y, en particular, de los que se vayan a realizar en territorio español.
  • Forma de financiación de la producción, especificando separadamente las cantidades que aporte el productor, las que aporte el contribuyente que participe en su financiación y las que correspondan a subvenciones y otras medidas de apoyo.

Antes de la finalización del período impositivo, los contribuyentes junto a la productora, que pretendan acogerse a la deducción por inversiones en producciones nacionales, deberán presentar una comunicación a la Agencia Tributaria, acompañada del contrato de financiación y de los certificados de nacionalidad española y de interés cultural de la obra audiovisual emitidos por el ICAA.

De la redacción del referido precepto normativo se sacan las siguientes conclusiones:

  • Los inversores no van a obtener rentabilidad vía bases imponibles negativas (en adelante “BINS”), solo vía deducción, y limitada a un 1.20 de la cantidad aportada. Dicha rentabilidad se limita a una rentabilidad vía ahorro fiscal, no se le podrá otorgar al inversor privado una rentabilidad extraordinaria explícita. La imposibilidad de “aprovecharse” de las BINS y de obtener una rentabilidad superior al 20% hace que muchos inversores y productoras prefieran seguir utilizando el método tradicional de las AIEs.
  • La naturaleza de los inversores es privada, ajena al sector audiovisual, pues no van a disponer de derechos de propiedad intelectual sobre la obra, por lo cual, ningún co-productor y/o titular de derechos de explotación de la obra va a poder optar por esta vía de financiación.
  • El préstamo puede establecerse desde la fase de preproducción. En este sentido, el riesgo de producción se traslada al inversor, por lo cual, esta situación podría provocar cierta inseguridad jurídica para el inversor en el caso que la obra no se finalizase dentro del plazo establecido o que, por cualquier motivo, el rodaje o la producción de la obra no concluyese.
  • El contribuyente que participe en la financiación de la producción aplicará anualmente la deducción, en función de las aportaciones desembolsadas en cada periodo impositivo, siempre y cuando se aporten los certificados de cultura y nacionalidad emitidos por el ICAA, que solo se pueden obtener una vez finalizada la obra.
  • Se establece que el Productor traspasa las deducciones a los inversores. Este punto ha traído cierta discusión (se ha presentado una Consulta a la Dirección General de Tributos) sobre la posibilidad de permitir a inversores peninsulares que inviertan en producciones canarias la posibilidad de aplicarse los tipos incrementados propios de los incentivos canarios (se requiere el pronunciamiento de la Dirección General de Tributos a través de una consulta vinculante).

De forma más gráfica se acompaña el siguiente esquema donde indicamos las ventajas e inconvenientes, desde la doble perspectiva del productor y del inversor sobre la inversión a través AIEs hasta la de los Contratos de Préstamo.

A) DESDE EL PUNTO DE VISTA DEL INVERSOR:

 

B) DESDE EL PUNTO DE VISTA DEL PRODUCTOR:

De todo lo expuesto, concluir que ambos métodos son válidos, tienen sus pros y sus contras. Lo recomendable es analizar, en particular, cada proyecto audiovisual para determinar cuál de las dos fórmulas es la más beneficiosa para dicha obra audiovisual en concreto, pero, sobre lo todo, lo más importante es que con esta nueva fórmula se aliente y se incentive la aparición de más inversores que se animen a invertir en producciones nacionales y contribuyan al desarrollo de este sector.

5 preguntas y respuestas sobre tratamiento de datos en universidades y centros educativos

Autor: Lorea Roncal, asociada en ECIJA.

Hace un año la Conferencia de Rectores de las Universidades Españolas (Crue) elaboró la «Guía sobre la protección de datos personales en el ámbito universitario en tiempos del COVID-19», solventando gran parte de las dudas planteadas hasta la fecha en los meses previos a su publicación desde la aparición del Covid-19. Nuestra finalidad ahora misma es plantear las curiosidad y cuestiones que diversos clientes del ámbito docente nos han planteado en este peculiar año.

¿Se pueden grabar las clases?

Al imposibilitar la asistencia a clases presenciales, surgió la necesidad de continuar con la actividad docente vía on line; con la finalidad de facilitar el uso de recursos del alumnado, la disponibilidad de tales clases y la accesibilidad de recursos facilitando la grabación de las clases ha sido una alternativa, siendo esta totalmente factible siempre y cuando se cumpliese con una serie de exigencias o requisitos de forma previa, siendo estos:

  • Que las grabaciones únicamente puedan ser utilizadas en el entorno de la asignatura.
  • Se informe previamente de la grabación, términos, uso, condiciones, disponibilidad y condiciones, de forma que profesorado y conozcan el tratamiento de datos que se realiza.

Los responsables, además, han de informar de que, en orden al respeto de la intimidad de los asistentes se opte preferentemente (no obligatoriamente) por las interacciones en el chat, de forma que se favorezcan las interacciones sin activar la cámara.

¿Puede un alumno grabar dichas clases?

No, siempre y cuando no tenga el consentimiento del resto de alumnos asistentes.

¿Y cómo se graban exámenes respetando la intimidad personal y familiar de los “asistentes”?

Se debe informar a los asistentes que por favor dispongan la cámara d e tal forma que grabe al asistente en su marco más completo, pero más privado, esto es respetando la intimidad propia y familiar, asumiendo las partes que, aunque sea d e forma accidental pueden ser grabadas, bajo responsabilidad del asistente/alumno, ubicaciones y/o personas que poco o nada tengan que ver con la actividad docente y persona del alumno.

Además, la universidad o centro educativo informará de las eventuales consecuencias académicas, si las hubiera, de no seguir estas recomendaciones.

¿Hemos de tener en cuenta alguna medida en particular para los supuestos de adaptaciones curriculares cuando concurran circunstancias de diversidad funcional?

Pues bien, no se tendrán en cuenta medidas adicionales que las que ya se disponen, o se vienen aplicando, en las clases presenciales; la ampliación de tiempo de examen, el planteamiento de otro tipo de preguntas o recorte de volumen de la materia a evaluar, se llevará a cabo en las mismas condiciones que se hacia en la “era precovid”; siempre respetando, en la medida de lo posible, la intimidad y confidencialidad de la persona y sus circunstancias personales.

¿Ha de conocer el personal docente la circunstancia concreta de los alumnos dotados de adaptación curricular?

La recogida de datos por el centro educativo es lícita y legitimada por el RGPD en su artículo 6.1 Tratamiento necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento y  6.1.e) Tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Si bien tal legitimación en la recogida no legitima o ampara, la comunicación de toda la información al profesorado, sino que, en cumplimiento de los principios de minimización y proporcionalidad, serán los datos pertinentes y necesarios los que sean comunicados al personal que per se deba conocerlos, no extrapolando tal comunicación a la totalidad de los datos del alumno.

La finalidad de posibilitar la función docente y orientadora del personal docente con respecto a la situación especial de un alumno y las medidas particulares a tener en cuenta, no implica la necesidad de comunicar el expediente del alumno en su totalidad dado que podría suponer una intromisión excesiva en la intimidad de aquel; el hecho de desconocer el profesor el diagnostico concreto no imposibilita de ningún modo la docencia, dado que la dirección de esta tendrá en cuenta las recomendación de la propia entidad educativa, quien lo ha elaborado no solo teniendo en cuenta ese “diagnóstico” sino la suma de más factores, los cuales, tampoco son comunicados al personal docente.

Si bien cabe recordar que la entidad educativa no puede controlar la información que, de sí mismo, dé un alumno al personal docente o no docente del centro, siendo así que cada persona es responsable de la información que dé u omita respecto a sí mismo; prevaleciendo el respecto por la intimidad, la protección de datos y la confidencialidad que la entidad educativa dispone sobre tal alumno en la posición garante que ocupa.

¿Está la universidad/centro educativo autorizada/o a solicitar el certificado de delitos sexuales de sus empleados?

Según el Ministerio de Justicia, en nota emitida hace unos años en relación con la modificación de la ley del menor (Ley Orgánica 1/1996, de Protección Jurídica del Menor, modificada en 2015 por la Ley 26/2015 y la Ley 45/2015, de voluntariado) se establece la obligación de aportar certificados negativos del Registro Central de Delincuentes Sexuales para todos los profesionales y voluntarios que trabajan en contacto habitual con menores.

De ahí que la Universidad este completamente legitimada para solicitar el certificado de delitos sexuales de aquellos alumnos/Empleados o usuarios en prácticas, siempre y cuando el acceso y ejercicio a las profesiones, oficios y actividades impliquen contacto habitual con menores. Es importante esta delimitación que la norma hace ya que no estaremos legitimados a solicitar este certificado en aquellas profesiones que, teniendo un contacto habitual con el público en general, entre los que pueden encontrarse menores de edad, no estén por su naturaleza exclusivamente destinados a un público menor de edad.

El hecho de poder tener un contacto con menores no determina, per se, una limitación para el acceso y ejercicio a determinadas profesiones, dado que se entiende que es necesario que la actividad implique en sí misma un contacto habitual con menores, siendo estos el público principal (“target”) o destinatario prioritario al que se dirigen los servicios ofrecidos o contratados (no como algo ocasional o meramente simbólico o accidental). De este modo cumplimos con el principio de calidad de los datos.

De cara a la prescripción, caducidad o renovación de este certificado, el artículo 13.5 de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor establece que no hay un deber de acreditar periódicamente la falta de antecedentes mientras no haya circunstancias que justifiquen una nueva petición de certificado. No obstante, queda a criterio del empleador exigir nuevamente el certificado, en el caso de tener sospechas fundadas o cuando existan indicios racionales de que el trabajador hubiera podido ser condenado en sentencia firme por algún delito de naturaleza sexual con posterioridad a la presentación inicial del certificado.

Los certificados se guardarán en tanto en cuanto dicha documentación deba cumplir los fines previstos o se puedan derivar responsabilidades de cualquier tipo para el empleador; toda vez no exista causa que legitime esa guarda, deberán ser destruidos.

La entidad educativa podrá solicitar masivamente, previo consentimiento de los titulares de los datos, al Registro Central de Delincuentes Sexuales los certificados correspondientes, para lo cual el Ministerio de Justicia habilitó la posibilidad de solicitar y obtener certificados grupales, siguiendo un procedimiento estandarizado expuesto en la propia web del Ministerio.

Ahora bien, es importante recalcar que será cada empresa/entidad quien deberá solicitar tales certificados para su propio interés, no así para el interés o acerbo de terceros, lo que podría implicar, según la casuística, una cesión no autorizada de datos de especial protección carente de autorización del interesado.

El pre-pack concursal: ¿una oportunidad para salvar el tejido empresarial?

Artículo por Carla Boixareu.

La situación de emergencia de salud pública ocasionada por la pandemia internacional del COVID-19 y la declaración del estado de alarma mediante el Real Decreto 463/2020, de 14 de marzo, han supuesto la aplicación de un gran número de medidas y restricciones que han impactado en la gestión y la operativa de las empresas. Todo ello ha provocado que muchas empresas y actividades económicas se hayan visto obligadas a cerrar sus puertas o a limitar drásticamente su actividad.

El 14 de marzo de 2021 finaliza la moratoria por la que los deudores insolventes no están obligados a presentar la solicitud de concurso, y comenzarán a admitirse a trámite los concursos necesarios que intenten promover los acreedores, por lo que se prevé un incremento notable del número de solicitudes de concurso tanto voluntario, como necesario.

Uno de los problemas existentes en nuestro ordenamiento son los largos plazos procesales del procedimiento concursal, los cuales conllevan que el valor de los activos concursales y las unidades productivas se deterioren rápidamente y que sea complicado el mantenimiento de los puestos de trabajo.

En este contexto, tomando como ejemplo a países como Holanda y Reino Unido, recientemente los jueces de los Juzgados Mercantiles de Barcelona han aprobado unas directrices para introducir en España un mecanismo previo a la declaración de concurso denominado pre-pack concursal.

¿En qué consiste el pre-pack concursal?

El pre-pack concursal consiste en una fase pre-concursal en la que se llevan a cabo una serie de operaciones dirigidas a la venta de activos de la sociedad que podrán consistir en la venta de la totalidad de la empresa, de unidades productivas o la venta en globo de activos.

Estas operaciones son supervisadas por un experto independiente o administrador en materia de reestructuración (en adelante “el experto independiente”), nombrado por el Juez de lo mercantil, quien -por norma general- una vez declarado el concurso será nombrado administrador concursal.

¿Cómo se solicita el pre-pack concursal?

El deudor tiene la posibilidad de manifestar al Juzgado que está preparando las operaciones de venta (ya sea de la totalidad de la empresa, unidad productiva o venta en globo de activos) en el mismo escrito de comunicación de apertura de negociaciones con los acreedores (art. 583 TRLC) o bien en un escrito posterior.

Una de las novedades de este sistema consiste en que, tanto en el escrito inicial, como en el escrito posterior, el deudor podrá solicitar el nombramiento de un experto independiente.

Además, la solicitud deberá ir necesariamente acompañada del justificante de haber presentado un formulario virtual normalizado, una relación de empresas competidoras del deudor, así como una relación de inversores con los que el deudor ya ha contactado -o se compromete a contactar- a lo largo del proceso.

Fase preliminar o fase extrajudicial

Una vez presentada la solicitud comienza la fase preliminar o fase extrajudicial, en la que el deudor puede solicitar que a las operaciones sobre los activos se les aplique el carácter reservado, conforme a lo establecido en el artículo 583 TRLC.

Hasta que se declare el concurso el deudor mantendrá las facultades de administración y de disposición de su patrimonio, y sus decisiones deberán ser respetadas por el experto independiente, aunque éste podrá manifestar mediante escrito sus consideraciones al respecto.

El experto independiente es el encargado de garantizar la transparencia de las operaciones sobre los activos, y para ello, debe familiarizarse con el negocio del deudor, supervisar las operaciones de venta, informar a los acreedores y comprobar que existe igualdad de oportunidades entre estos, debiendo plasmarlo en un informe que presentará ante el Juzgado.

Fase judicial de autorización e implementación de las operaciones.

Finalizada la fase preliminar, cuando el deudor presenta la solicitud de concurso de acreedores con petición de liquidación deberá adjuntar el informe final del experto independiente junto con las propuestas finales de compra.

En el propio Auto de declaración de concurso se dará traslado de las propuestas de compra presentadas por un plazo de diez días para que los acreedores y demás interesados puedan efectuar alegaciones.

Transcurrido dicho plazo, el experto independiente, quien ya habrá sido nombrado administrador concursal, emitirá su informe sobre el plan de liquidación y el juez del concurso resolverá autorizando o denegando las operaciones de venta propuestas.

Regulación del pre-pack.

La figura del pre-pack no se encuentra regulada todavía en la legislación española, y de momento, únicamente los jueces de los Juzgados Mercantiles en Barcelona han aprobado unas directrices para aplicarlo.

Este sistema cuadra a la perfección con lo establecido en la Directiva de la UE 2019/1023 (de 20 de junio de 2019, sobre marcos de reestructuración preventiva, exoneración de deudas e inhabilitaciones, y sobre medidas para aumentar la eficiencia de los procedimientos de reestructuración, insolvencia y exoneración de deudas). Sería interesante que se llevara a cabo la trasposición de la citada Directiva lo más rápido posible, incluyendo este mecanismo, para así hacer frente a las numerosas solicitudes de concurso, cuya presentación se prevé para marzo.

Ventajas del pre-pack.

El mecanismo del pre-pack es una forma ágil y positiva de dar continuidad a las unidades productivas que funcionan, es decir, es una manera de mantener la actividad y los puestos de trabajo, a la vez que se permite que el precio de la transacción se ajuste lo máximo posible al de mercado, de forma que los acreedores puedan llegar a cobrar porcentajes más altos.

La realidad es que existen unidades productivas o empresas que son viables económicamente pero que sus propietarios tienen que soportar cargas que son insostenibles; gracias al pre-pack concursal se generan oportunidades de inversión para empresarios o emprendedores capaces de asumir la inversión y “sacar a flote” la unidad productiva o el negocio.

Por otro lado, en muchas ocasiones las propuestas de ventas de unidades productivas presentadas en los procedimientos concursales generan cierta desconfianza a los jueces y a los administradores concursales, al no haber podido comprobar si se han cumplido los requisitos de transparencia, publicidad y concurrencia entre los potenciales interesados. Si se tramita el pre-pack se acaba con el problema de la desconfianza, ya que se nombra un experto independiente que se encarga de velar por el cumplimiento de dichos requisitos.

El pre-pack ha despertado mucho interés, ya que puede ser un mecanismo que ayude a paliar la ‘avalancha’ de concursos de acreedores que dará comienzo en el mes de marzo, sin embargo, en España tendremos que esperar para ver si el resto de los Juzgados mercantiles acuerdan directrices similares y si en la trasposición de la Directiva se introduce este mecanismo.

La privacidad el futuro: conociendo el 5G

Por Karol Herrera, asociada en ECIJA. 

La red 5G, una realidad actual que ya podemos ver promocionada por las operadoras de telefonía, con el objetivo de mejorar la conectividad y permitir una transmisión de datos aún más veloz, es solo uno de los usos que tiene la quinta generación, que también persigue potenciar una enorme cantidad de nuevos servicios y mayor experiencia de usuario. Sin embargo, se necesitan mecanismos de protección adecuados para los datos y la privacidad de los usuarios, ya que esta tecnología desempeñará un papel crucial en la sociedad al conectar industrial verticales, como las redes inteligentes, las finanzas y los algoritmos, la sanidad robótica, las ciudades inteligentes y el internet de las cosas, entre muchas otras. En este artículo, se identificarán los principales retos a los que se enfrenta la privacidad en el futuro próximo ante el avance implacable del uso de la tecnología 5G.

En todo el ecosistema 5G participarán diferentes partes interesadas que prestarán diferentes servicios. La mayor cantidad de datos ha generado también la necesidad de infraestructuras más potentes, la integración de nuevas tecnologías como los conceptos de computación en la nube en las futuras redes 5G abrirá numerosos y nuevos retos en materia de privacidad. Algunos de estos problemas que se enumeran a continuación pueden tener su origen en las amenazas identificadas en el contexto de los conceptos de la nube.

¿Cuáles son las principales preocupaciones al as que se enfrenta la privacidad?

  1. Información confidencial: La privacidad en las redes 5G será crucial porque traerá una enorme transformación en términos de nuevas aplicaciones de la vida cotidiana, los consumidores decidirán utilizar redes móviles con mayor velocidad y con más potencia, donde se puedan optimizar los procesos de intercambio de datos en aquellos servicios digitales que tengan disponibles. Por ello la información compartida por los usuarios y demás sujetos intervinientes, ponen en el punto de mira la capacidad de garantizar la confidencialidad. Por otro lado, también aquellos prestadores de servicios digitales se enfrentan al mismo problema en contrapartida, pues la incorporación de la tecnología 5G en sus productos, también lleva implícito garantizar un nivel de seguridad adecuado de la confidencialidad, tanto internamente en sus procesos como para sus clientes/usuarios.

Varios proveedores de servicios heterogéneos y operadores almacenarán y utilizarán los datos personales de consumidores con o sin su permiso. En todo ecosistema interconectado, los datos pasarán por múltiples actores, lo que quiere una potente confidencialidad de los datos extremo a extremo (E2E).

Los acuerdos que realicen los proveedores será clave para evitar una perdida de la propiedad de los datos, definida correctamente entre los operadores de redes móviles, proveedores de servicios móviles y desarrolladores de aplicaciones. Se requerirá una regulación muy específica para no perder el grado de responsabilidad frente a los usuarios, lo que también conlleva a los expertos a preocuparse por la necesidad de los interesados de ejercitar sus derechos de privacidad frente a los diferentes operadores, que cada vez resulta más complicado en casos de internacionalización de operaciones. La dependencia alta que presentan las redes 5G a los servidores de datos y a los servicios de la nube, hará prácticamente imposible que no haya servicios externalizados fuera de la Unión Europea, donde se garantice per se un grado alto de protección.

Los recursos de la red se virtualizan y la misma infraestructura se comparte entre    diferentes usuarios de servicios de red, como los operadores móviles virtuales, en este entorno compartido, es posible que se produzcan ataques de acceso a datos de usuarios no autorizado comprometiendo gravemente la privacidad del usuario. En los últimos años estas infraestructuras de datos son cada vez más atractivas, y se espera un crecimiento exponencial de los riesgos, que sugiere también una necesidad más amplia de mecanismos de protección de ciberseguridad. Todo ello, añadiendo que desde la Long Term Evolution 4G (LTE), las redes de telecomunicaciones se convierten en una arquitectura abierta. Como resultado, las redes de telecomunicaciones recientes (incluidas las redes 5G) son ahora vulnerables a toda la gama de ciberataques y hacking basados en IP y en la web.

  1. Datos de localización: Son cada vez más difíciles de encontrar gadgets y aplicaciones que no requieran servicios de localización para realizar su cometido, son servicios basados en la localización (LBS). Los usuarios pueden acceder a servicios útiles basados en el conocimiento de la información de la ubicación, que, por su naturaleza, en muchos casos supone tener una información actualizada del emplazamiento del usuario. Además, las redes 5G llevan implícito la necesidad de acceder a servicios de localización, debido a que aún su implementación no está generalizando, y no está disponible en todos los lugares.
  1. La privacidad de la identidad: La privacidad de la identidad se refiere a la protección de la información de la identidad del usuario y del dispositivo/equipo. La nueva realidad, que ya venía experimentando un gran cambio debido a la digitalización, fue potenciada por crisis del COVID-19 y el uso cada vez más extendido del Internet de las cosas (IoT), permite esperar que miles de millones de dispositivos se conecten a internet. Cada entidad (usuario y dispositivo) será categorizado con el fin de acceder o entregar los servicios requeridos. Sin embargo, existe un enorme problema en la actual generación de dispositivos IoT, ya que la seguridad no suele estar incluida de forma inherente en su diseño (privacidad desde el diseño), los últimos estudios revelan que muchos de los desarrolladores de IoT no tienen en cuenta la seguridad en el diseño y un alto porcentaje no cifran sus comunicaciones, sobre todo por razones de coste.

