RESPONSABILIDAD DEL BANCO POR TRANSFERENCIA ERRÓNEA DE DINERO

/en ,

Lamentablemente es una práctica habitual que cuando se ordenan transferencias entre cuentas bancarias de dos empresas se cometan errores, de forma que el dinero no se transfiera a la cuenta de la entidad deseada sino a otra diferente con las consecuencias que ello comporta, entre otras, la dificultad de la retrocesión del dinero agotados unos plazos y la responsabilidad derivada por las disposiciones efectuadas.

En este contexto, nos preguntamos, si el banco puede responder en su condición de proveedor de servicios de pago, si nos confundimos de número de cuenta al ordenar la transferencia, además, hemos identificado al destinatario y, los datos del IBAN e información adicional son contradictorios.

La respuesta la encontramos en la sentencia del Tribunal Supremo, STS 27-03-2025  que delimita la responsabilidad de los bancos por operaciones de pago y transferencias erróneas.  Esta sentencia, establece que dicha responsabilidad se limita a verificar el identificador único proporcionado por el ordenante, sin necesidad de comprobar la coincidencia entre el beneficiario y el titular de la cuenta.

El origen del caso es que una sociedad  Alvipre Factory, S.L., ordenó la transferencia de dinero desde su cuenta abierta en Bankinter, en concreto 130.000 euros, a la misma sociedad identificada en la orden de pago pero con otro número de cuenta abierta en otro banco (CaixaBank). Sin embargo, se confundióen el número de cuenta designado  lo que ocasionó que el  ingreso de dinero fuera a parar a una cuenta equivocada abierta a nombre de otra entidad diferente a la suya Lleida Elevación, S.L. en otra entidad bancaria (Sabadell) y en la que la ordenante no tenía cuenta abierta y donde  aquella realizó diversas disposiciones del dinero recibido, sin haber podido recuperar la sociedad ordenante el dinero transferido.

La sociedad perjudicada Alvipre Factory, S.L ejercitó una acción de responsabilidad extracontractual frente al Banc Sabadell que fue desestimada en primera instancia y en segunda instancia,  porque : » la entidad de la cuenta destinataria de una transferencia no es responsable si el dinero se ingresa en la cuenta con el código IBAMN o CCC consignado en la misma, aunque esa cuenta no sea de la titularidad del beneficiario especificado en dicha orden y sin que el proveedor de los servicios de pago del ordenante o del beneficiario vengan obligados a comprobar la correspondencia del beneficiario con el titular de la cuenta».

En el caso de autos, el Banco verificó el identificador único proporcionado por el ordenante sin comprobar la coincidencia entre el beneficiario y el titular de la cuenta y la Sentencia establece que no es necesario verificar información adicional para que el banco se exonere de responsabilidad y que basta con verificar el identificador único, para identificar al usuario en una operación de pago.

En particular, destaca el Fundamento de Derecho Segundo que  a modo de conclusión señala : “no cabe sino compartir la interpretación realizada en las sentencias de primera instancia y de apelación, en consonancia con la doctrina del Tribunal de Justicia, a saber, el suministro de información adicional al identificador único por parte del usuario no entraña nuevas obligaciones ni el deber de realizar otras comprobaciones para el proveedor de los servicios de pago”.

No obstante, menciona una excepción en relación con la responsabilidad y la diligencia bancaria:  “Por esta razón, la interpretación expuesta no exime de responsabilidad al proveedor de los servicios de pago cuando se constate la concurrencia de circunstancias, ajenas al suministro de datos adicionales, que pudieren haber influido en la ejecución defectuosa de la operación, sea porque se hubiere estipulado expresamente entre el usuario y el proveedor algún requisito o exigencia añadida (v.gr. la identificación del beneficiario), sea porque el proveedor de servicios de pago del ordenante o del beneficiario hubieren aprovechado el error en beneficio propio, sea porque, comunicada sin demora la existencia del error, uno u otro no hubieran adoptado las medidas que imponía la diligencia de un comerciante experto para permitir la retroacción o, en su caso, minimizar el daño”.

Los puntos clave de la sentencia son:

El identificador único, es suficiente para identificar al usuario en una operación de pago, sin requerir información adicional.  No se le puede exigir a los bancos para valorar su diligencia que esta se extienda a comprobar que el beneficiario coincide con quien aparece como titular del número de cuenta indicada en la transferencia ni aun cuando se le añadan datos adicionales.

-La jurisprudencia europea y española respaldan que el identificador único exime de responsabilidad al banco sino se demuestran circunstancias adicionales de negligencia. En consecuencia, la responsabilidad del banco se limita a la operación de pago según el identificador único sin exigir comprobaciones manuales o adicionales aún cuando el usuario de los servicios de pago facilite información adicional y, sin qque dicha información adicional implique una mayor diligencia exigible ni nuevas obligaciones.

La limitación de responsabilidad del proveedor de servicios de pago se aplica tanto al proveedor de servicios de pago del ordenante como al proveedor de servicios de pago del beneficiario.

– El banco en su condición de proveedor de servicios de pago podría ser responsable si muestra falta de diligencia en otras circunstancias específicas. No obstante, en todo caso debe hacer esfuerzos razonables por recuperar los fondos de la operación de pago.

transferenciaerronea#responsabilidad#pagos#banco#identificadorunico#información adicional#

MODIFICACIONES EN EL IMPUESTO DE TRANSMISIONES PATRIMONIALES EN CATALUÑA

/en ,

MODIFICACIONES EN EL IMPUESTO DE TRANSMISIONES PATRIMONIALES EN CATALUÑA

El Decreto Ley 5/2025, de 25 de marzo[1], por el cual se adoptan medidas urgentes en materia fiscal, de gastos de personal y otras administrativas, que establece importantes novedades en relación con el Impuesto sobre Transmisiones Patrimoniales (ITP) y Actos Jurídicos Documentados (AJD), así como, otros impuestos. A continuación, las principales novedades en materia de ITP:

  1. Principales novedades ITP
  • Se amplía la tarifa progresiva del Impuesto sobre Transmisiones Patrimoniales que grava la transmisión de inmuebles y la cesión de derechos reales de dos a cuatro tramos, con tasas que van del 10% al 13%, según el valor del inmueble.

-600.000 euros  al 10% .

-de 600.000 euros a 900.000 euros al 11%.

-de 900.000 euros a 1.500.000 euros al 12%.

-Más de 1.5000.000 euros al 13%.

  • Los grandes tenedores persona física o jurídica pagan un tipo único del 20%, aplicable bajo ciertos criterios específicos. A estos efectos se considera gran tenedor:

– Propietario persona física o jurídica con más de 10 inmuebles de uso residencial o con una  superficie  construida   de  más de 1.500 m2 de uso residencial en Cataluña.
– Propietario de 5 o más inmuebles de uso residencial ubicados en zona de mercado residencial tensionado declarado por la Generalitat de Cataluña.

  • Cuando se adquiera la totalidad de un edificio, con o sin división horizontal, se establece el tipo incrementado del 20% salvo que se cumplan las siguientes circunstancias de forma cumulativa:

i) que el adquirente sea persona física;

ii) que el edificio tenga un máximo de 4 viviendas

iii) las viviendas del edificio se destinen a vivienda habitual del adquirente y sus familiares,   debiendo  entrar a vivir desde los 12 meses de la adquisición y mantenerlo durante un plazo de 3 años como vivienda habitual.

  • Se establecen excepciones y bonificaciones para adquisiciones destinadas a vivienda habitual o casos sociales.
  1. Tipos reducidos

El tipo reducido al 5% para jóvenes de hasta 35 años y para víctimas de violencia de género, bajo ciertos requisitos.

  1. Bonificaciones eliminadas y nuevas bonificaciones modalidad Transmisiones Patrimoniales Onerosas (TPO)
  • Se elimina la bonificación del 70% aplicable a empresas inmobiliarias (Disposición Derogatoria).
  • Bonificación del 100% para transmisiones de obras de arte, antigüedades para empresarios dedicados a compraventa, y cooperativas de vivienda sin ánimo de lucro.
  • Bonificación del 50% para inmuebles destinados a sedes sociales o centros de trabajo, si están sujetas a IVA.
  1. Impuesto de Actos Jurídicos Documentados (AJD)
  • Se eleva al 3,5% para renuncias a la exención de IVA en transmisiones inmobiliarias.
  • Bonificación del 100% en la escritura pública de adquisición de vivienda habitual para contribuyentes de hasta 35 años con ingresos anuales inferiores a 36.000 euros.
  1. Entrada en vigor

Entrada en vigor el 27 de marzo de 2025, no obstante, las modificaciones relacionadas con el Impuesto sobre Transmisiones Patrimoniales y Actos Jurídicos Documentados tienen un período de adaptación de tres meses.