En definitiva, todavía quedan muchos aspectos por desarrollar y concretar en cuanto al avance de esta tecnología.  No podemos olvidar que esta nueva generación de red queda amparada bajo el mismo marco regulatorio vigente en materia de protección de datos que para sus versiones anteriores, sin embargo, los expertos, e incluso operadores de telefonía, exigen una regulación más precisa amparándose en las necesidades especiales del 5G, que incluyan (i) una promoción de un mercado único digital, armonizando la privacidad a nivel global, (ii) legislación general a nivel de privacidad, de manera que se garantice una cooperación y protección efectiva para los interesados, producto de la conjunción de una regulación gubernamental, una regulación interna propia de la industria y una del mercado, (iii) fomentar la interoperabilidad y la portabilidad de los datos bajo estándares legislativos predeterminados. Todo ello con el objetivo prematuro de abarcar los retos en seguridad de la información y protección de datos a los que se enfrenta con la expansión del 5G.

Mecanismos de transición entre trabajo presencial y trabajo a distancia como contenido mínimo de los planes de igualdad

Por Sara Duro Santos, asociada sénior de Laboral en ECIJA. 

2020 ha sido sin duda un año récord en materia de novedades legislativas en el ámbito laboral. Con el permiso de las regulaciones de los expedientes de regulación temporal de empleo, los principales temas de actualidad han sido las novedades regulatorias en dos materias: trabajo a distancia e igualdad de oportunidades entre mujeres y hombres.

Ambas cuestiones, si bien tienen una diferenciación evidente, se encuentran directamente relacionadas. Aunque la regulación definitiva del trabajo a distancia opta por configurarlo como una forma de organizar la producción por parte del empleador, lo cierto es que en los borradores de la norma no se descartaba la posibilidad de utilizarlo como herramienta de conciliación.

Asimismo, normas anteriores a 2020 ya apuntaban los nexos entre ambas áreas. En concreto, el Real Decreto-ley 6/2019, de 1 de marzo, de medidas urgentes para la garantía de la igualdad de trato y de oportunidades entre mujeres y hombres en el empleo y la ocupación, modificó el artículo 34.8 del Estatuto de los Trabajadores, anticipándose al contenido de la Directiva 2019/1158 (UE) del Consejo, de 20 de junio de 2019, relativa a la conciliación de la vida familiar y la vida profesional de los progenitores y los cuidadores y por la que se deroga la Directiva UE 2010/18 del Consejo, en la cual se establece el derecho a la conciliación de la vida laboral y familiar a través del uso de las formas flexibles de trabajo, incluidas la fórmulas de trabajo a distancia.

De acuerdo con las modificaciones operadas por el Real Decreto-ley 6/2019, todas las empresas de más de cincuenta personas trabajadoras habrán de diseñar e implantar un plan de igualdad de oportunidades entre mujeres y hombres. En concreto, en la actualidad, esta medida es obligatoria de forma transitoria para empresas que emplean a más de 150 personas, si bien este umbral se rebajará a 100 en marzo para llegar al objetivo de 50 en 2022.

El contenido mínimo de este proyecto ha sido ya regulado de forma específica en el Real Decreto 901/2020 de 13 de octubre de este año. En esta norma, se especifica que el diagnóstico previo a la aprobación del plan habrá de abordar como materia el sistema de trabajo y rendimiento de la empresa, “incluido en su caso el teletrabajo”.

Asimismo, todos los planes que sean presentados en el registro preceptivo a efectos de cumplir con la obligación legal, habrán de contar con una hoja estadística que se revisará por los recursos destinados a estas tareas. Dentro del contenido de esta hoja, se pregunta de forma específica por si en el plan de prevé la implantación de puestos de trabajo que se desarrollen a distancia, y si estos “tendrán como objetivo evitar la perpetuación de roles o fomentar la corresponsabilidad entre mujeres y hombres”.

El propio Real Decreto-ley 28/2020, de 22 de septiembre, de trabajo a distancia, incluye en su articulado un par de guiños significativos a la posibilidad de utilizar el teletrabajo en beneficio del fomento de la igualdad. En primer lugar, el artículo 4.3 impone la obligación de considerar a las personas que trabajen a distancia en el diagnóstico, implementación, aplicación, seguimiento y evaluación de medidas y planes de igualdad. Por otra parte, su artículo 8.3 indica que el diagnóstico previo a la realización de los planes de igualdad deberá incluir el análisis de la corresponsabilidad, y valorar si los convenios o acuerdos colectivos han diseñado mecanismos y criterios por los que la persona que desarrolla trabajo presencial pueda pasar a trabajo a distancia o viceversa, y en caso afirmativo, si estos evitan la perpetuación de roles y estereotipos de género.

Por tanto, si bien es evidente que no se ha regulado de forma específica la obligación de contar con un plan de teletrabajo como medida conciliatoria, la norma si pretende impulsar el debate sobre la utilización como medida de fomento de la corresponsabilidad, de forma que pueda tener un impacto positivo en la igualdad de oportunidades entre mujeres y hombres.

En efecto, los diagnósticos de los planes de igualdad habrán de analizar si la organización del teletrabajo en cada organización contribuye de forma positiva a la disminución de la discriminación o si implica la aparición de nuevo riesgos: insuficiencia de infraestructuras, dificultades para la desconexión digital, alejamiento de la formación y promoción profesional, desvalorizaciones salariales, reforzamiento de la feminización de los cuidados, impacto negativo en casos de violencia de género…

Debe recordarse que, al margen de las situaciones excepcionales de teletrabajo derivadas de la crisis sanitaria del COVID-19, el teletrabajo es una medida voluntaria tanto para empresa como para su plantilla, y que en aquellos casos donde efectivamente se implemente será necesaria la elaboración de un acuerdo de trabajo a distancia. Para una toma de la decisión que vaya acorde con las políticas de la compañía y evite problemas futuros, puede ser interesante una evaluación previa de las tareas “teletrabajables”, el personal candidato para estos puestos, los posibles sistemas de seguimiento y control, y el equipamiento necesario.

En conclusión, cada organización habrá de establecer su propio plan de teletrabajo de acuerdo a sus características. Si bien la crisis del COVID-19 ha supuesto un cambio de paradigma y acelerado la digitalización de muchas compañías, la planificación es imprescindible para poder implementar un sistema de trabajo a distancia con garantías para todas las partes y que pueda ser utilizado como herramienta de potenciación de los valores de las empresas.

¿Cuál es la potestad municipal para regular el uso de alojamiento turístico a través del planeamiento?

Por Diego Ayut González, abogado urbanista de ECIJA.

El Tribunal Supremo ha tenido ocasión de pronunciarse en su reciente sentencia 3842/2020 (ECLI: ES:TS:2020:3842) sobre una de las cuestiones jurídicas actuales más encendidas: el alcance de la potestad de planeamiento de los ayuntamientos para regular el uso de alojamientos turísticos cuando ésta incide en la libertad de empresa y la libre prestación de servicios de los operadores/propietarios de viviendas destinadas a ese uso.

En el año 2018, la Comisión Nacional de los Mercados y la Competencia (CNMC) decide impugnar los acuerdos plenarios por los que los ayuntamientos de Madrid, Bilbao y San Sebastián incorporaron la regulación del alquiler turístico de viviendas (VUT) a sus instrumentos de planeamiento.

A juicio de la Comisión, estos instrumentos incluían disposiciones con efectos restrictivos sobre la competencia, al limitar la entrada de nuevos operadores y consolidar la posición de los oferentes de alojamientos turísticos que ya venían prestando tales servicios en viviendas de las tres ciudades. Entendiendo que del contenido de los acuerdos no se desprendía la concurrencia de una razón imperiosa de interés general que justificara, de acuerdo con el derecho de la competencia, el establecimiento de un régimen autorizatorio previo al ejercicio de la actividad turística alojativa; y que tampoco se había acreditado la necesidad y proporcionalidad de la medidas impuestas, la CNMV denunció ante la jurisdicción contenciosa la inobservancia de los artículos 38 de la Constitución; 5 y 17.4 de la Ley 20/2013, de 9 de diciembre , de garantía de la unidad de mercado; y 3.11 de la Ley 17/2009, de 23 de noviembre, sobre el libre acceso a las actividades de servicios y su ejercicio.

El Ayuntamiento de Bilbao, por el contrario, sostenía que la garantía del equilibrio entre el desarrollo de la actividad de alojamiento turístico en viviendas y la protección del entorno urbano, en el sentido de evitar conflictos convivenciales o vecinales y problemas de acceso a la vivienda residencial por carestía o carencia de alquiler en su término municipal, constituía la razón imperiosa de interés general que justificaba la modificación de su Plan General de Ordenación Urbana (PGOU) para, entre otros aspectos, calificar como uso equipamental las VUT, exigir un informe de conformidad urbanística previo al inicio de dicha actividad, y limitar a tres el número máximo de habitaciones por vivienda cuyo alquiler resulta posible, cuando dicha vivienda tenga uso residencial.

La entidad local vasca, además, consideraba que la necesidad y proporcionalidad de estas medidas quedaba suficientemente motivada en la Memoria incorporada al instrumento de planeamiento citado.

Pues bien, en la analizada sentencia 3842/2020, la sección 5ª de la Sala 3ª del Tribunal Supremo, después de un extenso repaso de sus pronunciamientos previos en relación con el alcance del ejercicio de la potestad reglamentaria autonómica cuando incide en el derecho de la competencia y los límites de la potestad de planeamiento, y de defender el cambio de paradigma que ha supuesto la Conferencia de las Naciones Unidas sobre vivienda y desarrollo urbano sostenible (Hábitat III) en el urbanismo de las grandes ciudades; confirma que la intervención normativa municipal en uso y ejecución de las competencias urbanísticas que le son propias cuenta con un claro respaldo y legitimación democrática por ser los Ayuntamientos las Administraciones más cercanas al ciudadano, y por articular sus políticas con un mayor grado de participación y conocimiento de la concreta realidad local (FJ6º).

En tal sentido, el Tribunal declara:

“Hay que situar las actuales actuaciones urbanísticas en el marco de la regeneración y rehabilitación ciudadana, y, en tal proceso, las VUT no pueden incidir negativamente ni alterar las expresadas líneas de actuación urbana, salvo que los mecanismos democráticos municipales así lo asumieran; esto es, la normativa —en principio liberalizadora— que defiende, como es su obligación, la entidad recurrente, no puede alterar el actual proceso urbanístico —la forma de vivir en la misma—, incidiendo negativamente en su transformación, pues el mismo va dirigido a la configuración de una ciudad compacta, como marco esencial de convivencia. Se trata, pues, de buscar un encaje jurídico a este tipo de viviendas —con un destino dinámico y coyuntural— en el marco de unas actuaciones públicas urbanísticas dirigidas —en su regeneración— al desarrollo urbano sostenible de las mismas (…)». (FJ 6º)

Para obtener ese encaje jurídico al que hace mención, la Sala acude a la doctrina del Tribunal de Justicia de la Unión Europea (TJUE) recogida en la sentencia de 22 de diciembre de 2020 (Gran Sala ECLI:EU:C:2020:743), donde se aborda la posible vulneración de la Directiva 2006/123/CE, relativa a los servicios en el mercado interior, por parte de una norma interna francesa que, con el fin de luchar contra la escasez de las viviendas destinadas al arrendamiento, regulaba la actividad de alojamiento turístico en ellas.

En aquella ocasión, el TJUE estableció que la implantación de un régimen de autorización previa aplicable a las VUT en municipios en los que la tensión sobre los arrendamientos resulta particularmente acusada estaba justificada por una razón imperiosa de interés general en los términos de la Directiva 2006/123/CE. El Tribunal amparó su decisión en pronunciamientos previos en los que había reconocido como tales razones la protección del entorno urbano, los objetivos de política social, y la lucha contra la presión inmobiliaria “cuando un mercado concreto experimenta una escasez estructural de viviendas y una densidad de población especialmente alta”.

La sentencia europea, sin embargo, precisa que para que el régimen de autorización que pretenda implantarse sea acorde con la Directiva 2006/123/CE debe basarse en criterios que delimiten el ejercicio de la facultad de apreciación de las autoridades competentes con el fin de que dicha facultad no se ejerza de forma arbitraria. Respecto a esos criterios, el TJUE señala que han de ser proporcionados al objetivo de interés general invocado, claros, inequívocos, objetivos, ser hechos públicos con antelación y, por último, ser transparentes y accesibles.

Considerando lo anterior, la sentencia 3842/2020 proclama la legitimación —incluso obligación— del planificador urbanístico municipal para «promover la ordenación urbanística necesaria que concilie la satisfacción del derecho a la vivienda con el destino de determinadas viviendas al alojamiento turístico (FJ 9º).

Después de discernir entre el uso residencial definido en el PGOU bilbaíno, coincidente con el de “un lugar destinado a la satisfacción del derecho a la vivienda -en un entorno urbano, añadimos, digno de especial protección” ; y el  uso equipamental decidido por el Ayuntamiento para las VUT, constitutivo de “un entorno, también urbano, pero en el que lo esencial es la prestación en el mismo de otros tipos de servicios para la población, y en el que la residencia se corresponde con necesidades alojativas circunstanciales” (FJ 9º); la Sala concluye, respecto de las concretas medidas incorporadas al instrumento de ordenación, lo siguiente:

  • La calificación de las VUT como actividad de equipamiento desde una perspectiva urbanística, impidiendo su consideración como estrictamente residencial, está legitimada por cuanto va dirigida a la protección del «derecho a la vivienda» digna y adecuada, en los términos requeridos por la Constitución española; así como al control, evitando el deterioro, del denominado por la Directiva 2006/123/CE «entorno urbano».

Dicha medida va encaminada a posibilitar la efectiva conciliación, de la citada y lícita actividad económica del alquiler vacacional, con la organización del régimen interno de la ciudad, garantizando la convivencia residencial estable y habitual con una actividad caracterizada por su transitoriedad y falta de permanencia, al responder a circunstanciales necesidades alojativas.

La medida, además, es razonable, está suficientemente motivada y se ajusta a los criterios previstos en la Directiva 2006/123/CE e invocados por el TJUE en su jurisprudencia.

  • La exigencia de un informe urbanístico de conformidad previo al inicio de la actividad de las VUT no instaura un régimen autorizatorio previo, sino que recoge en el instrumento urbanístico el deber de comprobar la habitabilidad y conformidad a planeamiento de la vivienda ante un cambio de uso (circunstancia que se produce al sustituir su destino residencial por el de alojamiento turístico) impuesta por la propia legislación urbanística vasca, que somete a licencia y, por tanto, a informe, este tipo de actuaciones.

La Sala aprovecha la ocasión para señalar que este tipo de intervención administrativa no sólo garantiza que la vivienda está en condiciones de ser dedicada a tal uso en protección de los legítimos derechos de los usuarios y consumidores turísticos; sino que responde a la concurrencia de una razón imperiosa de interés general, cual es la lucha contra la escasez de viviendas destinadas al arrendamiento. Por otro lado, declara su proporcionalidad con respecto al fin perseguido, dado que el mismo no podría alcanzarse con una medida menos restrictiva (un control a posteriori de la proliferación de VUT en áreas residenciales se produciría demasiado tarde para ser realmente eficaz).

  • La limitación del número de habitaciones destinada a alojamiento turístico en viviendas de uso residencial en las que se admite dicho uso turístico se halla suficientemente motivada, y guarda equilibrio y proporción con la finalidad perseguida.

Incidiendo en que el instrumento no hace sino plasmar la distinción entre proveedores particulares y proveedores profesionales establecida por la legislación turística vasca, que atiende al número de habitaciones turísticas por vivienda, la Sala confirma que dicha limitación no constituye una barrera para el acceso al mercado de alquiler de las mismas.

Esta sentencia viene a reducir la crónica incertidumbre que en las entidades locales ha generado la errática doctrina de los órganos jurisdiccionales cuando se han pronunciado sobre iniciativas de ordenación municipal que, como en este caso, han tenido incidencia en el derecho de la competencia y el libre acceso y ejercicio de las actividades de servicios.

Con los límites señalados, el Supremo avala que los ayuntamientos acudan a su potestad de planeamiento para regular la actividad turística alojativa en viviendas, tanto en garantía del derecho a una vivienda digna para sus habitantes, como para la protección del entorno urbano elegido por estos conforme a su legitimidad democrática.

Por tanto, los argumentos recogidos en este pronunciamiento, e incluso las medidas incorporadas al PGOU bilbaíno que ratifica, constituyen una auténtica referencia para aquellos municipios que; después de constatar un importante crecimiento de la oferta de VUT en su territorio, una considerable reducción de la bolsa de viviendas disponibles para el alquiler residencial y un significativo aumento de los precios de las mismas; pretenden abordar la problemática a través de una de las pocas herramientas que les reserva el ordenamiento jurídico.

Luces y sombras ante la protección de datos en tiempos de COVID-19

Por Lorea Roncal, asociada del área de Protección de Datos y Seguridad de la Información de ECIJA.

En una situación de emergencia mundial, con consecuencias devastadoras a nivel de salud pública, situación económica y laboral, era imposible predecir cómo se iba a reaccionar ante los cambios que han sobrevenido.

En este articulo pretendemos realizar un breve acercamiento a ciertas situaciones y a las medidas aplicadas en tales situaciones, a la ponderación de derechos como la protección de datos y la privacidad de las personas, y la prevención y protección de la salud de los ciudadanos.

El deseo de evitar contagios, extensión de virus y proteger la vida de los interesados, nos ha hecho plantearnos si, a nivel ético y legal, era lícito la toma y anotación de  temperaturas en centros de trabajo, la obligatoriedad de comunicar el estado de salud a uno u otro departamento en la empresa o a la escuela correspondiente, el teletrabajo, o la posibilidad de geolocalizar personas contagiadas mediante Apps al efecto e incluso a emitir certificados de vacunación que doten de mayores derechos de movilidad a  los ciudadanos, provocando, en mayor o menor medida, posturas discriminatorias y diferencias de derechos entre unos y otros

Analizaremos por partes ciertas situaciones y trataremos de dar o recordar las respuestas a éstas:

¿Es lícita la toma de temperaturas a la entrada de edificios: centro de trabajo, centros de estudios?

La salida del estado de alarma con las restricciones más fuerte a nivel de movilidad trajo consigo la vuelta a la vida socio económica y al puesto de trabajo con dudas cobre la seguridad y las medidas empresariales y personales a tener en cuenta.

La reincorporación a los centros de trabajo reduciendo en la mayor medida posible el riesgo de exposición al COVID-19 llevó al Ministerio de Sanidad a publicar una “Guía de buenas prácticas en centros de trabajo para prevenir los contagios del COVID-19” en la que se integran las medidas más esenciales de higiene y distancia interpersonal a aplicar antes, durante y después de la asistencia al trabajo.

La toma de temperaturas, siempre y cuando de forma sistemática no se alinee con los datos personales de identificación de las personales es una medida del todo licita para evitar contactos con posibles positivos y extensión del propio virus, apliquemos siempre el principio de minimización y proporcionalidad en la recogida y tratamiento de datos personales; ahora bien, recordemos que desde un principio hablamos de ponderación, teniendo siempre presente que es obligación de la empresa garantizar la seguridad y la salud de las personas trabajadoras a su servicio.

En caso de la existencia a de una persona con temperatura superior a la que el estado estimó “adecuada” será esta misma persona la que deberá comunicárselo al departamento correspondiente, y responsable de Salud laboral, teniendo como posible consecuencia desde la ausencia al puesto de trabajo a la elaboración de una prueba PCR y el confinamiento domiciliario durante un mayor o menor tiempo atendiendo a los resultados de la prueba antedicha.

¿Y en espacios públicos?

A este respecto la Agencia hace una manifestación clara y contundente, diferenciándolo del supuesto anterior, ya que la toma de temperaturas en espacios y lugares públicos de forma sistemática puede suponer una vulneración ilegitima de la protección de nuestros datos personales y nuestra privacidad.

La AEPD establece que “Este tratamiento supone una injerencia particularmente intensa en los derechos de los afectados. Por una parte, porque afecta a datos relativos a la salud de las personas, no sólo porque el valor de la temperatura corporal es un dato de salud en sí mismo sino también porque, a partir de él, se asume que una persona padece o no una concreta enfermedad, como es en estos casos la infección por coronavirus.

Por otro lado, los controles de temperatura en espacios públicos pueden suponer la eventual denegación de acceso a una persona, desvelando a terceros que no tienen ninguna justificación para conocerlo, que la persona afectada tiene una temperatura por encima de lo que se considere no relevante y, sobre todo, que puede haber sido contagiada por el virus.

¿Podemos negarnos a que se nos realice una PCR?

La realización de esta prueba u otra de análoga finalidad no solo es un ejercicio de responsabilidad personal, sino también social y legal, por cuanto el Real Decreto-ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, es claro en este aspecto, dado que en su artículo 24 recoge la obligación de los sistemas de salud de  todas las CCAA de realizar una prueba diagnóstica por PCR u otra técnica de diagnóstico similar, tan pronto como sea posible desde el conocimiento de los síntomas a todo caso sospechoso de COVID-19.

¿He de informar a la empresa en caso de estar en cuarentena por COVID?

  1. El derecho a no informar sobre el motivo concreto de una baja laboral por enfermedad queda “suspendido” frente a la defensa de otros derechos como el de la protección de la salud del resto de trabajadores en particular y de la población en general, en situaciones tan particulares como la pandemia.

Es más, la empresa debe saber la existencia  del motivo concreto de baja por COVID porque de ahí debe diseñar planes de contingencia que en otras situaciones no diseñaría; Si es posible, y en orden al  respeto a la privacidad, debería saber la empresa el caso de un positivo SIN  identificar la persona afectada, si bien esto es mera teoría, dado que la información parcial puede suponer la puesta en peligro de otros empleados, y en la mayoría d ellos casos conocer los datos del afectado lleva a la aplicación de medidas más concretas, planes de contingencia más individualizados y adaptados al caso concreto.

Llegado este momento, e independientemente del resultado, el confinamiento domiciliario temporal puede llevarnos, cuando sea posible a teletrabajar (Siempre y en la medida en que la empresa así lo permita -recordemos que no es una obligación para las empresas-, y cumpliendo unos protocolos de medios y de seguridad previamente establecido), de ahí nuestra siguiente cuestión:

¿Puedo obligar a la empresa a facilitarme el teletrabajo? ¿Puede obligarme la empresa a teletrabajar?

La respuesta es clara, NO. Pese a que se fomente el teletrabajo en la situación que vivimos actualmente, ningún trabajador puede “obligar” a su empleador a permitirle el teletrabajo. Esta “prohibición” es bidireccional, en tanto en cuanto un trabajador puede ejercer la negativa a teletrabajar, y la empresa tampoco puede obligarle a ello.