[1] https://dogc.gencat.cat/ca/document-del-dogc/?documentId=1009990

 

CONCLUSIONES COMISIÓN EUROPEA DIRECTRICES DEFINICIÓN SISTEMA DE INTELIGENCIA ARTIFICIAL- ARTIFICIAL INTELLIGENCE SYSTEM

/en ,

CONCLUSIONES DIRECTRICES DE LA COMISIÓN EUROPEA SOBRE LA DEFINICIÓN DE SISTEMA DE INTELIGENCIA ARTIFICIAL Definition of an artificial intelligence system

La Comisión Europea ha publicado un borrador de directrices sobre la de definición de sistema de inteligencia artificial establecido en el Reglamento de IA (RIA).

El objetivo de estas directrices es ayudar a los proveedores y otras personas relevantes a interpretar cuando un sistema de inteligencia artificial (sistema de IA) constituye un sistema de IA en los términos del artículo 3 (1) del Reglamento de Inteligencia Artificial (RIA) y considerando 12. Las directrices no son vinculantes y la última interpretación la tiene el Tribunal de Justicia de la Unión Europea.

Los puntos clave del documento:

1. La definición de un sistema de sistema de IA se compone de siete elementos: sistema basado en máquinas; con capacidad de operar con varios niveles de autonomía; que puede tener capacidad de adaptación tras el despliegue; para objetivos implícitos y explícitos; que infiere de la información de entrada que recibe la manera de generar resultados de salida como predicciones, contenidos, recomendaciones o decisiones y que puede influir en entornos físicos y virtuales.

2. En relación con la autonomía: es un elemento clave y se asocia a operar con cierto grado de independencia en sus acciones respecto a la actuación humana y que tienen ciertas capacidades para funcionar sin supervisión humana directa. En principio, todos los sistemas diseñados para operar con un grado razonable de independencia en sus acciones cumplen con la condición de autonomía en la definición del RIA.

3. En relación con la adaptación: no es un elemento clave y decisivo para calificar al sistema como un sistema de IA. Se asocia a aprender automáticamente; descubrir nuevos patrones e identificar relaciones en los datos más allá de su entrenamiento inicial.

4. En relación con los objetivos implícitos y explícitos: diferencia entre el objetivo del sistema y el propósito previsto. Los objetivos son internos relacionados con las tareas y resultados. P.e. responder preguntas de los usuarios con precisión. Los propósitos son externos relacionados con el contexto de uso del sistema y, como debe operar. P.e. ayudar a un departamento concreto en tareas específicas. Los objetivos explícitos están definidos y codificados por el desarrollador P.e. sistema para optimizar una función de costes, y los implícitos se pueden deducir del comportamiento del sistema. P.e. sistema que puede identificar patrones de comportamiento de los usuarios sin estar programado específicamente para ello.

5. En relación con la inferencia en la generación de resultados: es un factor clave que distingue los sistemas de IA de otros tipos de sistemas que puede darse en la fase de construcción y en la de uso del sistema. La inferencia se asocia al proceso de obtener resultados como predicciones, contenido, recomendaciones o decisiones que pueden influir en entornos físicos y virtuales y que en función de la técnica usada para desarrollar el sistema se determina como el sistema infiere.

6. La inferencia puede ser mediante enfoques de aprendizaje automático y o mediante enfoques basados en lógica y conocimiento con capacidad en ambos casos de manejar relaciones y patrones complejos en los datos lo que les diferencia de los sistemas no basados en IA. Los primeros, incluyen aprendizaje automático supervisado, no supervisado, auto supervisado, por refuerzo, profundo (pone ejemplos de cada uno de ellos). Los segundos, incluyen bases de conocimiento estructuradas, sistemas expertos, métodos de razonamiento simbólico.

7. En relación con los resultados que pueden influir en entornos físicos y virtuales: se asocian a predicciones, contenido, recomendaciones y decisiones.

Una predicción es una estimación sobre un valor desconocido (la salida) a partir de valores conocidos suministrados al sistema (la entrada). Los sistemas de IA que emplean aprendizaje automático son capaces de generar predicciones que descubren patrones complejos en los datos y hacer predicciones precisas en entornos altamente dinámicos y complejos. Por ejemplo, los sistemas de IA para el consumo de energía están diseñados para estimar el consumo energético analizando datos de medidores inteligentes, pronósticos meteorológicos y patrones de comportamiento de los consumidores.