Estas modificaciones han de venir reguladas por la negociación colectiva y así se recoge en el propio Estatuto del trabajador, en el artículo 34.8 según el cual Las personas trabajadoras tienen derecho a solicitar las adaptaciones de la duración y distribución de la jornada de trabajo, en la ordenación del tiempo de trabajo y en la forma de prestación, incluida la prestación de su trabajo a distancia , si bien será en negociación colectiva donde se pactarán los términos de su ejercicio, siendo así que la empresa abrirá un proceso de negociación con la persona trabajadora durante un periodo máximo de 30 días.

¿Qué vinculaciones con la privacidad tiene el teletrabajo?

Con el fin de reducir la probabilidad de exposición y contagio por COVID-19, garantizando al mismo tiempo la continuidad de la actividad empresarial y las relaciones laborales, se han de crear protocolos a seguir en casos de trabajo deslocalizado o teletrabajo, priorizando esta situación frente a frente al cese de la relación laboral, de la prestación de servicios, reducciones de jornada o cesación temporal de la relación laboral. Esos protocolos han de reflejar la incidencia del teletrabajo en distintas materias:

En materia de protección de datos, la empresa hará hincapié en la información al trabajador deslocalizado de cualquier limitación en la utilización del equipo o de herramientas informáticas, régimen de responsabilidad, y sanciones, en caso de incumplimiento.

En materia de seguridad informática, la empresa informará sobre las medidas a seguir a fin de cumplir con unos estándares mínimos de seguridad en el tratamiento de la información: Control de accesos, password, sistema de doble verificación, copias de seguridad, accesos en remoto a servidores empresariales, veto de uso ocioso o personal de ciertos dispositivos, monitorización etc.

En materia de propiedad intelectual, definir claramente el alcance de la información confidencial (con especial énfasis en los secretos empresariales) control de accesos, así como el recordatorio de titularidad y autoría en caso de creaciones en régimen laboral con medios empresariales.

En materia laboral, el acuerdo deja claro que a este tipo de trabajadores no se les modifican sus derechos ni obligaciones, sino que tienen los mismos que cualquier trabajador que presta sus servicios en el centro de trabajo de la empresa (salvo aquéllos inherentes a la realización de la prestación laboral de manera presencial); la desconexión digital, el control de la jornada podrá valerse de aplicaciones informáticas siempre y cuando ello no vulnere derechos fundamentales de la persona. Recordemos derechos como la inviolabilidad del domicilio y el control del ejercicio laboral a distancia mediante la comprobación de la conexión del trabajador a la intranet empresarial y de su actividad en la red, no supone en principio, invasión del espacio protegido bajo el concepto de domicilio, siendo además susceptible de inspección y control por la Administración laboral.

Conclusiones: ¿Dónde queda el derecho a la protección de datos personales y nuestra privacidad en la situación de pandemia?

Bien, la protección de datos personales nunca había sido un tema más populista hasta el surgir de la pandemia, si bien hay un detalle que hemos de tener presente: LA protección de datos es un derecho fundamental, pero no absoluto.

La seguridad y salud de las personas entran en colisión con la privacidad y la protección de datos desde el mismo momento de detección de un positivo, y de la obligación del estado, en aras a proteger la salud pública, de “rastrear” los contactos de ese positivo.

La finalidad es evitar la propagación del virus, y ello implica la intromisión en mayor o menor medida en la privacidad de las personas, tanto de aquel obligado a dar la información como de aquellas personas que reciben la llamada del rastreador porque alguien ha dado sus nombre y teléfonos.

En estos casos prevalece, sin lugar a duda, el interés colectivo.

Ante la multitud de cuestiones formuladas al respecto la Agencia Española de Protección de Datos (AEPD) emitió un informe con la finalidad de aclarar algunos de estos puntos. El RGPD (Artículo 6.1.d) reconoce como lícitos los tratamientos de datos cuando estos sean necesarios para proteger intereses vitales del interesado o de otra persona física, es decir en situaciones excepcionales cuando se fundamenten en el propio interés público,

En consecuencia, cuando ponderamos los derechos individuales frente a los colectivos, cuando esgrimimos los derechos fundamentales como absolutos, no hacemos más que ir en contra del interés colectivo, y en consecuencia, del nuestro propio.

Decálogo de preguntas y respuestas sobre el Impuesto sobre Determinados Servicios Digitales

Por Roger Tort, asociado del área Fiscal de ECIJA.

La Ley 4/2020, de 15 de octubre, del Impuesto sobre Determinados Servicios Digitales es la única norma en vigor que regula el Impuesto; no obstante lo anterior, el Impuesto entra en vigor este sábado, 16 de enero de 2021:

 Recogemos a continuación las principales cuestiones relativas al Impuesto sobre Determinados Servicios Digitales:

¿Qué es el Impuesto sobre Determinados Servicios Digitales?

 El objeto del impuesto la prestación de servicios digitales en relación con los cuales existe una participación de los usuarios que constituye una contribución al proceso de creación de valor de la empresa que presta los servicios, y a través de los cuales la empresa monetiza esas contribuciones de los usuarios. Es decir, se trata de servicios que no podrían existir en su forma actual sin la implicación de los usuarios.

 ¿Qué se entiende por servicios digitales?

 Servicios de publicidad en línea, entendidos como los consistentes en la inclusión en una interfaz digital[1], propia o de terceros, de publicidad dirigida a los usuarios de dicha interfaz.

Servicios de intermediación en línea, definidos como los de puesta a disposición de los usuarios de una interfaz digital multifacética (que permita interactuar con distintos usuarios de forma concurrente) que facilite la realización de entregas de bienes o prestaciones de servicios subyacentes directamente entre los usuarios, o que les permita localizar a otros usuarios e interactuar con ellos.

Servicios de transmisión de datos, los de transmisión con contraprestación, incluidas la venta o cesión, de aquellos datos recopilados acerca de los usuarios, que hayan sido generados por actividades desarrolladas por estos últimos en las interfaces digitales.

¿Están sujetos todos los servicios digitales?

No, no estarán sujetas al impuesto:

  1. Las ventas de bienes o servicios contratados en línea a través del sitio web del proveedor no actúa en calidad de intermediario;
  2. Las entregas de bienes o prestaciones de servicios subyacentes que tengan lugar entre los usuarios, en el marco de un servicio de intermediación en línea;
  3. Las prestaciones de servicios de intermediación en línea, cuando la única o principal finalidad de dichos servicios prestados por la entidad que lleve a cabo la puesta a disposición de una interfaz digital sea suministrar contenidos digitales a los usuarios o prestarles servicios de comunicación o servicios de pago;
  4. Las prestaciones de servicios financieros regulados por entidades financieras reguladas;
  5. Las prestaciones de servicios de transmisión de datos, cuando se realicen por entidades financieras reguladas; y
  6. Las prestaciones de servicios digitales cuando sean realizadas entre entidades que formen parte de un grupo con una participación, directa o indirecta, del 100%.

¿Y dónde se entiende que se presta el servicio?

La prestación del servicio se entenderá realizada cuando un usuario está situado en el territorio de aplicación del impuesto. A estos efectos se presumirá que un dispositivo de un usuario se encuentra en el lugar que se determine conforme a la dirección IP del mismo, salvo que pueda concluirse que dicho lugar es otro diferente mediante la utilización de otros medios de prueba:

  • En el caso de los servicios de publicidad en línea, cuando en el momento en que la publicidad aparezca en el dispositivo ese usuario se encuentre en ese ámbito territorial.
  • En el caso de los servicios de intermediación en línea que exista facilitación de entregas de bienes o prestaciones de servicios subyacentes directamente entre los usuarios, cuando la conclusión de la operación subyacente por un usuario se lleve a cabo a través de la interfaz digital de un dispositivo que en el momento de la conclusión se encuentre en ese ámbito territorial.

En los demás servicios de intermediación en línea, cuando la cuenta que permita al usuario acceder a la interfaz digital se haya abierto utilizando un dispositivo que en el momento de la apertura se encuentre.

  • En el caso de los servicios de transmisión de datos, cuando los datos transmitidos hayan sido generados por un usuario a través de una interfaz digital a la que se haya accedido mediante un dispositivo que en el momento de la generación de los datos se encuentre en ese ámbito territorial.

¿Quién es el sujeto pasivo del Impuesto?

Son contribuyentes de este impuesto las personas jurídicas, ya estén establecidos en España, en cualquier otro Estado miembro de la Unión Europea o en cualquier otro Estado o jurisdicción no perteneciente a la Unión Europea que, al inicio del período de liquidación, superen los dos siguientes umbrales:

  • Que el importe neto de la cifra de negocios en el año natural anterior supere 750 millones de euros;
  • Que el importe total de sus ingresos derivados de prestaciones de servicios digitales sujetas al impuesto correspondientes al año natural anterior, supere los 3 millones de euros.

¿Y si nos encontramos ante un grupo de empresas?

En el caso de que el grupo de empresas[2] supere dichos umbrales tendrán la consideración de contribuyentes todas y cada una de las entidades que formen parte del mismo, en la medida en que realicen el hecho imponible, con independencia del importe de los ingresos que les correspondan.

¿Qué obligaciones formales conlleva?

  • Presentar declaraciones relativas al comienzo, modificación y cese de las actividades que determinen su sujeción al impuesto.
  • Solicitar de la Administración el número de identificación fiscal, y comunicarlo y acreditarlo.
  • Llevar los registros que se establezcan reglamentariamente.
  • Presentar periódicamente o a requerimiento de la Administración información relativa a los servicios digitales.
  • Nombrar un representante a efectos del cumplimiento de las obligaciones impuestas en esta Ley cuando se trate de contribuyentes no establecidos en la Unión Europea.
  • Conservar, durante el plazo de prescripción, los justificantes y documentos acreditativos de las operaciones objeto del impuesto. En particular, se deberá conservar aquellos medios de prueba que permitan identificar el lugar de prestación del servicio digital gravado.
  • Traducir al castellano, o a cualquier otra lengua oficial, las facturas, contratos o documentos acreditativos correspondientes a prestaciones de servicios digitales que se entiendan realizadas en el territorio de aplicación del impuesto.
  • Establecer los sistemas, mecanismos o acuerdos que permitan determinar la localización de los dispositivos de los usuarios en el territorio de aplicación del impuesto.

¿Y si no cumplo con las obligaciones?

Las infracciones serán calificadas y sancionadas de conformidad con lo establecido en la Ley General Tributaria. No obstante lo anterior, constituye una infracción tributaria grave el incumplimiento relativo a la obligación de establecer los sistemas que permitan determinar la localización de los dispositivos de los usuarios, y la sanción consistirá en una multa pecuniaria del 0,5% del importe neto de la cifra de negocios con un mínimo de 15,000 euros y un máximo de 400,000 euros por cada año natural en que se haya producido el incumplimiento.

¿Cuándo se devenga el impuesto?

El impuesto se devenga cuando se presten, ejecuten o efectúen las operaciones gravadas. En las operaciones que originen pagos anticipados anteriores a la realización del hecho imponible el impuesto se devengará en el momento del cobro total o parcial del precio.

Por último, ¿hay algo más que tenga que saber?

Sí, el tipo impositivo será del 3%, y el período de liquidación coincidirá con el trimestre natural.

Deberemos esperar a la aprobación del Reglamento y del modelo de autoliquidación del impuesto para conocer los detalles acerca de la primera liquidación del primer trimestre de 2021.


[1] Se define como cualquier programa, incluidos los sitios web o partes de los mismos, o aplicación, incluidas las aplicaciones móviles, o cualquier otro medio, accesible a los usuarios, que posibilite la comunicación digital.

[2] Entendido como conjunto de entidades en el que una entidad ostente o pueda ostentar el control de otra u otras según los criterios establecidos en el artículo 42 del Código de Comercio, con independencia de su residencia y de la obligación de formular cuentas anuales consolidadas.

Costa Rica: Derecho del Consumidor. Retiro de productos: El caso de los implantes de seno Allergan

Si usted, o alguien que usted conoce tiene o podría tener este tipo de implantes de seno, ya sea por motivos estéticos o de salud, quizá se esté preguntando qué debe hacer y cuáles son sus derechos al respecto.

A finales del mes de junio de 2019 se anunció que algunos implantes de seno texturizados y ciertos expansores de tejidos fabricados por la empresa Allergan debían ser retirados del mercado (podrá consultarse el listado de los implantes y tensores específicos en este link. El retiro (o recall como se le conoce en idioma inglés) es global, voluntario y se anunció luego de que algunas investigaciones de la Administración de Alimentos y Drogas de los Estados Unidos (FDA) le reportaran a Allergan sobre la vinculación de tales productos con el desarrollo de un raro tipo de cáncer del sistema inmunitario, llamado linfoma anaplásico de células grandes (BIA-ALCL, por sus siglas en inglés) el cual se desarrolla en los tejidos alrededor de los implantes de seno.

Ante ello, el fabricante Allergan decidió retirar de manera voluntaria todos los implantes mamarios y expansores de tejido tipo Biocell, como medida precautoria.

En Costa Rica, Allergan cuenta con una planta de manufactura de implantes y anunció en su momento por medios de circulación nacional, la noticia sobre el retiro voluntario del mercado de tales productos, sin embargo, llama la atención que en el sitio web del Ministerio de Economía Industria y Comercio (MEIC), no se reporta el retiro voluntario dentro del listado de alertas para el año 2019.

Cabe resaltar que, según aclaraciones de la FDA y del Ministerio de Salud en Costa Rica, las personas que tienen este tipo de implantes pero que no presentan los síntomas (dolor, bultos, hinchazón y asimetría luego de que las cirugías habían sanado por completo) no necesitan extraerse los implantes debido al bajo riesgo de desarrollar BIA-ALCL.  Es importante destacar que, las pacientes deberán seguir sus rutinas de seguimiento médico y que no se deberían tratar de igual forma los casos de los implantes estéticos versus los casos de reconstrucción de mama en caso de pacientes de cáncer de seno.

 

El retiro de productos y su regulación en Costa Rica

El retiro de productos se regula en la Ley de la Promoción de la Competencia y Defensa Efectiva del Consumidor, Ley 7472 y su Reglamento, el Decreto 37899-MEIC. En dicho reglamento se describe entre otros, el procedimiento a seguir tanto para los productores como para los consumidores ante un caso de recall.

La solicitud de retiro de productos puede darse tanto para alimentos que comprometan la salud de los consumidores como en dispositivos de salud y muchos otros artículos de consumo común, tales como: las sillas de seguridad para niños, electrodomésticos y juguetes, entre otros.

El Ministerio de Salud también lo regula en la Ley General de Salud ley No. 5395 y en el Reglamento de Notificación de Materias Primas, Registro Sanitario, Importación, Desalmacenaje y Vigilancia de Alimentos, Decreto Ejecutivo No. 31595.

 

Deberes del comerciante ante el retiro de los productos

En el comerciante o proveedor de los productos recae, de conformidad con el artículo 123 del Reglamento citado, el deber de informar al consumidor cuando se entere que uno o varios de sus productos presenten un riesgo no previsto para la vida, salud o seguridad. Además, cuenta con la obligación de retirarlo inmediatamente del mercado.

Para el caso citado de los productos de Allergan, el retiro significó que la planta de producción, así como los distribuidores de tales implantes y expansores (doctores, hospitales y otros) deben obligatoriamente:

  • Devolver a Allergan todo el producto que tengan en inventario
  • Informar a sus pacientes sobre los posibles riesgos que implica contar los implantes
  • Proporcionar todos los datos del implante utilizado a cada uno de los pacientes para mantener la trazabilidad del producto
  • Realizar pruebas patológicas
  • Ejecutar un desarrollo de tratamiento individualizado y no seguir implantando producto en sus pacientes.

 

El Ministerio de Salud de Costa Rica en sus comunicados recomendó además del retiro, una cuarentena de los pedidos del dispositivo y los implantes de tejido.

 

Sobre el procedimiento de los retiros voluntario y obligatorio de productos

Se da un retiro voluntario de productos cuando el fabricante tiene noción de un posible riesgo que sus productos puedan generar a los consumidores.

El artículo 124 del Reglamento a la Ley del Consumidor indica que todo retiro voluntario de productos del mercado debe ser comunicado al MEIC específicamente a la Dirección de la Atención al Consumidor (DAC) mediante la presentación de una nota firmada y de una declaración jurada.

La declaración debe obligatoriamente contener entre otros, la indicación clara del riesgo o peligro del retiro (en qué consiste y cómo puede afectar al consumidor), identificación de los productos (tipo de bien, modelo, serie y número de lote cuando aplique), así como cualquier otra característica que permita individualizar los productos a retirar, cantidad ingresada al país y de ser posible la identificación de las personas a las que les fue vendidos los productos.

El fabricante o distribuidor de los productos además debe presentar una propuesta del procedimiento y estrategia a seguir para retirar los productos, así como las acciones para remediar la situación de riesgo para los consumidores.

La DAC posteriormente se pronuncia mediante una resolución administrativa y puede ordenar cualquier otra medida para garantizar la salud y la seguridad de los consumidores, así como para informarles de modo claro sobre los alcances del retiro y los riesgos que representa el uso o consumo de los productos.

EL MEIC y el Ministerio de Salud inclusive cuentan con una sección específica en sus sitios web para emitir las alertas sobre retiros de productos (https://www.consumo.go.cr/noticias/Retiro_de_producto.aspx) y promueven sitios en línea tales como OECD Global Recalls, SIAR y RAPEX, todos portales a nivel mundial que alertan sobre los riesgos no previstos que puedan llegar a tener los productos.

 

 Los derechos del consumidor ante el retiro

El consumidor, una vez enterado de las publicaciones y de las condiciones y recomendaciones a seguir ante el recall de productos, cuenta con un periodo de un año a partir de la publicación para reclamar a las empresas correspondientes.

¿Qué otras medidas aplican? Aplican aquellas que la CNC pueda ordenar conforme a la Ley y a su Reglamento, también sin perjuicio de las acciones que en defensa de sus derechos e intereses legítimos y económicos puedan plantear los consumidores ante la CNC o cualquier otro órgano competente. Allergan tiene el deber de asumir todos los daños y perjuicios derivados de este recall, mismos que se pueden reclamar a la empresa o establecer un proceso judicial para reclamarlos (ya que no se pueden reclamar ante la DAC).

Para el caso en particular sobe los implantes de Allergan en Costa Rica y adicionalmente cualquier persona que tenga sospechas asociadas al uso de estos implantes, podrá reportarlo  vía internet por los medios oficiales (llenado de formularios) que dispone el sitio web del Ministerio de Salud  www.ministeriodesalud.go.cr o reportarlo directamente al Centro Nacional de Tecnovigilancia, ubicado en el Ministerio de Salud en San José, Edificio Norte, piso 4 o al teléfono 2257-2090.

Si bien el objetivo de toda empresa es la venta de productos, deberá prevalecer siempre el deber de sobreponer la salud y el bienestar de los consumidores y cumplir con los procedimientos que permitan que en caso de tener que aplicar el retiro o recall, se efectúe de la manera más eficiente y menos perjudicial posible para la población.

El consumidor por su parte tendrá los derechos de su lado, pero le corre la obligación de ejercerlos ante las entidades correspondientes y dentro del plazo indicado.

 

Mercedes Sancho

Socia ECIJA Costa Rica

Registro de prestadores de servicios

En el ámbito de las obligaciones para la prevención de blanqueo de capitales, y en virtud de lo dispuesto por el apartado 4º de la Disposición Adicional Única de la Ley 10/2010 de 28 de abril, tras su modificación por el Real Decreto-Ley 11/2018 de 31 de agosto, las personas físicas o jurídicas que realicen alguna de las actividades relacionadas en el art. 2.1.o de la Ley deben inscribirse en el Registro Mercantil o, en caso de estar ya inscritas, presentar en dicho Registro una manifestación sobre su sometimiento, como sujetos obligados, a las normas establecidas en materia de prevención del blanqueo de capitales.

 Así, son sujetos obligados a lo anterior, las personas físicas o jurídicas que con carácter profesional presten todos o alguno de los siguientes servicios a terceros (art.2.1.o):

Actividades relacionadas por el art. 2.1.o de la Ley 10/2010 de 28 de abril:  Las personas que con carácter profesional y con arreglo a la normativa específica que en cada caso sea aplicable presten los siguientes servicios por cuenta de terceros (art.2.1.o):

 

  • constituir sociedades u otras personas jurídicas;
  • ejercer funciones de dirección o de secretarios no consejeros de consejo de administración o de asesoría externa de una sociedad,
  • socio de una asociación o funciones similares en relación con otras personas jurídicas o disponer que otra persona ejerza dichas funciones;
  • facilitar un domicilio social o una dirección comercial, postal, administrativa y otros servicios afines a una sociedad, una asociación o cualquier otro instrumento o persona jurídicos;
  • ejercer funciones de fiduciario en un fideicomiso (trust) o instrumento jurídico similar o disponer que otra persona ejerza dichas funciones;
  • o ejercer funciones de accionista por cuenta de otra persona, exceptuando las sociedades que coticen en un mercado regulado de la Unión Europea y que estén sujetas a requisitos de información acordes con el Derecho de la Unión o a normas internacionales equivalentes que garanticen la adecuada transparencia de la información sobre la propiedad, o disponer que otra persona ejerza dichas funciones

El plazo para cumplir esta obligación finaliza el próximo 4 de septiembre de 2019. El incumplimiento de esta obligación sería constitutivo de una infracción leve de la Ley y, por ende, la sanción aplicable podría ascender hasta 60.000 euros.

Para más información escríbenos a: info@ecija.com

Aniversario de la Comisión Interamericana de Derechos Humanos

En este año 2019 se conmemora el 60º aniversario de la creación de la Comisión Interamericana de Derechos Humanos.

La Comisión Interamericana de Derechos Humanos (CIDH)  es un órgano principal y autónomo de la Organización de los Estados Americanos (OEA) encargado de la promoción y protección de los Derechos Humanos en el continente americano. La creación se estableció en la Carta de la OEA, donde en su artículo 106 determinó la creación de este mecanismo de protección de los Derechos Humanos en Latinoamérica. Fue creada formalmente por la OEA en 1959 y, desde entonces, está compuesta por siete miembros independientes que trabajan de forma personal y tiene su sede en Washington, D.C.

La CIDH ha variado su eje de acción, al igual que ha variado la composición en el continente americano. Al inicio de su creación, la CIDH impulsaba la protección de primera generación, como el Derecho a la vida o la total oposición a las desapariciones forzadas, muy vigentes en las dictaduras militares de la época. En los años recientes, el cambio en regímenes democráticos en Latinoamérica ha hecho a la CIDH y al sistema interamericano en general,  poder ampliar su enfoque en otro tipos de Derechos de segunda o tercera generación, como derechos económicos, sociales, culturales y ambientales.

Celebramos junto a la CIDH este 60º aniversario, resaltando la importancia de dichos mecanismos para la protección de los derechos humanos el hemisferio occidental.

Las empresas afrontarán responsabilidad penal en Costa Rica

Costa Rica, 24 de junio de 2019

Nueva legislación aplica severas sanciones a las empresas que cometan actos de corrupción. La implementación de programas de Compliance resultará esencial para atenuar estas sanciones.

Cuando se escuchan los conceptos“Derecho Penal”, “responsabilidad penal” o “delitos”, es común que se relacionen a la prisión o cárcel. Efectivamente, esa es una de las sanciones que contempla la legislación en esta materia. Este razonamiento hace pensar que, por ende, las sanciones penales están únicamente dirigidas a las personas físicas, pues, claramente, las empresas no pueden ir a la cárcel.

Dicho razonamiento era correcto hasta el pasado martes 11 de junio de 2019, cuando se publicó y entró vigor la Ley No. 9699, llamada “Responsabilidad de las Personas Jurídicas sobre Cohechos Domésticos, Soborno Transnacional y Otros Delitos”, que tiene como objeto establecer sancionesa las empresas respecto de ciertos delitos. El título de la Ley puede dar la impresión de ser un tema complicado y quizá lejano para la mayoría de las empresas, pero al menos, en esto último, no es así.

El Derecho Penal no solo contempla como sanción la pena privativa de libertad. Al tener un carácter sancionatorio, también contempla otros mecanismos para contrarrestar el quebranto de ciertas normas que resultan trascendentales para la sociedad. Uno de estos temas que internacionalmente ha tomado gran interés es la lucha contra la corrupción, en tanto es una limitación al desarrollo social, económico y político de los países.

Por lo anterior, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) contempla como parte de los requisitos para admitir a un país como miembro ciertas regulaciones en pro de la lucha contra la corrupción. Bajo este contexto, Costa Rica decidió romper con la visión “tradicional” del Derecho Penal y regular sanciones a las personas jurídicas, en circunstancias donde incurran en determinados delitos relacionados con la materia de corrupción.

Ámbito de aplicación. Esta Ley será de aplicación a las empresas costarricenses y extranjeras, con domicilio, residencia u operaciones en el país. Para definir si una compañía extranjera está domiciliada en Costa Rica, esta tendrá que tener una sucursal, agencia o filial, con independencia del capital de origen. Asimismo, se específica que la Ley aplicará a personas jurídicas –inscritas o no– que operen mediante fideicomiso, consorcio, fundaciones o asociaciones de carácter no mercantil. Finalmente, la Ley señala que la empresa matriz podrá ser responsable por actuaciones de sus subsidiarias, en actuaciones donde obtenga provecho o se actúe en su nombre.

Severas sanciones. Las sanciones a las que las empresas se ven expuestas están contempladas en el artículo 11 de la Ley, la cual las divide en principales y accesorias. Las principales consisten en:

(i) multas que pueden ir desde US$745.000 a los US$7.4 millones de dólares;

(ii) pérdida de subsidios estatales;

(iii) inhabilitación para participar en contrataciones públicas;

(iv) inhabilitación a gozar de incentivos fiscales;

(v) cancelación total o parcial del permiso de funcionamiento; e incluso

(vi) la disolución de la persona jurídica.

Cabe destacar que todas estas sanciones son independientes de las que procedan en contra de las personas físicas que puedan tener responsabilidad de carácter personal, que podrán afrontar penas de prisión.

La importancia de la prevención. La Ley contempla atenuantes de responsabilidad mediante las cuales se pueden evitar las sanciones mencionadas. Una de ellas es la adopción y verificación de funcionamiento de un modelo facultativo de organización y prevención de estos delitos, así como su gestión y control. Lo anterior consiste en que las empresas implementen de forma interna ciertos mecanismos, con el fin de que sus empleados no incurran en ciertas prácticas corruptas. Estos mecanismos son conocidos generalmente como mecanismos de cumplimiento o compliance, que si bien ya muchas empresas han implementado por exigencia de sus casas matrices, se vuelven hoy día prácticamente indispensables de cara a la entrada en vigencia de esta Ley.

Por ende, esta nueva normativa implica un reto para toda compañía con actividad comercial en Costa Rica, en tanto deben tomar las medidas preventivas, a través de una asesoría correcta, para así evitar sanciones que, de acuerdo a sus características, podrían poner en peligro su funcionamiento en el país.

ECIJA cuenta con un equipo especializado en servicios de Risk & Compliance bajo estándar europeo para el diseño y monitoreo de todos los planes de cumplimiento en la elaboración, implantación y validación de Sistemas Integrales de Prevención de Delitos (SIPD).

La trascendencia en materia de protección de datos de la directiva (UE) 2019/770 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales

Por Lucía do Nascimento.

Abogada Asociada del Área de IT, Privacidad y Protección de Datos en ECIJA.

 

El pasado 22 de mayo, el Diario Oficial de la Unión Europea publicó la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo de 20 de mayo de 2019 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales, (en adelante, “Directiva 2019/770”) la cual viene a establecer un conjunto de normas comunes que regirán los contratos que se vayan a perfeccionar entre empresarios y consumidores para el suministro de contenidos o servicios digitales, cuyo fin no es otro que, alcanzar una armonía cuya base descansa en la consecución de un alto nivel de protección de los consumidores promoviendo, a su vez, la competitividad entre las empresas.

Tanto empresarios como consumidores a la hora de observar los derechos y obligaciones que le son aplicables, deberán moverse a caballo de la antedicha Directiva 2019/770 y la Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) n.º 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE. Así las cosas, dentro de esta última Directiva se ofrecen las características que deben recubrir los contratos de compraventa de bienes, incluidos los bienes con elementos digitales, para que las citadas normas europeas le sean de aplicación.

Pues bien, la Directiva 2019/770 no ha obviado las circunstancias que envuelven el mercado digital actual, en tanto en cuanto, no siempre los servicios digitales o contenidos se suministran a cambio de un precio, sino que, en numerosos casos el eje económico fundamental consiste en el recabado de datos de carácter personal. Así pues, dicha Directiva tiene como objetivo velar por el respeto al derecho fundamental a la protección de datos para que, los mismos, no se configuren como mercadería, cuestión que dista mucho de su momentánea configuración.

A su vez, todos los contratos que se celebren entre empresario y consumidor, deberán observar, dentro del marco legal aplicable, lo dispuesto en el Reglamento General de Protección de Datos (en adelante, “RGPD”), así como en la Directiva 2002/58/UE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, debiendo prevalecer, para el caso de que existiera conflicto entre la Directiva 2019/770 y el RGPD, este último. Consecuentemente, cuando en el contrato perfeccionado se haya establecido que la legislación aplicable sea la española, deberemos dirigirnos a la actual Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (en adelante, “LOPDGDD”).

En esta línea se señala que la norma europea en materia de protección de datos será de aplicación en aquellos supuestos en los que el consumidor facilite datos de carácter personal como consecuencia de la apertura de una cuenta, por ejemplo, en una red social, y que los mismos no sean empleados con carácter exclusivo para el suministro de los contenidos o servicios digitales o que, en su caso, no sean destinados al cumplimiento de las obligaciones legales que le son impuestas. A su vez, será de aplicación en los supuestos en los que el empresario los emplee con fines comerciales, siempre y cuando, la persona física afectada por el tratamiento haya otorgado su consentimiento.

A sensu contrario, no se aplicará dicha Directiva cuando los datos de carácter personal tengan, con carácter exclusivo, proporcionar los contenidos o servicios digitales y/o que los mismos deban ser tratados como consecuencia del cumplimiento de una obligación legal.

Asimismo, escapa de la aplicación de la Directiva 2019/770 el supuesto en el que el consumidor, sin haber suscrito un contrato con el empresario y con el objeto de tener acceso a determinados contenidos o servicios digitales, consienta el envío de publicidad,

No obstante, la norma europea deja a criterio de los Estados miembros la ampliación de la aplicación de la Directiva, por lo que estaremos a expensas de lo que pueda establecer el legislador nacional, el cual tendrá en consideración los criterios establecidos en la LOPDGDD.

Finalmente, especial atención merecen las consecuencias que se derivan del incumplimiento de los derechos, obligaciones y acciones extracontractuales en relación con la plena aplicación del RGPD puesto que, el hecho del incumplimiento de principios básicos tales como, entre otros, la minimización de los datos o la protección desde el diseño y por defecto, atendiendo a las circunstancias concretas, podrán llevar aparejados una falta de conformidad respecto de los contenidos o servicios digitales, atendiendo a los requisitos objetivos y subjetivos que se indican en la Directiva 2019/770, contemplados en los artículos 7 y 8 de la misma y los cuales vienen a ofrecer un conjunto de particularidades que deben revestir los servicios digitales o contenidos, para que estos pueden ser suministrados por los empresarios.

Así las cosas y en virtud de lo dispuesto en el artículo 14 de la Directiva, la falta de conformidad podrá acarrear la resolución del contrato o, en su caso, la aplicación de medidas correctoras, siempre y cuando no devenga imposible o no le resulte al empresario desproporcionado.

El registro de jornada revoluciona la Unión Europea, ¿y Costa Rica?

Tribuna de Daniel Valverde, asociado de ECIJA Costa Rica, para The Law Clinic.

La recientemente implementada obligación de tener un registro de jornadas de trabajo en la Unión Europea ha creado un verdadero terremoto en las relaciones entre patronos y trabajadores. La norma tiene como principal finalidad hacer efectivas las distintas regulaciones sobre la protección de los descansos mínimos de los trabajadores durante la jornada de trabajo.

La sentencia del Tribunal de Justicia de la Unión Europea (STJUE 14-5-2019, Caso Deutsche Bank) y la subsecuente reforma generada en el Reino de España mediante el Real Decreto Ley 8/2019, creó la obligación de todo patrono de llevar un registro de las jornadas de trabajo laboradas por todos sus trabajadores. Esto aplica para todo patrono, grande o pequeño, y para la gran mayoría de puestos laborales.

La idea detrás de esta obligación, es permitir que exista la suficiente información para todas las personas involucradas (Estado, patronos y trabajadores) de que se están cumpliendo las regulaciones atinentes a los descansos mínimos que deben existir durante y después de la jornada. Su aplicación, sin embargo, ha sido motivo de debate.

Ahora bien, ¿podría funcionar una regulación similar en Costa Rica?

Estado de la cuestión. El Código de Trabajo de Costa Rica establece límites máximos autorizados para laborar, según el tipo de jornada que se trabaje, como en la mayoría de países del mundo. Si se labora por encima de estos límites, o en feriados o días de descanso, se debe remunerar ese tiempo extraordinario con un recargo.

Aunque en Costa Rica existen formas de verificar que estos límites, o que los pagos de la jornada extraordinaria, días feriados o días de descanso, se estén haciendo con base a la normativa aplicable, la regulación actual no ayuda cuando existe contención entre lo que dice el trabajador y el patrono. Actualmente, el patrono es el que tiene la carga de establecer los mecanismos apropiados para determinar si sus trabajadores cumplen la jornada ordinaria de trabajo, o si debe remunerar el tiempo extraordinario que estos laboran.

Esto genera varios problemas respecto a las expectativas de empleadores y empleados. No es un secreto que, en nuestro país, en algunos centros de trabajo existe la noción de “ponerse la camiseta, o “dar la milla extra”, que obliga (tácitamente) a que los trabajadores laboren más de la jornada pactada.

Igualmente, la tecnología ha borrado la fina línea entre las horas laborales y personales, donde el teletrabajo, el correo electrónico, hasta el WhatsApp, hacen que estemos disponibles a toda hora y en cualquier lugar. Por esta misma razón, en Europa ya está siendo reconocido el derecho a la desconexión digital, discusión que, lamentablemente tampoco ha iniciado en nuestro país.

En la otra cara de la moneda, podemos encontrar empleadores que tienen claras las jornadas de trabajo, y tienen normativa interna que expresamente indica que, para reconocer el pago para laborar feriados, días de descanso, o jornada extraordinaria, los trabajadores deben contar con la aprobación respectiva. Sin embargo, enfrentan trabajadores que, sin ninguna exigencia u obligación, igualmente laboran esos días o lo siguen haciendo mucho después de terminar su jornada de trabajo.

Los patronos, entonces, pueden estar generando una alta contingencia laboral, que estalla una vez finaliza la relación laboral con el trabajador. Dado que el reclamo de estos pagos adicionales no prescribe durante la relación de trabajo, no es extraño ver demandas millonarias que comprometen la estabilidad financiera de cualquier empresa, sea pequeña o grande.

Vista toda esta contención y costos en aspectos de jornada extraordinaria y cumplimiento de la jornada, ¿podría la regulación europea tropicalizarse?

¿Serviría una regulación similar? Lo cierto del caso, es que la regulación llegaría a zanjar muchos de las situaciones que actualmente plagan nuestro sistema laboral: (a) se sabría a ciencia cierta si los trabajadores y patronos cumplen sus obligaciones laborales relacionadas a la jornada y (b) daría un respaldo a que el trabajador disfrute sus tiempos libres de descanso.

No obstante, una regulación de este tipo en nuestro país debe verse con cautela, para evitar los errores y complicaciones que ha generado en su aplicación en el Viejo Continente.

En primer término, ¿cómo se haría este registro? La tecnología puede ser un gran aliado en este aspecto, pero hay que pensar que esto afectará tanto a empleadores pequeños y grandes. También afectará tanto a empresas de servicios, industria y agrícolas por igual. Entonces, ¿sería una obligación para todos, o sólo para algunos?

Además, el registro no debería ser la única reforma que se establezca en ese sentido. Es recomendable reconocer, formalmente, el derecho a la desconexión digital. De esta manera, también se elimina la “costumbre”, tanto de patronos como trabajadores, de no desligarse de sus labores, ya sea mediante computadora portátiles, o inclusive sus propios celulares.

Lo cierto del caso es que, con una sólida regulación, podría volver la paz sobre estos temas a las relaciones laborales, reducir sustancialmente los reclamos judiciales que se presentan por estas situaciones, y darles seguridad tanto a patronos como trabajadores de que se cumplen a cabalidad las obligaciones de cada uno.

 

Las marcas olfativas en Costa Rica y otras consideraciones sobre marcas no tradicionales

La sociedad de consumo ha llevado a las empresas a valerse de novedosas herramientas para posicionar sus productos y servicios en el mercado. Es en este nuevo panorama que el marketing sensorial, de la mano con las marcas no tradicionales, toma fuerza y se perfila como una estrategia fresca para encantar consumidores. Mecanismos tradicionales como los panfletos, vallas y anuncios televisivos, dan paso a otros medios que permiten una imagen más duradera en el consumidor.

Las marcas no tradicionales son aquellas que no son percibidas por la vista, donde el consumidor debe valerse de sus otros sentidos como el olfato, el oído, el gusto y el tacto para poder apreciarlas. También se pueden concebir como aquellas que, si bien pueden ser percibidas por la vista, tienen un dinamismo -movimiento o animación- o representación que se alejan del esquema del logo estático: piénsese en las manos acercándose y tomándose la una a la otra de una marca de celulares, el león rugiendo para identificar una productora cinematográfica, o en los hologramas.

En Costa Rica, la primera marca no tradicional fue una auditiva o sonora: el chillido de un águila asociado a una cerveza. A este registro, que inició como un ejercicio legal y un intento por abrir nuevas posibilidades en un sistema normativo que ha probado ser estático y reacio a la innovación, se le sumaron otras iniciativas: el silbido de un famoso gallo para una tienda de electrodomésticos, un ring-tone para la nueva línea de telefonía móvil que asemeja una rana, etc.

El artículo 3 de la Ley de Marcas y otros Signos Distintivos establece una lista de signos que pueden componer una marca o un signo distintivo. Esta lista, afortunadamente, no es taxativa, sino simplemente ejemplificativa.

Partiendo de esta amplitud, recientemente, en el Diario Oficial La Gaceta, se publicaron los requisitos para las marcas olfativas en Costa Rica.  Indica la Directriz que serán requisitos:

1) Cumplir con todos los requisitos y procedimiento comunes a cualquier solicitud marcaria.

2) Además deberá contener:  a) Una descripción objetiva, clara y precisa del aroma que pretende proteger y, b) Al menos tres muestras del aroma (esencia o fragancia) que se pretende proteger, debidamente envasadas o contenidas en un recipiente adecuado para su conservación, las cuales quedarán a disposición de los interesados durante el plazo para interponer oposiciones.

Lo anterior demuestra un claro interés de nuestro Registro de la Propiedad Industrial en procurar alcanzar el avance de lo que la misma directriz llama “realidad material”, que, en relación a los signos olfativos, existe desde hace varios años en otras latitudes. Por ejemplo, en Argentina desde el año 2009 se cuenta con un registro de marcas olfativas para frascos de una empresa cosmética. Asimismo, recientemente el Instituto Mexicano de la Propiedad Intelectual registró el aroma de una conocida plastilina. En el año 2000, se discutió ante la Oficina de la Propiedad Intelectual de la UE (EUIPO) la posibilidad de registrar el aroma de césped recién cortado para pelotas de tenis.

Ahora, esta nueva posibilidad abre también un haz de retos que se deberán enfrentar. En primer lugar, está la descripción del aroma. Tendrá que ser lo suficientemente detallada como para informar a terceros de qué se trata la marca asociada a un producto o servicio específico, una vez que se publique el edicto en el Diario Oficial. También deberá ser clara para efectos del registrador, quien deberá cotejar la descripción con el aroma, una labor harto difícil pues la apreciación del aroma puede variar de persona a persona.

Ahora, si bien se establecen requisitos particulares lo cierto es que la marca deberá cumplir con la máxima de todo signo que pretenda registrarse: ser distintivo. Ello quiere decir que entonces una marca olfativa con olor a fresas para distinguir un producto de esta fruta, podría eventualmente considerarse genérico y, en consecuencia, no ser susceptible de registro.

¿Qué pasaría si el aroma es a fresas, pero con tintes a frambuesa y arándanos? En principio podría registrarse, partiendo de que la combinación es única, pero ¿tendrá el registrador la pericia suficiente para poder distinguir los otros aromas que, sumados al de fresas, lo hace distintivo? Siguiendo la tendencia europea, nuestro país no atiende a la formulación química para describir el aroma, precisamente porque no dice en qué consiste el aroma. La formulación química no es aprehensible para terceros sin pericia, y aun para quienes la tengan, tendrían que prepararla en un laboratorio, con los insumos apropiados. Ello tampoco sería beneficioso para paliar peligros de plagio en el aroma.

Así también, venido un conflicto a nivel administrativo con motivo de una oposición o incluso una revocatoria o apelación por considerarse genérico o similar a otro aroma, ¿Se recurrirá a un experto? ¿Cómo se abordará la similitud de cara al consumidor, si es a este a quien también se protege de cualquier confusión, exigiendo que la marca para ser tal, le permita de manera indubitable identificar el origen empresarial del producto o servicio? ¿Cómo se hará la ponderación de similitud entre un grupo de consumidores, siendo susceptible de criterios tan dispares? Todas estas son preguntas para las que aún no tenemos respuestas.

Es importante mencionar que no se protege el aroma en sí, como sucede con el perfume. Se protege el aroma como distintivo de un producto o servicio. Este es un criterio que ya se ha esgrimido por tribunales europeos, que en anteriores ocasiones ha puesto en manos del derecho de autor la protección de la esencia o perfume en sí mismo.

Al Registro de la Propiedad Industrial se le presenta el enorme reto de contar con el equipo suficiente y adecuado para preservar las muestras de aroma que se presenten junto con la solicitud. Los aromas pierden su fuerza y se modifican con el tiempo, incluso en las condiciones adecuadas. Los aromas deberían poder preservarse por al menos 5 años, que es el plazo para reclamar una cancelación por no uso, y no por el plazo para oposiciones como dispone la directriz.

Aun hoy existen temas vedados en nuestra ley, que son motivo de discusión judicial en estrados internacionales, como por ejemplo la protección de un color aislado en asociación a un producto (como la suela roja en zapatos o el azul turquesa en cajas de joyería).  También existen temas no regulados como la marca gustativa (que probablemente enfrente los mismos problemas que la olfativa) y la marca táctil que, de mano de esta nueva tendencia de mercadeo, ciertamente se seguirán implementando de cara al público y en consecuencia deberán abordarse desde la perspectiva de la ley.

Se dice que una de las memorias más duraderas es la memoria olfativa, por lo cual no es raro que cada vez más las empresas estén utilizando estas estrategias para dejar una impronta perdurable en la mente del consumidor. Es muy usual, por ejemplo, entrar a una concesionaria de vehículos y distinguir un aroma particular. “El aroma a nuevo”, lo llamarán algunos. Esa es una estrategia de mercadotecnia, que hoy en Costa Rica es posible proteger y adquirir como un derecho.

No hay duda de que esta directriz revela un interés especial de nuestro Registro de dar un empujón a nuestra legislación para que sea acorde a los avances actuales. Queda, sin embargo, mucho por hacer.

FabLab: laboratorios para la creación colectiva

FabLab: laboratorios para la creación colectiva, artículo de Elisa Carrión, abogada de ECIJA, para The Law Clinic.

De la unión entre economía colaborativa y Do It Yourself surgen con fuerza nuevos lugares para la creación. En este contexto, nos encontramos con los llamados FabLab (“Fabrication Laboratory”), un paradigma de la producción digital, con implicaciones significativas en materia de propiedad intelectual e industrial.

Historia

Los FabLab surgen a principios del año 2001 en Estados Unidos, cuando el CBA (Center for Bits and Atoms) recibe una subvención de la NSF (National Science Foundation) para establecer instalaciones de fabricación digital destinadas a varias disciplinas. Un año después, comienza a reproducirse el formato en India, Costa Rica o Ghana, como unidades de producción a escala local.