El contenido se refiere a la generación de nuevo material por parte de un sistema de IA, puede incluir texto, imágenes, videos, música y otras formas de salida. Por ejemplo, sistemas de IA que utilizan modelos de aprendizaje automático (por ejemplo, basados en tecnologías de Transformador Generativo Preentrenado –GPT–) para generar contenido.

Las recomendaciones se refieren a sugerencias de acciones específicas, productos o servicios para los usuarios en función de sus preferencias, comportamientos u otros datos de entrada.

Las decisiones se refieren a conclusiones o elecciones realizadas por un sistema. Implica un proceso completamente automatizado en el que se produce un resultado en el entorno que rodea al sistema sin ninguna intervención humana

8. En relación con los sistemas de IA no incluidos ,se excluyen entre otros, los sistemas de mejora de la optimización matemática, los sistemas de tratamiento de datos básicos, los sistemas basados en la heurística clásica y los sistemas de predicción sencillos basados en máquinas con regla básica de aprendizaje estadístico que pueden estar clasificado como enfoque de aprendizaje automático pero que no encaja en la definición debido a su rendimiento. Por ejemplo, el uso de la temperatura media de la última semana para predecir la temperatura de mañana. Este sistema de referencia solo estima promedios, pero no alcanza el rendimiento de sistemas más complejos de predicción de series temporales que requerirían modelos más sofisticados.

9. En este contexto, se ha publicado una respuesta escrita del Parlamento sobre algunas preguntas relacionadas con lo sistemas de inteligencia artificial y exclusiones donde se señala que las características clave de los sistemas de IA es su capacidad de inferencia y que la capacidad de un sistema de IA para inferir trasciende el tratamiento básico de datos permitiendo el aprendizaje, el razonamiento o la modelización, y que no se basa sólo en reglas definidas por humanos para ejecutar automáticamente operaciones.

https://digital-strategy.ec.europa.eu/es/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application

 

 LA ALFABETIZACION EN MATERIA DE INTELIGENCIA ARTIFICIAL

/en ,

 LA ALFABETIZACIÓN EN INTELIGENCIA ARTIFICIAL

 Según el Reglamento de Inteligencia Artificial el artículo 4 impone una obligación de alfabetización en materia de IA a los proveedores y responsables del despliegue. Los proveedores y responsables del despliegue deben garantizar que su personal y demás personas que intervienen en su nombre en el funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en la materia, atendiendo a determinadas circunstancias, como conocimientos técnicos, experiencia, educación y formación, contexto de uso IA y las personas o los colectivos de personas impactados (empleados, clientes, comunidades)

La alfabetización en IA es crucial para el uso responsable de los sistemas de IA en nuestra sociedad y para determinar el nivel de alfabetización se consideran factores clave, evaluar los riesgos, el contexto de uso y los recursos disponibles.

A continuación, algunos aspectos clave del documento de alfabetización publicado por la autoridad de protección de datos danesa 

La alfabetización en IA es de importancia capital por varios motivos:

  1. Esencial para Todos 🌍
  • Ciudadanos: Necesitan conocimientos básicos sobre IA, especialmente cuando los sistemas de IA intervienen en la toma de decisiones que pueden afectarles directamente.
  • Responsables de Políticas: Deben tener un alto nivel de comprensión para tomar decisiones adecuadas.
  1. Responsabilidad Organizacional 🏢
  • A partir del 2 de febrero de 2025, las organizaciones deben asegurar que su personal esté alfabetizado en IA, comprendiendo su funcionamiento, riesgos y oportunidades y dicha alfabetización debe estar garantizada por los proveedores y responsables del uso de sistemas de IA.
  • La alfabetización en IA se refiere al funcionamiento técnico de los sistemas de IA, a los aspectos sociales, éticos y prácticos. Y el personal debe sabe como interpretar los resultados generados por un sistema de IA y como las decisiones tomadas con IA afectan a las personas involucradas.
  • El contenido y nivel de alfabetización en cuanto a conocimiento, habilidades y comprensión dependen del rol específico del empleado en la organización y del contexto en el que se usa el sistema de IA, así como, de los recursos económicos.
  1. Enfoque Estructurado y personalizado 🛠️
  • Para alcanzar un nivel maduro de alfabetización se requiere un enfoque estructurado y personalizado que considere el contexto de uso de los sistemas de IA y los roles de cada individuo en la organización.
  1. Plan de Acción 📅La implementación de un plan de alfabetización en IA requiere:

Tener un plan a nivel de gestión.