Cada vez más habituales en el paisaje de nuestras ciudades, en España hay más de medio centenar. Los FabLab son una red global de laboratorios locales, que posibilitan la creación de casi cualquier tipo de objeto, haciendo accesibles a los individuos herramientas digitales y máquinas (impresoras 3D, cortadoras láser, etc) en espacios de producción abiertos, permitiendo así la realización de casi cualquier tipo de objeto.

El organismo creador del formato FabLab, el MIT (Massachusetts Institute of Technology), establece los requisitos que tienen que cumplir los espacios a través de la “Fab Charter”. El documento exige, por ejemplo, que los objetos fabricados no puedan ser concebidos para hacer daño a otro, así como la necesidad de compartir información y aprendizaje entre los participantes.

Tipos de servicios

“OpenLab”: donde cualquier usuario puede, de forma gratuita, acceder al espacio y fabricar sus objetos, quedando luego obligado a compartir la documentación de su trabajo con los demás usuarios. Esta modalidad suele combinarse con la existencia de talleres de formación en el manejo de máquinas.

Reserva o alquiler de máquinas: los usuarios reservan una máquina para realizar un objeto o prototipo. Si la reserva tiene una contraprestación económica, los usuarios no suelen estar obligados a compartir la documentación de su proyecto con la comunidad del FabLab.

Talleres y formación: destinados a que los usuarios puedan aprender a concebir un proyecto a través de un programa informático y/o a su elaboración a partir de las máquinas disponibles en el FabLab.

Alquiler del espacio: permite a una empresa, institución o particular utilizar privadamente el espacio durante un número determinado de horas o días. Esta modalidad no implica obligación de compartir la información con los usuarios del FabLab.

Los servicios propuestos son, por tanto, una forma de respuesta a dos tipos de necesidades, en ocasiones, opuestas. Por un lado, el libre acceso de la comunidad con la finalidad de que se promueva el aprendizaje y los conocimientos generados en el “laboratorio”, frente a la posibilidad de privatizar el espacio o las máquinas para que empresas o instituciones puedan realizar prototipos, sin tener que compartir información sobre los mismos.

¿Están permitidas las actividades comerciales?

La Fab Charter precisa que las actividades comerciales tienen cabida en los FabLab siempre que estén en fase de prototipado e incubación. La fase de desarrollo deberá tener lugar fuera del laboratorio y beneficiar a los investigadores, laboratorios y redes que hayan contribuido a su éxito.

¿A quién pertenecen las creaciones? ¿Cómo pueden protegerse?

Como afirma la Fab Charter, estos laboratorios se basan en principios de apertura, accesibilidad y aprendizaje. Operan, por tanto, en el terreno de la creación colectiva, donde compartir los frutos de la creación de cada usuario es un elemento caracterizador.

En este contexto surgen las primeras dudas sobre cómo se protegen los elementos aquí creados y quién sería el titular de los derechos sobre las creaciones. Sobre ello, la Fab Charter expone que “los diseños y procesos desarrollados en los FabLab pueden protegerse y venderse de la manera que elija el inventor, pero deben estar disponibles para que los individuos puedan usarlos y aprender de ellos”.

En derecho español, la propiedad intelectual de una obra literaria, artística o científica corresponde a su autor por el solo hecho de la creación (Art. 1 Ley de Propiedad Intelectual), lo que supone que la obra creada en un FabLab, siempre que sea original, estará protegida, aunque no haya sido formalmente inscrita en el Registro de la propiedad intelectual. En consecuencia, el usuario de un FabLab será el autor de las obras originales que allí cree y le corresponderán los derechos de carácter patrimonial y moral recogidos en la Ley de Propiedad Intelectual. Si la obra fuera resultado del trabajo de varios usuarios éstos podrían ser considerados co-autores.

Asimismo, el resultado creativo que tenga lugar en un FabLab podrá ser objeto de protección por propiedad industrial, siempre y cuando se registre en la forma adecuada, cumpliendo con lo establecido en la normativa.

El producto podrá protegerse por patente, cuya duración es de 20 años, cuando la invención implique novedad, actividad inventiva y sea susceptible de aplicación industrial (art. 4 Ley de Patentes). Si se trata de una invención menor, por ejemplo, una nueva configuración de un productor existente, podría protegerse por modelo de utilidad, cuya duración se limita a 10 años.

También la estética de un producto puede ser susceptible de protección por diseño industrial (a condición de que sea novedoso y tenga carácter singular). El diseño tiene una protección de cinco años contados desde la fecha de presentación, renovables por períodos sucesivos de cinco años hasta un máximo de 25 años. Como particularidad, existe una protección para diseños sin necesidad de registro en la Unión Europea, que dura tres años desde que se hizo accesible al público en dicho territorio. De la misma forma que sucede con los derechos de propiedad intelectual, si la obra es resultado del esfuerzo de varios usuarios, éstos podrán ser co-titulares de los derechos.

Por lo tanto, si bien, los elementos creados o producidos en un FabLab se protegen en base a las normas de propiedad intelectual o industrial, la propia FabLab Charter establece que los usuarios (en determinadas modalidades como el Open Lab) deberán poner a disposición de la comunidad la documentación y elementos que le sirven de base para la creación. Por ello, el sistema de los FabLab implica que el autor o el titular de derechos, si bien éste puede ser reconocido como tal, tendrá que conceder determinadas licencias a los usuarios del “laboratorio”, realizando por tanto cesiones de derechos.

En la práctica: ejemplos de creación o producción en un FabLab

A continuación, se analizan algunos ejemplos, que permiten conocer en la práctica los conceptos explicados, así como reflexionar sobre las cuestiones de relevancia en materia de propiedad intelectual e industrial.

  • Artista que crea una serie de esculturas originales

 Un artista crea una escultura y acude a un FabLab con la finalidad de realizar una serie de la misma, utilizando para ello herramientas de scanner y digitalización para conseguir un fichero que le permita la reproducción de la obra. En base a la normativa vigente, corresponderán al escultor los derechos de propiedad intelectual sobre su obra por el mero hecho de la creación de la misma, sin embargo, aplicando los principios FabLab, si la reproducción se realiza en un OpenLab el artista deberá aceptar dejar sus planos o bocetos a la comunidad para que pueda permitirse la reproducción de la obra, lo que implicaría una obligación de licencia de uso del escultor hacia la propia comunidad del FabLab.  No obstante, los términos de dicha licencia no están definidos en la Fab Charter, por lo que habrá que estar a lo que determine cada laboratorio en sus condiciones de uso.

En sentido contrario, si la reproducción tuviera lugar mediante el alquiler de máquinas o del espacio del FabLab no existiría la obligación para el escultor de permitir el uso de sus planos a la comunidad.

  • Usuario que reproduce un objeto técnico sin finalidad comercial

Supongamos que un consumidor que necesita reparar su coche acude al FabLab para digitalizar una determinada pieza y reproducirla a través de una impresión en 3D. Si esta pieza estuviese protegida por una patente, cabría entender que la reproducción en un ámbito privado y con fines no comerciales, estaría dentro de los límites del art. 61.1 de la Ley de Patentes. Sin embargo, el principio del FabLab que busca compartir la información con la comunidad vendría a chocar con esta excepción, puesto que los planos de fabricación del objeto deberán ser de libre acceso para los miembros. Aquí, de nuevo, podría evitarse el riesgo de compartir la documentación privatizando el espacio o las máquinas del FabLab.

  • Creación de un prototipo por parte de una start-up

Una start-up alquila durante dos días un FabLab, para realizar prototipos de piezas, con ayuda de uno de los animadores del espacio, en cuyo caso la empresa podría solicitar al FabLab la firma de un acuerdo de confidencialidad. Al tratarse de una modalidad de alquiler, la start-up no estará obligada a compartir su documentación preparatoria y podrá registrar los títulos de propiedad industrial más adecuados para su invención.

Si la misma start-up realizara los prototipos en un formato OpenLab se plantearía una cuestión aún más compleja en materia de propiedad industrial, es decir, si los actos de prototipado realizados en un FabLab y la puesta a disposición de la documentación para sus usuarios pueden constituir una divulgación de la invención que imposibilitaría el registro de la patente. Considerando, además, que tal divulgación podría ser de carácter mundial, ya que el FabLab es una red internacional. En consecuencia, el uso de FabLabs por parte de start-ups puede suponer una dificultad a la hora de buscar financiación, debido a la importancia que cobra en este ámbito la posibilidad de acreditar la titularidad sobre derechos de propiedad intelectual o industrial para conseguir inversores.

En síntesis, los FabLab son tan apasionantes para la creación, como generadores de retos para la propiedad intelectual e industrial, sobre todo en la modalidad de OpenLab. La FabLab Charter es un documento base que sintetiza los principios clave de funcionamiento, pero que no entra a concretar qué tipos de licencias, ni por cuánto tiempo, deben conceder los usuarios a los miembros de la comunidad para que los diseños y procesos puedan estar “disponibles para que los individuos puedan usarlos y aprender de ellos”. Por ello, parece necesario que exista una mayor información disponible en las páginas web de los diferentes laboratorios sobre las condiciones de uso de cada uno de ellos, con la finalidad de permitir a los usuarios familiarizarse con las implicaciones que tienen la creación y/o producción los FabLab.  A la espera de que ello ocurra, el análisis caso por caso de las reglas de cada uno de estos espacios y una correcta formación en materia de propiedad intelectual e industrial de los profesionales que trabajan en los FabLab se perfilan como indispensables.

La protección de la innovación en la nueva Ley de Secretos Empresariales

«La protección de la innovación en la nueva Ley de Secretos Empresariales», tribuna de Jesús Martín, socio de ECIJA, para The Law Clinic.

La innovación es un importante estímulo para el desarrollo de nuevos conocimientos y propicia la emergencia de modelos empresariales basados en la utilización de conocimientos adquiridos colectivamente. Facebook, Airbnb, Glovo o Cabify fueron fruto de la innovación y de la rápida implementación en el mercado tecnológico, a través de un ecosistema emprendedor. Si bien es cierto, este tipo de compañías han crecido a una mayor velocidad que la propia seguridad jurídica le ha otorgado la regulación existente en cada momento.

El Gobierno pretende dotar de seguridad jurídica este ecosistema a través de La “Ley de fomento del ecosistema de Startups”, mediante la cual se pretende establecer un entorno normativo estable y seguro en el que se desenvuelvan nuestros emprendedores y startups. Encontrar un modelo de negocio innovador global exitoso en una «startup» es un proceso iterativo y arriesgado, que precisa condiciones de atracción de financiación y talento particulares. El entorno normativo (con leyes de diversa naturaleza aplicables a las entidades de nueva creación) en el que se desenvuelven los emprendedores tecnológicos y las «startups» resulta de esencial importancia para que la gestación y desarrollo de las iniciativas de alto componente innovador obtengan un resultado exitoso.

La Ley de Secretos Empresariales (la cual entró en vigor el pasado día 13 de marzo de 2019 tras una vacatio legis de 20 días) viene a regular y a reforzar la información empresarial no divulgada, siempre y cuando se lleven a cabo las medidas adecuadas. La propia normativa le dota de una definición específica: cualquier información y/o conocimiento, que sea secreto, y que tenga un valor empresarial por el hecho de ser secreto. 

Las organizaciones valoran sus secretos empresariales tanto como los derechos de propiedad industrial e intelectual y utilizan la confidencialidad como una herramienta de gestión de la competitividad empresarial, de transferencia de conocimiento público-privada y de la innovación en investigación. Por ello, deben ser las propias organizaciones quienes implementen las medidas de seguridad adecuadas para construir y, llegado el caso reforzar, un secreto empresarial.

No es menos cierto que, cada vez más, las organizaciones están expuestas a prácticas desleales que persiguen la apropiación indebida de secretos empresariales. Dichas prácticas, generalmente, provienen de terceras empresas a través de apropiaciones indebidas, copias no autorizadas o espionaje económico, pero no hay que obviar que en muchas ocasiones es resultado del incumplimiento de los requisitos de confidencialidad de las propias personas (empleados o exempleados) que conforman una organización. En estos casos, la Ley de Secretos Empresariales quiere proteger a la empresa frente a aquellas personas que han tenido acceso a esa información y/o conocimiento, y no han realizado un uso adecuado de ella.

Cada vez resulta más necesario establecer un sistema de compliance en muchos ámbitos dentro de una organización (en especial, en una startup). Por ello, bajo el amparo de la Ley de Secretos Empresariales, sería necesario establecer una serie de medidas organizativas, jurídicas y técnicas para garantizar esa confidencialidad de la información y/o conocimiento protegido mediante la normativa.

Al igual que ocurre en otros ámbitos (protección de datos de carácter personal, protección de intangibles, compliance penal, etc.), las organizaciones que quieran proteger la innovación en su sentido más amplio (e incluso que no quieran verse inmersas en situaciones de responsabilidad directa), deberán tener una Política de secretos empresariales mediante la cual se establezcan protocolos destinados a:

 

  • Identificar que tipo de información y/o conocimiento puede llegar a ser protegido como secreto empresarial. Este es un aspecto clave ya que la Ley de Secretos Empresariales se configura como una normativa complementaria a otras normas como la Ley de Competencia Desleal, Ley de Propiedad Industrial, etc. En este sentido, podremos dotar de seguridad jurídica al know-how en un aspecto determinado de una organización, archivos de clientes, bases de datos no protegidas por otra normativa, un business plan concreto, procedimientos de actuación en determinados aspectos como podría seguir la configuración de campañas de marketing digital para startups enfocadas al ecommerce, etc.
  • Clasificar la información. Determinar que tipo de acceso, y a qué información y/o conocimiento concreto, tendrán los diferentes empleados y/o personas externas dentro de una organización.
  • Protección de la información. Establecer un protocolo de acceso y uso de la información clasificada en función del puesto dentro de una organización a través de cláusulas de confidencialidad, áreas de acceso restringidas o procedimiento de ciberseguridad.
  • Explotación de la información. Definir cuales son los procedimientos y el alcance de uso de la información clasificada como secreto empresarial.
  • Protección de la información. Establecer sistemas de comunicación interna (lo ideal sería mediante un canal anónimo, equiparando este proceso al canal de denuncias en un sistema de compliance penal) para identificar un acceso y/o uso no adecuado de la información. Además, añadiendo un sistema de penalizaciones ante daños y perjuicios que pudiera tener la empresa ante una vulneración de este tipo.

La Ley de Secretos Empresariales va a servir para que las empresas puedan establecer un blindaje legal más exhaustivo a toda esa información innovadora, para que pueda formar parte del patrimonio de la organización. Los abogados, y en especial aquellos abogados in-house, deben liderar los procesos para establecer protocolos de medidas legales a implantar, tanto a nivel interno dentro de la compañía, como en el externo a fin de garantizar un uso adecuado de los secretos empresariales propios y los de terceros.

A partir de ahora veremos como actúan los jueces de lo mercantil en esta materia, pero lo que si podemos adelantar es que las organizaciones deberán estar atentas y adoptar medidas en aras a evitar la fuga de la información y, en caso de producirse, de aplicar los sistemas de protección adecuados para mitigarlo y/o iniciar las acciones judiciales pertinentes.

“Brexit”: el continente está aislado.

«“Brexit”: el continente está aislado», tribuna de Antonio Cendán, abogado de ECIJA, para The Law Clinic.

Heavy Fog In The Channel. Continent Cut Off”. Esta cita clásica, de origen incierto, resume décadas de bizarras relaciones entre el Reino Unido y la Europa continental (o Europa, a secas, para los británicos en general). Una relación de amor-indiferencia que desencadenó en el referéndum sobre la permanencia del Reino Unido en la Unión Europea celebrado el 23 de junio de 2016, cuyo controvertido resultado es ya por todos conocido a estas alturas.

Desde que en marzo de 2017 Theresa May invocó el artículo 50 del Tratado de Lisboa, la salida del Reino Unido de la Unión Europea no ha hecho más que generar incertidumbre en cuanto a sus términos y consecuencias.

Según el calendario establecido, después del 29 de marzo de 2019 el Reino Unido pasará a tener la condición de tercer país. La principal incógnita en estos momentos es si la Primera Ministra británica será capaz de convencer a su Parlamento de la conveniencia de aceptar los términos de su pacto con Bruselas, facilitando una salida de la Unión menos brusca y aplicando un período transitorio previsto, inicialmente, hasta diciembre de 2020, o si, por el contrario, se aplicará lo que se ha dado en llamar el Brexit duro, en ausencia de aprobación del pacto por el Parlamento Británico, lo que supondría un inmediato cambio en el mapa sociopolítico y económico dentro de apenas dos semanas.

El impacto económico que tendrá el Brexit para el resto de la Unión resulta, todavía, difícil de prever. Sin embargo, es importante tener en cuenta que, una vez que el Reino Unido salga de la Unión Europea, la nueva situación tendrá importantes consecuencias tributarias.

En primer lugar, y en relación con los impuestos indirectos, hay que tener en cuenta que se dejará de aplicar la Directiva comunitaria sobre el IVA. Además, la condición del Reino Unido como país extracomunitario supondrá que todo el flujo de mercancías entre la Unión y las islas pasen a tener la consideración de una importación/exportación, aplicando el régimen aduanero; algo que los más jóvenes del lugar ya no recuerdan y que hace apenas un lustro parecía inimaginable.

Para tranquilidad de las empresas que ingresaron IVA en el Reino Unido en el ejercicio 2018, por otra parte, sería recomendable que presentaran sus solicitudes de devolución antes del 29 de marzo de 2019, a fin de que puedan ser tramitadas antes de dicha fecha, previa a su posible salida de la Unión.

En relación con los impuestos directos (Impuesto sobre Sociedades e IRPF, principalmente), hay que tener en cuenta que a partir de la salida del Reino Unido de la Unión dejarán de aplicarse, a priori, las Directivas Europeas que, desde hace años, facilitan el tráfico económico y el intercambio de información entre los países miembros de la Unión, tales como:

  • La Directiva matriz / filial, que se refiere a la eliminación en ciertos casos de retención en origen sobre los dividendos pagada a “matrices” con residencia en la UE.
  • La Directiva sobre fusiones, que se refiere al diferimiento de los impuestos sobre las ganancias en ciertas fusiones transfronterizas, aportaciones de activos y canjes de acciones que tienen lugar dentro de la UE, solventando una serie de obstáculos fiscales.
  • La Directiva sobre Intereses y cánones, que elimina ciertas retenciones sobre determinados intereses y cánones.
  • La Directiva de asistencia mutua, en la cooperación administrativa entre las autoridades fiscales, que ahora incluye el intercambio de información sobre los rendimientos del ahorro, etc.

Ante esta nueva realidad, no somos capaces de imaginar con exactitud cómo serán las relaciones con el que hasta ahora fue el centro financiero de Europa. De todos modos, no parece que vayan a ser buenas noticias ni para la Unión, ni para el Reino Unido.

Es de esperar que en algunos años se alcancen acuerdos bilaterales de libre comercio entre la Unión y las islas, o incluso que se permita la aplicación de las Directivas europeas bajo determinadas condiciones, a pesar de que finalmente adquiera la condición de país extracomunitario (como en el modelo suizo), pero mientras tanto las principales normas que serán de aplicación en estas relaciones serán los Convenios de Doble Imposición firmados entre el Reino Unido y cada uno de los países de la Europa continental, que serán el marco para estas nuevas relaciones bilaterales entre países mientras nadie le ponga remedio.

A día de hoy, sin embargo, no debe descartarse ninguna opción distinta a las inicialmente previstas: desde negociar una prórroga para la salida del Brexit que permita una nueva votación en el Parlamento que ratifique los acuerdos alcanzados por May con Bruselas, a convocar un nuevo referéndum para votar, de nuevo, la salida del Reino Unido de la Unión Europea, posibilidad que parece cada vez más probable, atendiendo a algunas de las últimas declaraciones realizadas por May o Corbyn.

Mientras esperamos atentos a la resolución de esta nueva situación y a sus impredecibles consecuencias, yo, como Sir Winston Churchill, soy optimista. No parece muy útil ser otra cosa.

La obligación de registro de jornada llega a la Unión Europea. Conclusiones del Abogado General

«La obligación de registro de jornada llega a la Unión Europea. Conclusiones del Abogado General», tribuna de Sara Duro, abogada de ECIJA para The Law Clinic.

En un contexto en el que el último pronunciamiento del Tribunal Supremo había negado la existencia de una obligación legal de registro de jornada, y en el que la proposición de ley para imponerla se encuentra bloqueada en el Congreso, las conclusiones presentadas por el Abogado General el pasado 31 de enero presentan un máximo interés.

En España, la normativa actual regula la cuestión en el artículo 35.5 del Estatuto de los Trabajadores, que indica que “a efectos del cómputo de horas extraordinarias, a jornada de cada trabajador se registrará día a día”. La Audiencia Nacional había interpretado este precepto indicando que el registro diario de jornada es necesario para el control efectivo de las horas extraordinarias, pues sin él sería imposible comprobar su realización. Sin embargo, la jurisprudencia posterior del Tribunal Supremo excluyó la existencia de una obligación general de registrar la jornada ordinaria de trabajo.

La Audiencia Nacional, consciente del estado de la cuestión, al volver a tener que resolver sobre la obligación de registro planteó cuestión prejudicial al Tribunal de Justicia de la Unión Europea para que aclarase si el registro de jornada viene impuesto por la Directiva 2003/88/CE.

Las conclusiones del Abogado General, dictadas en este asunto, si bien no son vinculantes para la decisión del Tribunal de Justicia de la Unión Europea, sí tienen una gran influencia sobre su fallo. En esta ocasión, el Abogado General ha declarado que el derecho la Unión se opone a las normativas nacionales que no impongan de modo expreso a los empresarios ninguna forma de cómputo o de control del tiempo de trabajo ordinario de los trabajadores.

Según su criterio, la inexistencia de un sistema de cómputo del tiempo de trabajo supone la imposibilidad de determinar con objetividad y certeza la cantidad de trabajo realizado, ni diferenciar entre horas ordinarias y extraordinarias. Asimismo, sin registro de jornada obligatorio se priva a la inspección de trabajo de la posibilidad de verificar y censurar los incumplimientos de la normativa de horas extraordinarias, a la vez que se dificulta a los trabajadores obtener defensa judicial en caso de incumplimiento de la normativa de jornada, pues han de soportar una carga probatoria demasiado gravosa.

Finalmente, el Abogado General indica que el sistema concreto de registro del tiempo de trabajo se deja a discreción de los Estados miembros, y que la tecnología actual ofrece una gran diversidad de posibilidades para hacerlo. En este sentido, ya el magistrado Antonio Sempere Navarro, en voto particular de la sentencia del Tribunal Supremo que rechazaba la imposición del control de jornada, destacaba la importancia del registro, que según su opinión “debería de realizarse mediante un mecanismo de control de carácter flexible, que se elija en función de las circunstancias de prestación de servicio en la empresa”. Los sistemas podrían incluir desde tarjetas magnéticas hasta controles biométricos por medios tecnológicos, siempre reflejándolo en las políticas de uso de equipos.

En efecto, las mencionadas conclusiones se publican pocos meses después de la entrada en vigor de la nueva ley orgánica de protección de datos, que regula por primera vez en nuestro país el derecho a la desconexión digital como medio para evitar la realización de horas extraordinarias sin control en tiempos de descanso y vacaciones. Por tanto, resulta claro que la cuestión ya preocupaba desde hace tiempo al legislador nacional, que ha ofrecido e impuesto mecanismos a las empresas para llevar la iniciativa en la supervisión de las horas extraordinarias que sus empleados realicen.

En general, en la medida en la que la realización generalizada de horas extraordinarias resulta una práctica extendida en nuestro país, se entienden que empiecen a debatirse mecanismos para evitar los excesos de jornada no retribuidos. El alcance y conceptualización de estos mecanismos serán resueltos muy pronto por el Tribunal de Justicia de la Unión Europea.

 

Utilización de datos personales en la campaña electoral: ¿hasta dónde pueden llegar los partidos políticos?

«Utilización de datos personales en la campaña electoral: ¿hasta dónde pueden llegar los partidos políticos?», tribuna de Elena Peña, abogada de ECIJA, para The Law Clinic.

En los próximos meses los españoles nos daremos cita en las urnas para ejercer nuestro derecho fundamental de sufragio activo hasta en tres ocasiones. Estos comicios traen consigo una importante novedad: serán los primeros desde que entró en vigor la nueva LOPD, la cual permite expresamente la utilización de datos personales de los ciudadanos por parte de los partidos políticos en el marco de sus campañas electorales.

El impacto de los avances tecnológicos como el Big Data o la inteligencia artificial llega al panorama político, donde cada vez más técnicas de análisis tradicionalmente utilizadas en el ámbito comercial son adoptadas por los partidos para dirigirse al electorado. De la mano de esta innovación surgen riesgos cada vez más patentes, prueba de ello es el aun reciente escándalo de Cambridge Analytica, que supuso el uso ilícito de datos de 50 millones de usuarios de Facebook para mercadotecnia electoral y su posible impacto en la victoria de Donald Trump en las elecciones en EEUU. Es en este entorno en el que cobra relevancia la protección de datos personales, y en especial, la nueva regulación recogida en la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y su controvertido artículo 58 bis.

Este artículo, desarrollado con base en el considerando 56 del Reglamento General de Protección de Datos (RGPD), fue incorporado a la Ley mediante enmienda al final del trámite parlamentario, y regula la utilización de medios tecnológicos y datos personales en las actividades electorales. En el mismo se prevé la posibilidad de que los partidos políticos recaben y traten datos sobre las opiniones políticas de las personas en el marco de sus actividades electorales, entendiendo que dicho tratamiento se hallaría amparado en el interés público.

La aplicación de este polémico precepto suscita numerosas dudas, en respuesta a algunas de las cuales se pronunció la Agencia Española de Protección de Datos (AEPD) en su informe del Gabinete Jurídico del pasado 19 de diciembre, en el que destaca que el artículo debe ser objeto de interpretación restrictiva. Será con base en este informe, así como en el proyecto de Circular sobre el tratamiento de datos relativos a opiniones políticas por los partidos políticos de la AEPD, que arrojaremos algo de luz sobre los límites de esta habilitación.

¿Qué datos personales pueden tratar? El artículo 58 bis LOPDGDD permite a los partidos políticos recopilar información sobre las opiniones políticas de los ciudadanos. Estamos por tanto ante un dato de categoría especial de acuerdo con el artículo 9.1 RGPD, cuyo tratamiento de manera general se halla sometido a un régimen especial de protección. Es importante recalcar que el dato debe haber sido libremente expresado por el titular en el ejercicio de sus derechos fundamentales a la libertad ideológica (art. 16 CE) y a la libertad de expresión (art. 20 CE). Esto implica que no será posible el tratamiento de otros datos personales a partir de los cuales, mediante el uso de Big Data o inteligencia artificial, pueda inferirse la ideología política de una persona, ya que supondría una vulneración del mencionado derecho a la libertad ideológica.

¿De dónde pueden obtener mis datos personales? Se limitan las fuentes de obtención del dato de opiniones políticas a páginas web y “otras fuentes de acceso público”. Con la derogación de la antigua LOPD, desaparece el régimen de tratamiento de datos obtenidos de “fuentes de acceso público”. Sin embargo, la AEPD se sirve de la anterior definición para interpretar que, a efectos de la ley actual, se entenderá que podrá recabarse la información sobre opiniones políticas de páginas web y otras fuentes en las que la consulta la pueda realizar cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso esté restringido a un círculo determinado de personas, como puede ser una cuenta privada de Instagram o Facebook. Cuando el dato se obtenga de otras fuentes, deberá legitimarse en alguna de las otras bases previstas en el artículo 6 RGPD.

¿Para qué pueden tratar mis datos? La finalidad del tratamiento de datos de opiniones políticas basado en el interés público queda limitada a la actividad electoral, entendiéndose en la Ley Orgánica 5/1985 del régimen electoral general (LOREG) que dichas actividades se limitan a la propaganda electoral y a los actos de campaña.

¿Pueden utilizar mis datos para la elaboración de perfiles? La AEPD entiende que cabría la realización de un soft profiling, esto es, un perfilado basado en categorías genéricas como pueden ser la edad, el sexo o la población, amparándose en el interés público. Sin embargo, un perfilado más intenso o “hard profiling”, que supusiera la realización de perfiles individuales (microtargeting), requerirá el consentimiento del interesado titular de los datos.

¿Cuándo pueden tratar mis datos y durante cuánto tiempo? Los datos personales únicamente podrán ser tratados con base en el artículo 58 bis LOPDGDD durante el periodo electoral, el cual empieza 16 días antes de las elecciones y dura 15 días (artículo 51 LOREG). Teniendo esto en cuenta, el plazo y la campaña de las elecciones generales arranca el 12 de abril y el de las europeas, autonómicas y locales, el 10 de mayo. Al terminar el periodo electoral, esto es, con el inicio de la jornada de reflexión, la AEPD establece que deberán suprimirse o bloquear los datos, sin que quepa tratamiento ulterior para otras campañas.

¿Pueden enviarme propaganda por redes sociales? En este punto, es interesante la línea seguida tanto por la AEPD como por el legislador, que entienden que la propaganda electoral no tiene naturaleza comercial. Esta opinión difiere de la defendida por la autoridad inglesa (ICO) así como por sus tribunales[1], que consideran una definición más amplia que incluye la promoción de los fines e ideales de cualquier organización, quedando englobada por tanto la propaganda política en el concepto de comunicaciones comerciales. Esta consideración por parte de la ley española supone que no será de aplicación el artículo 21 de la LSSI, pero no exime del resto de obligaciones del RGPD, entre las que se incluye el deber de licitud, debiendo por tanto existir alguna base que legitime el tratamiento de acuerdo con el artículo 6 RGPD (por ejemplo, el consentimiento).

¿Qué medidas de seguridad están obligados a adoptar los partidos políticos para poder llevar a cabo estos tratamientos? Además de las medidas genéricas descritas en el RGPD para todo responsable del tratamiento, como puede ser la necesidad de mantener un registro de actividades de tratamiento o informar al interesado del tratamiento, la AEPD entiende que, como garantía adecuada, el partido político deberá designar a un delegado de protección de datos. Además, dada la tipología de los datos que se tratarían y que existe un alto riesgo para los derechos y libertades de las personas, el partido deberá consultar a la AEPD antes de proceder al tratamiento de datos, a no ser que justifique que ha adoptado medidas para mitigar los riesgos.

A pesar del intento de la AEPD de aclarar las cuestiones más controvertidas, este artículo y sus implicaciones no están exentos de polémica, y su constitucionalidad es puesta en duda por diversos juristas del sector. Concretamente, la Asociación de Internautas presentaron una solicitud a fecha de 25 de febrero al Defensor del Pueblo para que interponga un recurso de inconstitucionalidad, teniendo este órgano hasta el 6 de marzo para tomar una decisión al respecto.

Los efectos y ramificaciones del nuevo precepto tienen implicaciones que van más allá del respeto por parte de los partidos políticos a la privacidad de aquellos ciudadanos a los que buscan representar, se trata de la integridad del proceso democrático. En un mundo de tecnologías innovadoras, el uso de los datos personales puede suponer una diferencia en el resultado de las elecciones, y parece evidente que los partidos políticos, tanto a nivel nacional, de cara al 28 de abril, como en ámbito autonómico, municipal y europeo de cara al 26 de mayo, van a servirse de todos los medios a su alcance para lograr una mayor representatividad.

Sin embargo, de cara a mantener la confianza del electorado y la integridad de las propias elecciones, las organizaciones involucradas en la campaña electoral deberán usar la información personal de manera transparente, legal y entendible para los ciudadanos.

 

[1] Information Tribunal en Scottish National Party v Information Commissioner (EA/2005/0021, 15 de mayo de 2006)

Apuesta navarra por la fiscalidad en las producciones cinematográficas

«Apuesta navarra por la fiscalidad en las producciones cinematográficas», tribuna de Paula del Burgo, abogada de ECIJA, para The Law Clinic.

En los últimos años Navarra ha sido el escenario elegido para el rodaje de producciones cinematográficas que han tenido una gran repercusión nacional e internacional. Conocidas caras del séptimo arte como Javier Bardem, Penélope Cruz, Imanol Arias, Cameron Díaz y actores y actrices del panorama español como Carmen Maura, Hugo Silva, Mario Casas, Clara Lago, Carmen Machi, Karra Elejalde o Dani Rovira, entre otros, han situado en el mapa algunos de los pueblos y parajes más emblemáticos de Navarra gracias a la proyección que han tenido sus largometrajes.

Es a partir de febrero del 2019 cuando se contará con unos estudios cinematográficos al norte de Navarra, concretamente en Lekaroz, situado en el valle del Baztán. Se trata de los Melitón Film Studios que contará con dos platós, oficinas de producción, camerinos, vestuarios…. consiguiendo que las productoras inviertan el menor número de recursos posibles disminuyendo de este modo el presupuesto de los rodajes.

Pero sin duda, uno de los principales atractivos para las producciones cinematográficas en Navarra es el importante incentivo fiscal que ofrece la Hacienda Foral. A continuación se detalla algunas de los aspectos fiscales más relevantes.

¿Qué deducción en la cuota se puede aplicar en el Impuesto sobre Sociedades?

Las inversiones en producciones españolas de largometrajes cinematográficos y de series audiovisuales de ficción, animación o documental que permitan la

confección de un soporte físico previo a la producción industrial seriada, darán derecho a la productora a practicar una deducción de la cuota líquida del 35 por 100.

Para las producciones registradas en el Registro de Empresas Cinematográficas, del Ministerio de Educación, Cultura y Deporte, que confeccionen un soporte físico previo a su producción industrial, darán derecho a una deducción en la cuota líquida del 35 por 100 de los gastos realizados en territorio navarro. Como requisito indispensable es el rodaje al menos de una semana en Navarra, tanto en interiores como en exteriores.

¿Cuánto gasto se debe realizar en Navarra y cuál es el límite de la deducción?

Al menos el 40%  de la base de deducción deberá corresponder a gastos realizado en territorio navarro. Se trata de conseguir que se genere un beneficio económico y un retorno fiscal mayor para Navarra.

Si no se consigue alcanzar el 40 por 100 se tendrá en cuenta la proporción que se obtenga para incluir en la base de la deducción.

El importe de esta deducción en ambos casos no podrá superar a los 3 millones de euros. Con esta medida se trata de poner un techo preventivo pero suficientemente elevado, para evitar casos como una posible superproducción de cantidades desorbitadas que tendrían un impacto considerable en la Hacienda Foral de Navarra.

Otras de las ventajas fiscales en el Impuesto sobre Sociedades es que en Navarra la deducción por inversiones en producciones cinematográficas no está afectada por el límite del 25%  de la cuota líquida y el plazo de aplicación por insuficiencia de cuota en ambos supuestos es de 15 años.

¿Qué requisitos hay que cumplir para poder aplicar la deducción en el Impuesto sobre Sociedades?

Con el objetivo de que la deducción sirva también para promocionar el nombre de Navarra, en la nueva Ley se establecen requisitos como;

  1. Permitir el acceso al material gráfico y audiovisual del rodaje y localizaciones de Navarra, con fines de uso no comercial y exclusivo para la promoción de Navarra.
  2. Señalar que la producción ha contado con el apoyo de Navarra Film Commission y que aparezcan su logotipo así como el del Gobierno de Navarra.
  3. Entregar una copia de la producción a la Filmoteca de Navarra si se trata de una producción o coproducción nacional.

 

¿Cómo se beneficia el contribuyente que participa en la producción?

Los contribuyentes que participen en la financiación de las producciones españolas aportando cantidades, en concepto de préstamo, para sufragar la

totalidad o parte de los costes de producción, podrán aplicar la deducción comentada anteriormente. Por lo tanto, la forma en que se reintegran las cantidades aportadas es vía deducción.

¿Cómo se formaliza la relación entre el contribuyente y el productor?

La forma es establecer un contrato de financiación en el que se deberá incluir una detallada explicación del proyecto del presupuesto con el desglose de gastos y especificación de los que vayan a realizarse en Navarra.

Se puede solicitar consultas vinculantes a la Hacienda Foral para que determinen si se cumple con los requisitos establecidos en la normativa.

Los contribuyentes que participen en la producción no podrán adquirir los derechos de propiedad intelectual respecto de los resultados del mismo, cuya propiedad es la productora.

¿Cómo se aplica la deducción del 35%?

Si los contribuyentes aplican dicha deducción la productora no tendrá derecho a la aplicación del importe total o parcial correspondientes a las deducciones.

El contribuyente que participa en la producción no podrá aplicar una deducción superior al 1,25 del importe de las cantidades por él desembolsadas para la financiación. El exceso sí podrá ser aplicado por la productora.

Si se han aplicado unas cantidades que hubieran permitido una deducción superior a la acreditada por la productora, el exceso podrá aplicarse en los períodos impositivos siguientes.

Para acogerse a la deducción, los contribuyentes deberán presentar el contrato de financiación, en una comunicación a la Administración tributaria con anterioridad a la finalización del período impositivo en el que comience el desarrollo de la producción.

¿Qué forma jurídica se debe utilizar?

En la nueva normativa del Impuesto sobre Sociedades se elimina la utilización de las AIE, agrupación de interés económica, aplicándose únicamente a las personas jurídicas y excluyendo también a las personas físicas, que en la anterior normativa sí podían acogerse al incentivo fiscal.

Se establece la figura del financiador de producciones cinematográficas , el cual podrá beneficiarse del incentivo fiscal como se ha señalado anteriormente y se establece un sistema más claro y menos complejo que a través de las AIEs (agrupaciones de interés económico).

El ánimo de lucro en la defensa penal de los derechos de autor

«El ánimo de lucro en la defensa penal de los derechos de autor», tribuna de Camilo Porta, abogado de ECIJA, para The Law Clinic.

Del análisis pormenorizado de la Ley de Propiedad Intelectual y el apartado del Código Penal dedicado a los delitos contra la propiedad intelectual- artículos 270 al 272- puede extraerse que ambos textos normativos se encargan de perseguir las mismas conductas. Como es evidente, las consecuencias del incumplimiento de la LPI y el CP no son de la misma naturaleza: la primera ofrece una serie de acciones encaminadas a instar el cese de la actividad ilícita, así como exigir indemnización; el ámbito penal, por su parte, incluye penas de prisión y multas. Es por ello que se hace necesaria la presencia de una serie de elementos distintivos que hagan posible una mejor aplicación de la defensa civil y penal de los derechos de autor. Este es el caso del ánimo de lucro, el conocimiento o intencionalidad y el perjuicio de tercero.

El Derecho Penal se encuentra regido bajo una serie de principios como el de intervención mínima y el principio de subsidiariedad que tienen en cuenta las posibles consecuencias de su aplicación, que de modo palmario son las más gravosas para el individuo.

A este respecto, las conductas que revistan una especial entidad o gravedad habrán de ser perseguidas en el ámbito de la jurisdicción penal. Así se concibe la inclusión de los elementos distintivos mencionados con anterioridad. No siempre han gozado del mismo protagonismo: actualmente el ánimo de lucro se encuentra recogido en el tipo básico, sin embargo, en el Código Penal de 1987 se constituía simplemente como un agravante, lo que produjo una amplia discrepancia doctrinal.

Actualmente, el artículo 270 del CP lo incluye literalmente como el “ánimo de obtener un beneficio económico directo o indirecto”. Por algunos autores éste ha sido considerado como uno de los puntos más relevantes de la reforma, pues constituye un cambio sustancial al centrarse el tipo en la explotación económica ilícita.

En cuanto al contenido de esta intención económica inequívoca y sus ecos en las concepciones precedentes relativas al concepto de lucro comercial, es necesario atender al contenido de la Circular de la Fiscalía General del Estado 8/2015:

“En la interpretación del requisito del ánimo de lucro los Sres. Fiscales habrán de tomar en consideración la doctrina sentada al respecto por la Circular 1/2006 a cuyo tenor dicho elemento intencional ha de entenderse como ánimo de lucro comercial, quedando al margen de la persecución penal aquellos comportamientos que pretenden la obtención de algún tipo de ventaja o beneficio distinto del comercial”.

Prosigue la mencionada Circular afirmando que este ánimo de lucro podrá materializarse a través de contraprestaciones económicas -beneficio directo- o bien mediante ingresos publicitarios o comercialización de datos de usuarios -beneficio indirecto-.

Posteriormente tuvo lugar la publicación de la Circular 1/2016, que tuvo por objeto la responsabilidad penal de las personas jurídicas y analizó de nuevo el concepto relativo al beneficio indirecto:

“La sustitución en la LO 1/2015 del término “provecho” por el de “beneficio directo o indirecto” despeja las dudas en favor de la interpretación lata que permite extender la responsabilidad de la persona jurídica a aquellas entidades cuyo objeto social no persigue intereses estrictamente económicos, así como incluir los beneficios obtenidos a través de un tercero interpuesto (caso de las cadenas de sociedades), los consistentes en un ahorro de costes y, en general, todo tipo de beneficios estratégicos, intangibles o reputacionales”.

De esta manera, el ahorro de costes podría entrar dentro de lo que consideraría el Ministerio Fiscal como beneficio indirecto en el ánimo de lucro, tal y como afirma la jurisprudencia reiterada relativa a los delitos contra el patrimonio:

“La jurisprudencia de esta Sala ha ido definiendo el contenido del ánimo de lucro en los diversos delitos que lo prevén. Tal definición ha tenido en cuenta las diversas características de los delitos en los que el ánimo de lucro forma parte del tipo. Así en los delitos de apropiación, delitos contra la propiedad de cosas, como el hurto o la apropiación indebida, al ánimo de lucro se le asigna la función de distinguir entre la apropiación, en sentido típico, y el uso, concibiéndoselo como animus rem sibi habendi. Por el contrario, en los delitos contra el patrimonio, como es paradigmáticamente el delito de estafa, el ánimo de lucro se concibe como propósito de obtener una ventaja patrimonial (que consiste en valores patrimoniales y no solo en la posesión de cosas)”.

La nueva redacción del artículo 270 del CP, al introducir también el beneficio indirecto amplía considerablemente el ámbito de actuación del delito. Sin embargo, como es lógico, no todos los problemas relativos a la interpretación de las conductas subsumibles en este delito se ven resueltos. Muchas de las tradicionales discrepancias interpretativas continuarán gozando de una renovada vigencia. Al fin y al cabo, la diversidad de plataformas y los evidentes cambios en el consumo cultural masivo actual provocan que la lucha contra los infractores de los derechos de autor sea igual de compleja que hasta ahora. Aunque, lógicamente, nuestro ordenamiento cada vez cuenta con más armas.

Las actividades publicitarias como principal vía de ingreso en los deportes electrónicos o eSports

«Las actividades publicitarias como principal vía de ingreso en los deportes electrónicos o eSports», tribuna de Blanca de Planchard de Cussac, abogada de ECIJA, para The Law Clinic.

El concepto de eSports o deportes electrónicos consiste en una denominación genérica en la que se entienden comprendidas las competiciones de videojuegos –ya sean más o menos profesionalizadas–, que a su vez se organizan con la participación de diversos agentes, tales como los desarrolladores y editores de los videojuegos o publishers, los organizadores de las competiciones y/o ligas, los equipos, los propios jugadores, los inversores, los patrocinadores, los broadcasters o distribuidores y emisores del contenido audiovisual relativo a dichas competiciones, y los espectadores de dichas competiciones, entre otros.

Desde un punto de vista de negocio, hay que tener en cuenta que el peso real de los eSports dependerá en todo caso de varios factores, determinantes principales de la velocidad a la que vaya a crecer en los próximos años esta novedosa industria y que son, entre otros, el éxito de las distintas ligas locales, el enfoque adoptado por las franquicias, la implementación de regulaciones, códigos de conducta y normativa adecuada, la llegada de nuevos formatos de juego y de competiciones, la competencia del mercado, el impacto que tenga la licencia o venta de los derechos del contenido audiovisual generado, la rentabilidad de los equipos, y el impacto de la convergencia industrial que involucra muy diversos sectores, tales como los medios de comunicación y entretenimiento, las operadoras de telecomunicación y las compañías deportivas.

Ante este panorama, es claro que los promotores de competiciones y los clubes desembolsan grandes sumas de dinero para impulsar el sector, confiando en recuperar la inversión a medio-largo plazo. El problema surge a la hora de rentabilizar la inversión y mantener la inyección económica constante, razones por las que los agentes del sector buscan financiación de terceros.