⚠️Asignar un presupuesto.

⚠️Definir responsabilidades y organizativas y de control

⚠️ Evaluar, controlar y documentar.

 Los principales pasos para su implementación:

  • Paso 1: Identificar🔍: Hacer un inventario de sistemas de IA y evaluación de riesgos. Documentar qué personas y roles están involucrados en la organización. Realizar una evaluación inicial del conocimiento y habilidades del personal mediante encuestas.
  • Paso 2: Establecer Objetivos🎯: Definir metas y prioridades según el nivel de riesgo.  Determinar qué conocimientos y herramientas necesita cada empleado según su función. Los empleados que trabajan con los sistemas de IA deben tener suficiente conocimiento sobre los riesgos y resultados y como funciona el sistema.
  • Paso 3: Implementar🚀:  Crear conciencia a través de capacitaciones sobre aspectos éticos, técnicos y legales de la IA. Diseñar estrategias y acciones concretas para mejorar la alfabetización en IA. Designar un «responsable de IA» dentro de la organización para garantizar que el plan de alfabetización en IA no se quede sin seguimiento.
  • Paso 4: Evaluar📊: Medir el progreso y ajustar los planes según sea necesario mediante informes periódicos, auditorías internas o externas o mediciones iniciales. Alfabetizar de manera continua porque la tecnología evoluciona rápidamente.

      5. Evaluación Continua 🔄

  • La alfabetización en IA es un proceso constante, necesario para adaptarse a los rápidos avances tecnológicos.

Además, en el contexto de la alfabetización en IA es recomendable tener en cuenta el repositorio vivo de alfabetización en IA creado por la Comisión Europea donde la oficina de IA de la UE ha recopilado algunas prácticas en curso sobre alfabetización en IA entre los firmantes del Pacto de IA que han sido plenamente, parcialmente implementadas o se encuentran planificadas.

Las prácticas en curso recopiladas no tienen carácter exhaustivo, como tampoco comportan una presunción de cumplimiento automático del artículo 4 del RIA.

🔗Documento alfabetización agencia protección de datos danesa https://www.autoriteitpersoonsgegevens.nl/documenten/aan-de-slag-met-ai-geletterdheid

🔗Repositorio Comisión Europea alfabetización en materia de IA https://digital-strategy.ec.europa.eu/es/library/living-repository-foster-learning-and-exchange-ai-literacy

IA https//www.craiyon.com

RECOMENDACIONES ÚTILES PARA GARANTIZAR LA REUTILIZACIÓN LÍCITA DE BASES DE DATOS OBTENIDAS DE INTERNET O DE UN DATA BROKER

/en ,

La autoridad de protección de datos francesa (CNIL) ha publicado unas recomendaciones dirigidas a aquellos que pretendan reutilizar bases de datos de Internet o obtenidas de un Data Broker.

1️⃣Verificar la licitud de la constitución y el uso de dichas bases de datos, asegurándose de que no provengan de fuentes ilícitas como en los casos de datos robados, fugas de datos, violaciones de derechos de propiedad intelectual.

Ejemplos

  • Una base de datos cuya descripción explica que ha sido constituida a partir de publicaciones en una red social profesional cuyo nombre se especifica, se trata de una base de datos lícita.
  • Por el contrario, en caso de compra de una base de datos en la dark web que provenga, por ejemplo, de una fuga o de un robo de datos, no se puede ignorar su origen delictivo y, por lo tanto, la base de datos es manifiestamente ilícita

2️⃣Verificar la fuente de las bases de datos, su contexto de forma que el origen esté suficientemente documentados y no hay duda de la licitud de la base de datos, y en particular, la base legal.

Ejemplos:

  • En una plataforma de intercambio de bases de datos, usted encuentra un conjunto que compila los trayectos hogar-trabajo de miles de personas. Su descripción explica que se trata de datos de geolocalización precisos, no anónimos. En esta hipótesis, la difusión de una base de datos así en ausencia de consentimiento de las personas puede ser ilícita.
  • Por el contrario, sería posible constituir un conjunto de datos a partir de una base de datos cuya descripción no deje dudas flagrantes sobre su legalidad. Por ejemplo, una base de datos pseudonimizada, inicialmente publicada por las personas afectadas en un sitio web identificado y que no contenga datos sensibles

3️⃣Verificar que la base de datos no contiene datos sensibles o datos relativos a infracciones, y en caso afirmativo, realizar verificaciones adicionales para garantizar su legalidad (consentimiento, datos manifiestamente públicos).