Según la consultora Newzoo, las principales vías de captación de ingresos en el sector de los eSports derivan, a grandes rasgos, y en orden: (i) de los contratos de patrocinio, (ii) de la publicidad, (iii) de la licencia de los publishers, (iv) de los derechos de retransmisión de las competiciones, (v) de la venta de entradas para eventos relacionados con los eSports y (vi) del merchandising. Asimismo, afirma que, de los 906 millones de dólares de facturación anual del sector, un 76,6% procede de la inversión de las marcas en los eSports.

De lo anterior se deduce que el crecimiento de la industria de los eSports se supedita en gran medida, al menos a día de hoy, a la predisposición de las marcas para invertir y patrocinar los eSports de distintas formas (ya sea invirtiendo o patrocinando un equipo, una liga, un determinado evento relacionado, etc.).

Por esa misma razón, en este post trataremos de forma pormenorizada sobre las actividades publicitarias y, en particular, sobre la suscripción de acuerdos de patrocinio en los eSports como principal forma de captación de ingresos.

Ahora, y teniendo en cuenta que el Tribunal Supremo[1] viene reconociendo la publicidad como una manifestación del derecho a la libertad de expresión e información previsto en el artículo 20 de la Constitución Española, procede traer a colación el concepto de contrato de patrocinio publicitario, definido en el artículo 22 de la Ley General de Publicidad como “aquél por el que el patrocinado, a cambio de una ayuda económica para la realización de su actividad deportiva, benéfica, cultural, científica o de otra índole, se compromete a colaborar en la publicidad del patrocinador”.

Este contrato mercantil se perfecciona por el mero consentimiento de las partes y no exige la formalización escrita (es consensual y no formal). De la misma manera, es esencialmente oneroso, en cuanto que se requiere una contraprestación económica, y sinalagmático, en la medida en que genera obligaciones para ambas partes contratantes.

En el contexto de los eSports, este tipo de contratos se firma entre (i) una marca cuyo objetivo es difundir sus productos y (ii) un organizador de una competición, un club o incluso un jugador, que difundirá y promocionará al patrocinador. Por su naturaleza, la identidad o personalidad del patrocinado suele considerarse un elemento esencial del contrato (que revestirá por tanto la condición de intuitu personae).

Sin embargo, lo anterior no impide que el contrato se module como un patrocinio colectivo (no del jugador como persona física, sino como club o equipo). En cualquier caso, tratándose de patrocinios colectivos, resulta vital prestar atención a los contratos individuales de patrocinio suscritos por los jugadores ya que, en caso de que entrasen en contradicción con los contratos de patrocinio colectivos, las partes se arriesgan a incurrir en un incumplimiento contractual.

En el marco de un contrato de patrocinio publicitario, mientras la prestación principal del patrocinador consiste en la contribución económica, material, o de otra índole a la actividad del patrocinado, la prestación principal del patrocinado consiste en la difusión o colaboración publicitaria en relación con los productos, servicios, marcas y/o imagen corporativa del patrocinador en cuestión. Esto último puede materializarse, entre otros, con (i) la inclusión de marcas o nombres comerciales en los elementos distintivos de la equipación del jugador y/o resto del equipo patrocinado, (ii) la inclusión de la marca del patrocinador en su página web, (iii) la realización de campañas publicitarias en medios de comunicación, (iv) su participación en actividades promocionales, (v) la utilización en exclusiva de productos del patrocinador, excluyente del uso de productos distintos, (vi) la realización de publicaciones en redes sociales, (vii) la generación de naming rights, etc.

Por último, conviene distinguir entre el patrocinio endémico y el no endémico. El primero es aquél que lleva a cabo una marca directamente relacionada con la actividad de los jugadores de eSports (como Razer o Nvidia), siendo el segundo aquél que lleva a cabo una marca que no está vinculada con la industria de los eSports, pero que quiere ligarse a la misma. Efectivamente, hasta hace poco las empresas sin relación directa con el sector apenas se interesaban por el mismo, adentrándose paulatinamente en el mismo (como BeIN Sports, Bimbo, Coca-Cola).

Expuestas las notas principales de los contratos de patrocinio en los eSports, no olvidemos que Newzoo estima que la inversión de las marcas en eSports incrementará un 35% para el año 2020 (equivalente a 1.220 millones de dólares). En prueba de lo anterior, podría mencionarse a efectos ilustrativos la reciente entrada en los eSports de la marca no endémica ‘GlobaTalent’, plataforma que tokeniza el talento, permitiendo a los usuarios invertir en su talento deportivo favorito (ya sean jugadores, equipos o clubs) a través de la tecnología blockchain. La empresa GlobaTalent llevaba asociada a la empresa de eSports americana Splyce desde junio de 2018, pero ahora han confirmado la suscripción de un acuerdo de patrocinio con la inclusión de su logo en las equipaciones de los equipos de Call of Duty y Smite, entre otros.

Y ya, como nuevo patrocinio endémico, podría mencionarse la nueva colaboración anunciada hace unas semanas entre Golden Guardians –equipo de League of Legends operado por el equipo Golden State de la NBA– y RIG Gaming, la marca de auriculares de Plantronic.

Por todo lo expuesto, podría concluirse que los patrocinios con las marcas aún siguen siendo la principal vía de ingreso en la creciente y aún joven industria de los eSports. Sin embargo, si tenemos en cuenta la ardua tarea de los principales actores de la industria de rentabilizar sus cuantiosas inversiones, podríamos preguntarnos lo siguiente: ¿Seguirá siendo sostenible el panorama actual a corto-medio plazo? ¿Convendría cambiar el panorama para fomentar el crecimiento sólido de la industria?

[1] Sentencia del Tribunal Supremo (Sala de lo Civil) núm. 860/2009, de 15 de enero de 2010.

Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral

«Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral», tribuna de Alexandra Garcés, abogada de ECIJA, para The Law Clinic.

La reciente Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), regula en su artículo 90 el “Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral”, pudiendo considerarse, un tema controvertido en el seno de la organización y al que la reciente LOPDGDD trata de ofrecer una solución satisfactoria tanto para empleador como empleado.

A modo introductorio, cabría decir que entendemos por “sistema de geolocalización”, la instalación de un sistema de localización por GPS, principalmente en vehículos de empresa, aunque también es habitual su instalación en móviles corporativos a través de aplicaciones de seguridad, cuya finalidad principal es el control empresarial de la actividad laboral de sus empleados. En este sentido, la Agencia Española de Protección de Datos, sobre la base de la ya derogada Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y de la Directiva Comunitaria 2002/58/CE, ya determinó en el año 2009 (Informe 0090/2009) que habida cuenta que los datos de localización se refieren a una persona física identificada o identificable, constituyen datos personales, por lo que son de aplicación las disposiciones legales existentes en materia de Protección de Datos y su normativa de desarrollo.

No obstante, estos datos de geolocalización pese a considerarse un tratamiento de datos de carácter personal y referirse a una persona física identificada o identificable, constituyen un tratamiento de datos personales que no necesitaría consentimiento del trabajador ya que dicho tratamiento se realiza para la gestión de la relación laboral, por tanto, no sería necesario solicitar el consentimiento para dicho tratamiento de datos, aunque sí sería necesario informarle del mismo. Se exige, por tanto, observar en ese tratamiento de los datos el principio de proporcionalidad, es decir, que los mismos sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades para las que se hayan obtenido.

A lo largo de los últimos años, ha habido numerosos pronunciamientos judiciales que han tratado de dar una respuesta proporcionada al problema que suscitaba la instalación de tales dispositivos, desde el punto de vista de la protección de datos, así como desde el punto de vista de la intimidad del propio trabajador. En este sentido, debemos partir de la notoria Sentencia del Tribunal Supremo de 21 de junio de 2012 (STS 5259/2012), en virtud de la cual, el Alto Tribunal obligaba a readmitir a un trabajador al que la empresa instaló un GPS en su coche particular para comprobar si realizaba actividades incompatibles con su situación de incapacidad temporal, por entender, que tal medida adoptada por el empresario vulneraba el derecho a la intimidad del trabajador, al colocar el dispositivo de forma permanente en un bien que era propiedad del empleado y hacerlo en contra de su voluntad.

Redundando en ello, el Tribunal Superior de Justicia de Madrid, en su sentencia 260/2014, de fecha 21 de marzo de 2014, analizó el caso de una trabajadora a la que la empresa le había instalado un sistema de GPS en el vehículo que le había sido cedido para uso profesional, sin que la misma tuviera conocimiento alguno de dicha medida, ni de que la información obtenida pudiera ser utilizada por la compañía para controlar su actividad laboral, como así fue al ser despedida disciplinariamente.

En ese caso, la Sala consideró, que aun cuando la empresa alegó que los datos en los que había fundado su despido tenían un carácter exclusivamente profesional, el hecho de que la compañía pueda conocer en todo momento determinadas parcelas de la vida de la misma, por muy relacionadas que estén con el desarrollo de la relación laboral, se incide en la esfera del derecho a la intimidad personal, asistiéndole el derecho de protección de datos y, en consecuencia, también el derecho a estar debidamente informada respecto de la implantación de la medida y su finalidad.

En esa línea, dicha resolución cita un Informe de la Agencia Española de Protección de Datos (Informe 193/2008), atinente a la instalación de un sistema GPS en el automóvil de un trabajador que vino a concluir que “no obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar por parte del empresario previsto en el art. 5.1 LOPD”.

Es más, tal y como se establece por la doctrina jurisprudencial del Tribunal Supremo, el derecho a la libertad de empresa y el poder de dirección de la actividad laboral que tiene el empresario constitucional y legalmente reconocidos, han de compatibilizarse con el respeto a los derechos fundamentales del trabajador, de los que sigue disfrutando cuando lleva a cabo trabajos por cuenta ajena. Por ello, la empresa con la instalación de un sistema GPS en tiempo real, en un vehículo puesto a disposición del trabajador por la empresa o en uno que sea de su propiedad, estaría sometiendo al mismo a estar en todo momento localizado y bajo su control, de manera continua, por estos medios electrónicos, habiendo sido colocados indebidamente y en contra de la voluntad real del trabajador al no habérselo comunicado.

Por ello, en caso de que el empresario use estos medios, la LOPDGDD ha querido reforzar la regularización del uso de estos dispositivos dedicándole un articulo especifico que permite al empleador, dentro de sus funciones de control reconocidas en el artículo 20.3 del Estatuto de los Trabajadores, el uso de los mismos, exigiéndose a la empresa que informe con carácter previo a los empleados y representantes de los trabajadores de forma expresa, clara e inequívoca acerca de la existencia y características de estos dispositivos, así como de los derechos que pueden ejercer como son el derecho de acceso, rectificación y limitación del tratamiento y supresión.

Presente y futuro de los tratamientos de datos: innovación, nuevas tecnologías y protección jurídica

«Presente y futuro de los tratamientos de datos: innovación, nuevas tecnologías y protección jurídica», tribuna de Daniel López, socio de ECIJA.

En una sociedad global, marcada por la innovación y los avances tecnológicos, en un momento de cambios normativos, se hace necesaria una reflexión sobre determinadas cuestiones que, sin duda, marcarán el presente y el futuro de la economía digital.

El 28 de enero se conmemora una nueva edición del Día Europeo de la Protección de Datos, una celebración que, actualmente, además de en Europa, se lleva a cabo en muchos países no pertenecientes a dicha región, y tiene cada vez edición un carácter más internacional.

En 2006 el Comité de Ministros del Consejo de Europa estableció el 28 de enero como Día Europeo de la Protección de Datos en Europa, conmemorando el aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (28 de enero de 1981).

El Convenio 108 nace con la finalidad de proteger a las personas contra las intromisiones en su vida privada, el uso incorrecto de sus datos personales, garantizando el derecho al honor, la intimidad y su privacidad.

La celebración del Día Europeo de la Protección de Datos tiene como finalidad impulsar el conocimiento de los derechos y obligaciones en materia de protección de datos por parte de las personas y las entidades que tratan sus datos.

Este año, si cabe, la celebración europea tiene una mayor relevancia y un carácter más internacional, El 25 de mayo de 2018 comenzaba a ser aplicable el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, una norma que da un paso firme en la unificación de criterios normativos en Europa y la adaptación del ámbito legislativo a los nuevos tiempos, modelos de negocio y tipos de tratamientos de datos.

A nadie escapa que la tecnología ha revolucionado, tanto lo que entendemos por dato personal, como la for4ma en que los mismos son explotados por empresas y administraciones. Aspectos que obligan a realizar una reflexión que aporte mayor seguridad jurídica a responsables del tratamiento y a las propias personas cuyos datos van a ser tratados.

2018 terminaba con la aprobación y entrada en vigor, en España, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, donde el legislador, no sólo abordaba aquellos aspectos que el Reglamento Europeo dejaba a los Estados regular, si no que incorporaba un título relativo a los derechos digitales.

El avance de las tecnologías, han consolidado la necesidad de proteger determinados derechos de las personas en la esfera digital, cuestiones que afectan, por ejemplo, al ámbito laboral, tales como, la desconexión digital en el ámbito laboral, el derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo el derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral o los derechos digitales en la negociación colectiva.

A mayor abundamiento, la conciliación con las diferentes normativas, atendiendo a las ramas de actividad, junto con las ya citadas, así como los diferentes modelos de negocio, en un momento, en que, si existe una certeza, es que la sociedad demanda servicios globales, en la era de la economía digital, las fronteras han dado paso al entendimiento entre normativas y, a la necesaria, conciliación para el cumplimiento de las diferentes obligaciones legales, atendiendo a los servicios y el dónde son prestados.

En el ámbito internacional, debemos destacar la aprobación de nuevas leyes, como es el caso de Brasil, la adhesión de nuevos países al precitado Convenio 108, pasando a tener nivel adecuado de protección, como Japón, y el impulso legislativo que determinados países están dando para aprobar nuevas normas y desarrollos, como son los casos de Ecuador y El Salvador.

Cada vez es más frecuente, la utilización de términos como blockchain o la consolidación de otros tratamientos como las propias cookies, a los que se unen a otros que han generado un importante debate a nivel europeo, con un futuro reglamento de e-privacy de fondo, como es la relación entre agencias de medios, editores y empresas. Algo que ya es una realidad y que está teniendo impacto en cuestiones como: (a) transacciones y sistemas de pago, (b) cadenas de suministros, (c) registros de documentos, (d) Smart Contracts y aplicaciones descentralizadas (conocidas como Dapps) y, como no, (e) las criptomonedas.

Otras tecnologías como la implementación de inteligencia artificial, la utilización de chatbots por las empresas, y concretamente en sectores tales como el sanitario o el propio jurídico, que llevan la experiencia del usuario a otra dimensión. El análisis de los datos masivos, o tecnologías big data, que marcan un antes y un después en el desarrollo de nuevos modelos de negocio, servicios, o conocimiento de los propios usuarios finales, haciendo que conceptos como las cookies queden como parte del pasado, y poniendo de realce la necesidad de adecuar tratamientos y relaciones como con los publishers en el caso de la gestión publicitaria y de medios.

Finalmente, el sector legal deberá seguir avanzando en cuestiones como el emprendimiento digital, más teniendo en cuenta el Anteproyecto de Ley de fomento del ecosistema de Startups, actualmente en fase de consulta pública; el impacto de las nuevas tecnologías en el sector financiero; el avance de la realidad virtual e impresión en 3D con sus respectivas implicaciones legales; los retos jurídicos en relación con los conceptos de multicanalidad, omnicanalidad y gestión de la comunicación global; o los eSports y su impacto en aspectos como patrocinios, gestión deportiva, implicaciones en materia de propiedad intelectual, laboral, fiscal y administrativo y, su interrelación con otros modelos de negocio como el gaming y gambling.

Propiedad Intelectual en la industria de la animación

«Propiedad Intelectual en la industria de la animación», artículo de Elisa Carrión, abogada de ECIJA, para The Law Clinic.

Desde la concepción del proyecto hasta el estreno en salas de cine, televisión o plataformas de contenidos online, una multitud de perfiles profesionales intervienen en la creación de las obras audiovisuales de animación, ya sean en formato serie o película. En este proceso técnico y creativo, a partes iguales, la propiedad intelectual está presente en todas sus etapas, configurándose como el principal activo del sector.

A continuación, se analiza la protección que confiere la propiedad intelectual a los diferentes intervinientes en las producciones de animación, una industria que facturó en España 654 millones de euros en 2017, según cifras del Libro Blanco de la Animación 2018. De forma breve, se abordarán igualmente algunas de las prácticas del sector en materia de propiedad industrial.

Tipo de obra

Atendiendo a su configuración legal, la serie o película de animación es una obra audiovisual en el sentido de la definición dada por el art. 86 de la Ley de Propiedad Intelectual vigente en España (LPI): “creaciones expresadas mediante una serie de imágenes asociadas, con o sin sonorización incorporada, que estén destinadas esencialmente a ser mostradas a través de aparatos de proyección o por cualquier otro medio de comunicación pública de la imagen y del sonido, con independencia de la naturaleza de los soportes materiales de dichas obras”.

En línea con lo anterior, la legislación considera como autores de la obra de animación a los siguientes perfiles: al director-realizador de la misma, al autor del argumento, adaptación y guion o diálogos, y al autor de la composición musical, con o sin letra, especialmente creada para la obra (art. 87 LPI).

La obra audiovisual de animación se diferencia de la obra audiovisual de imagen real en su medio de expresión, lo que implica que participen en ella otro tipo de creadores cuyas aportaciones son indispensables en las películas o series de animación. Es el caso de los autores de las diferentes aportaciones creativas que se incorporan a la obra audiovisual, tales como el animador 3D, los desarrolladores de personajes, técnicos de render, diseñador 3D, entre otros. Respecto de estos perfiles creativos cabe subrayar aquí, que la Ley de Propiedad Intelectual no los considera autores de la obra audiovisual y, que por lo tanto, no tendrán los derechos sobre la misma que van a exponerse más adelante en este artículo.

Gestión cohesionada de derechos de autor

Para facilitar la explotación de la obra audiovisual de animación, el conjunto de derechos de Propiedad Intelectual involucrados en la obra audiovisual se deben gestionar de forma cohesionada.  En este sentido, la LPI prevé una presunción de cesión de los derechos de los autores de la obra audiovisual en favor del productor (persona física o jurídica que tiene la iniciativa y asume la responsabilidad de realizar la película o serie de animación).

La configuración de la cesión se lleva a cabo a través de los contratos de producción. Estos permiten al productor disponer de los derechos de reproducción, distribución, comunicación pública y doblaje o subtitulado (art. 88.1, 1 párrafo, LPI). Sin embargo, no se presume cedido al productor el derecho de transformación, es decir cualquier modificación o adaptación en la forma de la obra de la que resulte una obra diferente. En la práctica, la cesión del derecho de transformación al productor se realiza mediante una clausula separada en los contratos en la que se especificará el tipo concreto de transformación que podrá llevar a cabo (remake, precuela, secuela).

También será necesaria la autorización expresa del autor respecto de la puesta a disposición del público de copias de la obra, así como para que se utilice en el ámbito doméstico o se comunique a través de radio o televisión (art. 88.1 2º párrafo, LPI).

Cabe preguntarse en este punto, si una vez cedidos los derechos mencionados los autores tienen fuentes de ingresos fuera de la contractual. La respuesta es afirmativa, ya que entran en juego los llamados derechos de remuneración, gestionados a través de las Entidades de Gestión Colectiva. Estas últimas son quienes recaudan en nombre de los autores por el alquiler de la obra, por su exhibición mediante pago de entrada (cine) o sin pago de la misma, por la transmisión al público por cualquier medio (por ejemplo, plataformas tipo Netflix) y por la copia privada. En el caso de los autores de la obra audiovisual las entidades que recaudan son SGAE (Sociedad General de Autores y Editores) y DAMA (Derechos de Autor de Medios Audiovisuales).

¿Hay actores o intérpretes en las obras de animación?

Los intérpretes tienen un papel muy relevante en las obras de animación, puesto que a través de su voz o imagen consiguen dotar de personalidad propia a los personajes. Entre los intérpretes, cabe destacar el rol de los actores de voces y doblaje, con los que cuentan la mayoría de películas o series, así como los intérpretes musicales, ya sean cantantes o instrumentistas.

Debido a la evolución de la tecnología en el sector, cada vez es más frecuente el uso de las técnicas de “captura de imagen”. En ella, se requiere del trabajo de un actor que realiza determinadas acciones, que sirven como base para animar modelos digitales de personajes a través de 3D. Un conocido ejemplo sería del de Gollum en el Señor de los Anillos. Sin embargo, hay importantes productoras que no hacen uso de esta técnica en sus proyectos (Pixar).

La cesión de los derechos de los intérpretes se materializa a través de un contrato con el productor en el cual se cederán los derechos de imagen del intérprete (ya sea por el uso de su imagen o voz), así como los derechos de fijación, reproducción, comunicación pública y distribución.

Al igual que sucede con los autores, la legislación contempla derechos de remuneración para los intérpretes, ya sea por el alquiler de la obra, la puesta a disposición en internet de sus actuaciones, por la emisión y retransmisión de las mismas, así como por la copia privada. En el caso de los actores la entidad que recauda es AISGE (Artistas Intérpretes Sociedad de Gestión) y en el de los intérpretes musicales es AIE (Sociedad de Artistas Intérpretes o Ejecutantes de España).

Propiedad industrial: marcas y diseños industriales

Las marcas constituyen un activo de gran potencial para las empresas que se dedican a la animación, ya que se convierten en una fuente de ingresos a largo plazo. La correcta explotación de las marcas a través del merchandising (juguetes, libros o videojuegos) requiere de la protección de los personajes, logotipos o títulos de las películas.

Para conseguir una gestión eficaz de las marcas de animación es importante llevar a cabo un estudio previo de los países en que se pretende comercialización la obra audiovisual y así establecer una estrategia coherente de registro de las mismas.

El registro de los personajes se realiza en la mayoría de los casos a través de marcas, sin embargo, existen algunos ejemplos recientes en España de protección de los mismos a través de la figura del diseño industrial comunitario, como es el caso de los registros realizados por Imira Entertaintment.

Nota: la temática de este artículo fue objeto de la ponencia “Derecho de autor y animación”, organizada por la AMPI de la Universidad Autónoma de Madrid y celebrada el 11 de diciembre de 2018 en la ILE. En ella intervino la autora de este artículo, junto al Prof. Rodrigo Bercovitz, Carlos Biern y Hidetaka Yosumi.

Transposición definitiva de la Directiva 2014/95/UE del Parlamento Europeo y del Consejo – Divulgación de información no financiera

«Transposición definitiva de la Directiva 2014/95/UE del Parlamento Europeo y del Consejo –  Divulgación de información no financiera», artículo de Daniel Carracedo, abogado de ECIJA, para The Law Clinic.

La Ley 11/2018, de 28 de diciembre, por la que se modifica el Código de Comercio, el texto refundido de la Ley de Sociedades de Capital aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, y la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, en materia de información no financiera y diversidad.

El 22 de octubre de 2014, se promulgó la Directiva 2014/95/UE, por medio de la cual se procedía a la modificación de la Directiva 2013/34/UE, esta reforma supuso la configuración del deber – para determinadas empresas – de inclusión en los informes de gestión determinada información no financiera, necesaria para comprender la evolución, la situación y los resultados de la empresa, así como el impacto de su actividad en cuestiones medioambientales y sociales, respeto a los derechos humanos y a la lucha contra la corrupción y el soborno, entre otras.

La citada Directiva (2014/95/UE) recogía en su artículo 4 la obligatoriedad de incorporar a los ordenamientos jurídicos internos esta normativa, con anterioridad al 6 de diciembre de 2016. La transposición de la Directiva se ha realizado en nuestro país en dos fases, así, el Gobierno se vio obligado, con cierto retraso, a la promulgación del Real Decreto-ley 18/2017, de 24 de noviembre, por el que se modifican el Código de Comercio, el texto refundido de la Ley de Sociedades de Capital aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, y la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, en materia de información no financiera y diversidad.

Si bien, como tal Decreto-ley la norma tenía carácter provisional, lo que ha obligado a que el pasado 29 de diciembre de 2018 se haya publicado en el Boletín Oficial del Estado la Ley 11/2018, de 28 de diciembre, por la que se modifica el Código de Comercio, el texto refundido de la Ley de Sociedades de Capital aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, y la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, en materia de información no financiera y diversidad.

Entre el Decreto-ley 18/2017 y la Ley 11/2018, se aprecian algunas diferencias que se hace necesario en este momento destacar, en primer lugar se observa que se ha producido una ampliación de las sociedades obligadas a presentar este informe de información no financiera. El Real Decreto-ley 18/2017 obligaba a la presentación del informe a las empresas que, conforme a la normativa de Auditoría de Cuentas, tuviesen la consideración de entidades de interés público y que además formulen cuentas consolidadas siempre que reuniesen además los siguientes requisitos (i) el número medio de trabajadores empleados por las sociedades del grupo sea superior a 500, y (ii) concurran al menos dos de las siguientes circunstancias, el número total de las partidas del activo consolidado sea superior a 20.000.000 de euros, el importe neto de la cifra anual de negocios consolidada supere los 40.000.000 de euros, o que el número medio de trabajadores empleados durante el ejercicio sea superior a doscientos cincuenta.

Por su parte la Ley 11/2018, establece un sistema progresivo, pues según la Disposición Transitoria de la norma, en su apartado 1 se establece que para los ejercicios económicos que se inicien a partir del 1 de enero de 2018 se tendrán en cuenta los mismos requisitos que ya establecía el Decreto-ley, si bien, según el apartado 3 de la disposición transitoria, transcurridos tres años desde la entrada en vigor de la ley, la obligación de presentar el estado de información no financiera consolidado será de aplicación a todas aquellas  sociedades con más de 250 trabajadores que, o bien tengan la consideración de entidades de interés público de conformidad con la legislación de auditoría de cuentas, o bien reúnan durante dos ejercicios consecutivos y a fecha de cierre de los mismos, al menos una de las siguientes circunstancias (i) que el total de las partidas del activo sea superior a 20.000.000 de euros, o (ii) el importe neto de la cifra anual de negocios consolidada supere los 40.000.000 de euros.

En segundo lugar, cabe citarse que se ha procedido en virtud de la Ley 11/2018 a una mayor concreción y definición del contenido del estado de información no financiera a incluir en el informe de gestión, que se incluye en el nuevo apartado 6 del artículo 49 del Código de Comercio en la redacción dada tras esta reforma.

En tercer lugar, se puede destacar que la nueva Ley 11/2018, ha procedido a detallar la información significativa que el estado de información no financiera debe incluir, que consiste en: (i) información sobre cuestiones medioambientales, (ii) información sobre cuestiones sociales y relativas al personal, (iii) información sobre el respeto a los derechos humanos, (iv) información relativa a la lucha contra la corrupción y el soborno, e (v) información sobre la sociedad.

En cuarto lugar, se ha procedido a la eliminación de la posibilidad de que las empresas omitan cierta información por el hecho de que el órgano de administración considere que se la divulgación de la misma podría suponer un perjuicio para su posición comercial, lo cual si se permitía conforme al Decreto-ley.

En quinto y último lugar, destaca que, si bien se permite que el estado de información no financiera se emita en un informe separado, lo cual también permitía el Decreto-ley, la Ley 11/2018 ha procedido además a señalar que deberá ser presentado el informe de información no financiera, como punto separado del orden del día para su aprobación por la junta general de accionistas de la sociedad.

Existen por supuesto otras modificaciones, si bien desde la perspectiva que nos interesa, estas son las más relevantes, dado que suponen un refuerzo de la importancia interna que, para las empresas, suponen los Programas de Compliance, no solo en materia de prevención de delitos, sino en materia de cumplimiento normativo, en general, Compliance Laboral y Buen Gobierno Corporativo, en particular.

Sobre la nueva Ley de Arrendamientos Urbanos

«Sobre la nueva Ley de Arrendamientos Urbanos», tribuna de Cristina Llop, socia de ECIJA, para The Law Clinic.

Hoy entra en vigor el quinto régimen jurídico aplicable a los arrendamientos urbanos. Surge al parecer para dar una solución a un problema creciente: la cada vez más escasa oferta de pisos en alquiler. Si bien desde el punto de vista de esta humilde letrada, no se tiene en cuenta el problema que lo origina y yerra por tanto en su motivación y, por ende, en la respuesta que ofrece.

Si cada vez los propietarios sacan al mercado menos pisos en alquiler es por la dificultad que tienen para desalojar las viviendas cuando tienen la mala fortuna de topar con un inquilino alérgico al pago de la renta y/o que incumple el deber de cuidado que tiene sobre la propiedad.

El procedimiento judicial de desahucio se vuelve largo y tedioso, y ello a pesar de que las últimas reformas aplicadas a este procedimiento han venido a paliar ligeramente las dilaciones procedimentales.

Así, obviando esta realidad que nadie puede desconocer, lo que esta nueva reforma regula son trabas para el arrendador al que impone más obligaciones y menos garantías que le motiven a “lanzarse” al arriendo, imponiendo una protección reforzada para el arrendatario, en lugar de colocar a las partes en igualdad de fuerzas.

Demoniza al arrendador – si se me permite la expresión – pues parece vislumbrarse que el legislador parte del supuesto de que, tan pronto el arrendador firma el contrato, está pensando en cómo “librarse” de su inquilino, cuando lo cierto es que todo propietario sueña con encontrar ese arrendatario que le pague puntualmente las rentas y cuide de su vivienda igual que lo haría él. En ese caso es muy probable que el 99% de los arrendadores decidieran alargar la vida del contrato por estar ambas partes satisfechas con el respectivo cumplimiento de sus obligaciones y derechos.

Desde esta perspectiva, la primera medida que llama la atención es el incremento de la duración máxima del contrato de alquiler. El arrendador hasta hoy estaba obligado a mantener al inquilino un máximo de tres años, prorrogable anualmente de manera tácita. Desde hoy, volveremos a los cinco años obligatorio (siete si el arrendador es persona jurídica), más tres de  prórroga tácita. Por supuesto, como en las legislaciones anteriores, dicho plazo solo es de obligado cumplimiento para el arrendador.

La segunda medida que sorprende es la limitación de las garantías que el arrendador puede exigir a la hora de firmar el contrato. El arrendador solo puede exigir – y no en metálico –, además de la mensualidad de fianza, el equivalente a dos mensualidades de renta. Se habla de que las exigencias de los arrendadores habían llegado a cotas abusivas difícilmente justificables, si bien, ¿cree el legislador que tan escaso importe ofrecerá algún tipo de garantía al propietario? A poco que espere a que se acumulen dos rentas impagadas para acudir a un procedimiento judicial –algo más que lógico- el resto de rentas devengadas hasta que se acuerde judicialmente el desahucio ya no queda cubierto por ninguna garantía; tampoco los daños que un inquilino vandálico pueda causar a su bien.

Estas dos únicas reformas ya son de por sí poco incentivadoras del arriendo. ¿Cómo se pretende motivar pues al arrendador para que alquile? Muy sencillo. La reforma impone un recargo de hasta un 50% en el Impuesto de Bienes Inmuebles en aquellos casos que se acredite que el piso se encuentra desocupado permanentemente. No obstante, lo que no tiene cuenta el legislador es que, considerando los plazos procesales, es más que probable que al arrendador le compense pagar tal recargo a cambio de tener libre disposición sobre su vivienda de manera inmediata. Más aún si tenemos en cuenta que otra de las reformas que incluye este Real Decreto Ley es la posibilidad de que aquel inquilino que se encuentre en situación de vulnerabilidad, solicite la suspensión del procedimiento de desahucio por uno o dos meses.

A juicio de esta letrada solo hay una reforma que debe ser aplaudida por cuanto viene a dar respuesta – con mayor o menor acierto, ya lo veremos – a un vacío legal que estaba generando no pocos conflictos vecinales. La reforma faculta a las Comunidades de Propietarios para que prohíban el destino “turístico” de las viviendas del inmueble con el voto de las 3/5 partes de propietarios y cuotas.

Evidentemente, habrá que esperar a que todas las nuevas medidas sean puestas en práctica para concluir si consiguen o no su último objetivo, promover el alquiler de las viviendas desocupadas, si bien, por las razones expuestas, parece que la carga impuesta a los propietarios va a ser desalentadora.

¿Fin del scraping en el sector financiero? Hablamos de la PSD2

«¿Fin del scraping en el sector financiero? Hablamos de la PSD2», tribuna de Ángel Caamiña, abogado de ECIJA, para The Law Clinic.

La aprobación del Real Decreto-ley 19/2018, por el que se transpone la PSD2 a nuestro ordenamiento jurídico, ha supuesto la introducción de un nuevo marco legal en el mercado de los servicios de pago que podría poner en jaque la prestación de los servicios de agregación financiera basados en la técnica “screen scraping”.

El pasado 24 de noviembre de 2018 se publicó el Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, por el que se transpone parcialmente al ordenamiento jurídico español el contenido de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, también conocida como la PSD2.

Mediante dicha transposición se introducen a nuestro sistema jurídico una serie de modificaciones normativas que, a la vista de las distintas controversias que han surgido en torno a la referida PSD2, van a suponer un gran cambio en el mercado español de los servicios de pago. Entre las medidas más destacables, y que mayor polémica han creado, se encuentra la regulación del denominado servicio de información sobre cuentas (también conocido como servicio de agregación financiera) y, por ende, de los propios proveedores de dichos servicios, denominados bajo el Real Decreto-ley 19/2018 como “entidades prestadoras del servicio de información sobre cuentas”.

Dicha inclusión ha surgido, principalmente, ante la necesidad de regular ciertos servicios que han venido prestándose en los últimos años por terceras entidades que, a través de la denominada técnica “screen scraping”, ofrecían a sus clientes la posibilidad de agregar y acceder en línea a toda la información financiera relacionada con las cuentas y productos contratados con sus entidades bancarias y/o financieras. El uso de este tipo de técnicas provocó una gran controversia en el sector financiero dado que terceras entidades estaban accediendo y extrayendo, a través de las interfaces de los propios clientes y mediante el uso de sus credenciales de seguridad, los datos financieros de aquellos sin ningún tipo de control o identificación previa que permitiese a la entidad responsable conocer qué, quién o cuándo se estaban desarrollando dichas actividades. Por dicho motivo, y con el objetivo de dotar de una mayor protección a los datos de los consumidores, se aprobó la PSD2, la cual es ahora transpuesta al ordenamiento español mediante el Real Decreto-ley 19/2018.

El servicio de información sobre cuentas de pago se encuentra regulado en diferentes preceptos a lo largo del mentado Real Decreto, siendo de destacar lo dispuesto en el artículo 7, en donde se establece el derecho de los consumidores a recurrir a este tipo de servicios, sin la necesidad de que exista una relación contractual entre la entidad prestadora de los mismos y el proveedor gestor de las cuentas de pago. Así pues, nos encontramos ante un derecho del consumidor frente al que la entidad gestora de la cuenta de pago no podrá adoptar medidas que tenga como finalidad impedir, obstaculizar o limitar dicho servicio de forma discrecional y sin justificación; lo contrario supondría una vulneración del derecho del propio consumidor y del principio de no discriminación del artículo 9 del citado Real Decreto-ley.

Ahora bien, dicho derecho no otorga a las entidades prestadoras del servicio de información sobre cuentas la posibilidad de acceder de forma libre e ilimitada a cualquier información de las cuentas de pago del usuario, sino que la normativa establece ciertas obligaciones y requisitos que dichas entidades deberán cumplir en todo momento.

Por un lado, conforme al artículo 15 del Real Decreto-ley, las entidades prestadoras del servicio de información deberán estar registradas y ser autorizadas por el Banco de España, salvo que las mismas hubiesen comenzado a prestar sus servicios con anterioridad al 12 de enero de 2016, en cuyo caso tendrán como límite para registrarse hasta el 14 de septiembre de 2019 (ex. disposición transitoria tercera del referido Real Decreto-ley).

En segundo lugar, deberán cumplir con las normas de acceso y uso de la información sobre cuentas de pago establecidas en el artículo 39 del citado Real Decreto-ley, que disponen que el proveedor de los servicios de información deberá:

  • Prestar sus servicios exclusivamente sobre la base del consentimiento explícito del consumidor;
  • Garantizar que las credenciales de seguridad personalizadas del usuario no sean accesibles a terceros y que su transmisión se realizará a través de canales seguros y eficientes;
  • Identificarse en cada comunicación ante el gestor de cuenta y, a partir del 14 de septiembre de 2019, comunicarse de manera segura con dicho gestor de conformidad con lo previsto en el Reglamento Delegado 2018/389 (RTS); es decir, a través de las interfaces de acceso específicas que deberán establecer las entidades gestoras.
  • Acceder únicamente a la información de las cuentas de pago designadas por el usuario y las operaciones de pago correspondientes, no pudiendo solicitar información sobre datos sensibles vinculados a las cuentas de pago, ni utilizar, almacenar o acceder a datos para fines distintos a la prestación del servicio expresamente solicitada por el usuario. Por lo que, tal y como expone la EBA en su opinión de 13 junio de 2018 sobre la implementación del RTS,[1] las entidades prestadoras del servicio de información sobre cuentas no estarán facultadas para solicitar datos identificativos del usuario (tales como la dirección, la fecha de nacimiento, el número de la seguridad social, etc.), dado que no es información necesaria para la prestación del mismo.

 

Por consiguiente, con la llegada del Real Decreto-ley 19/2018, se incorpora un nuevo marco jurídico por el que se delimita el contexto bajo el que las entidades pueden prestar el servicio de información de cuentas de pago, impidiendo el acceso libre e ilimitado que se venía desarrollando a través de la mentada técnica de “screen scraping”. De tal forma que, mediante la nueva normativa de servicios de pago, se prohíbe el acceso a los datos de los usuarios a través del uso de dicha la técnica; conclusión que fue igualmente alcanzada por la Comisión Europea en su “Fact Sheet” de 27 de noviembre de 2017.[2]

Ahora bien, es importante indicar que la nueva regulación únicamente ampara los servicios de información sobre cuentas de pagos y las operaciones asociadas a las mismas, es decir, cualquier acceso o extracción de información relativa a productos financieros distintos de aquellas no estará amparado bajo el Real Decreto-ley o la propia PSD2. Esto supone que, a día de hoy, no existe normativa que impida expresamente la utilización de la técnica “screen scraping” para acceder a información relativa a otros productos financieros (como fondos de inversión, créditos o préstamos hipotecarios, carteras de valores, etc.), aunque su utilización podría conllevar la vulneración de otras normativas, como la regulación de protección de datos y de la competencia desleal. Asimismo, el acceso podría verse bloqueado por las propias entidades gestoras de dichos productos, al no existir una normativa que amparase este tipo de servicios, por lo que nos encontramos de nuevo frente a un escenario incierto sobre cuya evolución habrá que estar pendientes.

__

[1]Autoridad Bancaria Europea, “Opinion of the European Banking Authority on the implementation of the RTS on SCA and CSC”, 12 junio 2018.

[2] Comisión Europea, Fact Sheet de 27 de noviembre de 2017, “Payment Services Directive (PSD2): Regulatory Technical Standards (RTS) enabling consumers to benefit from safer and more innovative electronic payments”.

A 70 años de la Declaración Universal de los Derechos Humanos: garantías fundamentales en la era de la tecnología

«A 70 años de la Declaración Universal de los Derechos Humanos: garantías fundamentales en la era de la tecnología», tribuna de Daniel Valverde, abogado de ECIJA.

Mediante la Resolución 217 A (III) de la Asamblea General de las Naciones Unidas, el 10 de diciembre de 1948 en París, se adoptó la Declaración Universal de Derechos Humanos: instrumento pilar del ordenamiento internacional en la materia.

La Declaración es un documento de 30 artículos que delimitó los principios básicos que debían proteger los Estados en el período de la posguerra. Entre los más emblemáticos: el derecho a la vida, el derecho a la libertad, el derecho a la no-discriminación, el derecho a las garantías procesales en el derecho penal, el derecho de constituir una familia, la libertad de expresión, derechos económicos, sociales y culturales, entre otros.

Dicha Declaración fue la base del resto de normativa internacional en la rama de los derechos humanos. Su impacto y relevancia gestó todos los demás pactos internacionales, como el Pacto Internacional de Derechos Civiles y el Pacto Internacional de Derechos Económicos, Sociales y Culturales.

El 10 de diciembre del 2018 la Declaración cumplirá 70 años. La humanidad, de la mano de la tecnología, ha cambiado drásticamente nuestra forma de vivir en ese lapso de tiempo. ¿Cómo deben modernizarse las protecciones a los derechos fundamentales frente a los retos de la tecnología?

Supervisión masiva. Uno de los grandes temas de nuestra época es la supervisión masiva a la cual todos los ciudadanos del mundo estamos sujetos, ya sea a través de gobiernos o empresas. Son harto conocidos los casos en los cuales se han encontrado violaciones de derechos humanos en esos campos.

Por ejemplo, la Corte Europea de Derechos Humanos dictaminó que el esquema utilizado por el Reino Unido respecto a la interceptación masiva de tráfico de internet violaba el derecho a la privacidad y a la libertad de expresión, aunque, curiosamente, dijo que ese tipo de programas no eran “intrínsecamente” ilegales.

También, el uso indiscriminado de información personal que fue sustraída de Facebook puso sobre el tapete la responsabilidad de las empresas que captan y comercializan información sensible de sus usuarios.

¿Cómo responderá los derechos humanos a la privacidad y la intimidad cuando estamos más vigilados que nunca?

Ser discriminado por ¿inteligencia artificial? La automatización de procesos ha sido una constante desde la Revolución Industrial. Más aún con el avance de la inteligencia artificial, que es lo suficientemente flexible para “aprender” y mejorar, donde cada vez es más frecuente que delegamos una decisión o tarea a este tipo de programas.

Ahora bien, la proliferación de estos elementos puede conllevar a situaciones particulares que el derecho internacional todavía no ha explorado. La inteligencia artificial, ejecutada de manera incorrecta, podría perpetuar el sesgo humano y derivar en prácticas discriminatorias ya prohibidas.

Una reciente noticia revela que una inteligencia informática en Amazon, que fue diseñada para ayudarlos en el proceso de reclutamiento y selección, “aprendió” a discriminar a las candidatas mujeres. Esto porque su base de datos se alimentó de las decisiones de reclutamiento de los últimos 15 años, los cuales, lamentablemente, tenían pocas mujeres.

 ¿Qué sucede si un programa informático genera una violación a derechos fundamentales, o niega su acceso a ciertas personas? ¿Quién es el responsable de esa violación? ¿Debería haber supervisión estatal para que dichas violaciones no sucedan?

Blockchain y derechos humanos. No todo son malas noticias en el área de la innovación y los derechos humanos. El blockchain se ha utilizado como una herramienta que ayuda a fiscalizar el cumplimiento de derechos fundamentales.

En palabras sencillas, esta herramienta es un libro de cuentas digitales en los que los registros (los bloques) están conectados y cifrados entre sí. Es una base de datos compartida, transparente, que puede ser verificada por todas las partes involucradas, sin posibilidad de alteración.

Estas características del blockchain prometen dar mayor transparencia a las transacciones de cualquier índole. En otras palabras, da confianza en aquellos campos donde la confianza no existe.

El uso del blockchain permitiría mayor control para verificar el cumplimiento de los estándares mínimos laborales en instrumentos internacionales, como la prohibición del trabajo infantil, por ejemplo. Dado que los registros no pueden ser modificados sin que toda la cadena se percate, se permite trazar, por ejemplo, qué proveedores en la cadena de producción siguen ciertos estándares en la confección de mercadería o en la entrega de un servicio.

¿Quiere saber si el pescado que compra en el supermercado no fue atrapado por personas en condición de esclavitud en el sudeste asiático? ¿Quiere saber si la persona que cosió su suéter no es un menor de edad? Ya hay casos de éxito donde las empresas han tenido mayor fiscalización, lo que se traduce en mayor protección de los derechos humanos de grupos vulnerables.

Adaptarse al cambio. Los derechos humanos deben adaptarse ante los constantes cambios de la tecnología para seguir preservando las garantías fundamentales. Ya vemos casos de éxito en donde la tecnología permite una mayor protección de derechos humanos, pero también situaciones donde la tecnología tiene un efecto negativo en nuestros derechos básicos.

A los 70 años de la Declaración, debemos mantenernos vigilantes para que los derechos humanos no pierdan relevancia en el mundo moderno.