4️⃣Las verificaciones precedentes no exoneran a que los responsables deben asegurar la conformidad de sus propios tratamientos de datos con el RGPD, incluyendo análisis de impacto y documentación adecuada.

5️⃣ Firmar acuerdos con los proveedores de datos para garantizar la licitud de su reutilización, especificando detalles como la fuente, la base legal y las finalidades y análisis de impacto en su caso.

Imagen IA créditos: https:www.craiyon.com

🔗 https://www.cnil.fr/fr/reutilisation-de-bases-de-donnees-les-verifications-necessaires-pour-respecter-la-loi

 

LA DILIGENCIA DEBIDA DEL RESPONSABLE DEL TRATAMIENTO EN LA CADENA DE TRATAMIENTO (ENCARGADOS/SUBENCARGADOS)

/en ,

Recientemente, se ha publicado un dictamen del CEPD 22/2024*sobre las obligaciones de diligencia del responsable del tratamiento en la elección, documentación y control sobre los encargados y subencargados del tratamiento, reforzando la responsabilidad última en el responsable del tratamiento de la decisión de la contratación y la verificación de garantías suficientes en cuanto a medidas apropiadas ofrecidas por aquellos para cumplir con el RGPD y garantizar los derechos de los interesados.

El responsable del tratamiento debe ser diligente en la elección de los proveedores que tratan datos personales por su cuenta eligiendo únicamente a un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento cumpla con el RGPD y garantice la protección de los derechos del interesado.

La obligación de diligencia en cuanto a la elección del proveedor y la adopción de garantías suficientes se debe cumplir en todo caso y con independencia del riesgo asociado al tratamiento, aunque el grado de verificación y supervisión puede variar según la naturaleza y el nivel de riesgo de las actividades de tratamiento.

El responsable del tratamiento debe tener la información sobre la identidad de todos los encargados del tratamiento para cumplir con el RGPD y sus obligaciones de responsabilidad proactiva.

El encargado del tratamiento debe facilitar de forma proactiva al responsable del tratamiento toda la información sobre la identidad de todos los subencargados, que realicen el tratamiento por cuenta del responsable del tratamiento, y debe mantener actualizada en todo momento dicha información sobre todos los subencargados del tratamiento contratados. Cuando el responsable del tratamiento decida aceptar a determinados subencargados del tratamiento en el momento de la firma del contrato, deberá incluirse en el contrato o en un anexo al mismo una lista de subencargados del tratamiento aprobados que deberá estar permanentemente actualizada

A efectos de verificar las garantías ofrecidas, el responsable puede optar por elaborar un cuestionario como medio para recabar información de su encargado del tratamiento, solicitar la documentación pertinente, confiar en la información disponible públicamente y/o certificaciones o informes de auditoría de terceros confiables y/o realizar auditorías in situ.  Está claro que la adhesión de un encargado del tratamiento a un código de conducta o a un mecanismo de certificación de acuerdo con el RGPD puede utilizarse como elemento para demostrar garantías suficientes.

El responsable del tratamiento no tiene la obligación de solicitar sistemáticamente los contratos de subencargado del tratamiento para comprobar si las obligaciones de protección de datos previstas en el contrato inicial se han transmitido a lo largo de la cadena de tratamiento. No obstante, debe  evaluar, caso por caso, si es necesario solicitar una copia de dichos contratos o revisarlos en cualquier momento para poder demostrar el cumplimiento del principio de responsabilidad proactiva e incluso tiene la facultad de  realizar verificaciones por muestreo de los contratos con los subencargados del tratamiento a efectos de verificar que cumplen.

El responsable del tratamiento debe informar a los interesados sobre los destinatarios de los datos, incluyendo a los encargados y subencargados) de manera transparente.

En relación con las posibles transferencias de datos a terceros países fuera de la Unión Europea es responsabilidad del responsable del tratamiento evaluar la posible transferencia, verificando  por una lado,  la existencia de un mapeo de la transferencia realizada por el proveedor que trata datos por su cuenta y, por otro lado, el fundamento usado para la transferencia antes de que se realicen las transferencias, decisión de adecuación, garantías adecuadas, revisión de la  evaluación de impacto de la transferencia y la adopción de medidas complementarias.

En particular, cuando la transferencia se base en una decisión de adecuación, el responsable del tratamiento debe verificar si la decisión está en vigor, y si las transferencias realizadas por cuenta del responsable del tratamiento entran en el ámbito de aplicación de dicha decisión (por ejemplo, categorías de datos personales o sectores incluidos en el ámbito de aplicación).

En definitiva, tras la lectura de este dictamen se constata la necesidad de realizar dos acciones prioritarias. La primera, realizar una auditoría a los encargados y subencargados de tratamiento y la segunda, contar un protocolo que a modo de evidencia documental sirva para demostrar por parte del responsable un control sobre los encargados y subencargados del tratamiento antes, durante y después de su contratación. Como mínimo este protocolo debe reunir el siguiente contenido: conocimiento y control de la cadena de encargados y subencargados del tratamiento, registrarlos y actualizarlos; verificar y documentar las garantías suficientes aportadas; controlar y aprobar los subencargados del tratamiento; gestionar de forma adecuada las posibles transferencias internacionales de datos; facilitar el ejercicio de derechos de los interesados; controles y revisiones periódicas.

*https://www.edpb.europa.eu/system/files/2024-10/edpb_opinion_202422_relianceonprocessors-sub-processors_en.pdf

 

FAQ. SELECCIÓN DE PERSONAL Y TRATAMIENTO DE DATOS PERSONALES

/en ,

1.¿La empresa puede solicitar todo tipo de datos personales en el contexto de la selección de personal?

NO. La empresa sólo puede solicitar aquellos datos personales que sean estrictamente necesarios y pertinentes para valorar la candidatura a un puesto de trabajo. Sobre la información necesaria para apreciar la capacidad de un candidato a un puesto de trabajo y evaluar sus aptitudes, se debe limitar a aquella que permite identificar al candidato más adecuado con la finalidad de verificar competencias para el puesto.Con carácter general no se pueden pedir datos relacionados con la condición familiar, hábitos o características físicas cuando no esté relacionada con el desempeño del puesto vacante como tampoco datos de salud ni certificado de antecedentes penales o salvo contadas excepciones tasadas por ley.

2. ¿La empresa debe facilitar información al candidato sobre el tratamiento de sus datos personales?

La información facilitada debe ser clara, sencilla, inteligible y de fácil acceso y se debe proporcionar antes de la recogida de los datos personales. El escenario ideal seria facilitar la información básica sobre el tratamiento de datos personales después del formulario donde se recogen los datos y se coloque un enlace que dirija a la información ampliada, esto es, a la política de privacidad del candidato.

3. ¿La empresa puede usar los datos personales para otras finalidades?

NO. La empresa no puede tratar los datos personales para otras finalidades que sean diferentes e incompatibles con la finalidad principal por cuanto rige el principio de limitación de finalidad.

4. ¿La empresa puede conservar mi CV de forma indefinida?

NO. La empresa no puede conservar mi CV de forma indefinida sino sólo durante el tiempo necesario para alcanzar la finalidad perseguida. En caso de no ser seleccionado se considera el plazo de 1 año como tiempo prudencial a contar desde su envío.

5. ¿La empresa puede pedir referencias a terceros?

SI, bajo determinadas condiciones. La empresa puede pedir referencias siempre y cuando el candidato haya sido informado previamente y lo haya consentido, esto es, que las facilite el propio candidato y la empresa y/o empresa a las que se vayan a pedir cuenten con el consentimiento del exempleado. En caso contrario, se produciría una cesión inconsentida de datos personales entre las empresas.

6. ¿Es el consentimiento la base de legitimación para el tratamiento de datos personales de los candidatos en el proceso de selección?

NO. La base de legitimación para el tratamiento de datos personales del potencial candidato es la adopción de medidas contractuales a solicitud de la persona interesada. No obstante, el consentimiento si será la base de legitimación para la cesión del CV entre empresas del grupo y también para la conservación y el envío de nuevas ofertas vacantes por correo electrónico cuando no ha sido finalmente seleccionado.

7. ¿La empresa puede indagar en los perfiles del candidato en redes sociales?

NO, con carácter general. La indagación en los perfiles de redes sociales de las personas candidatas sólo se justifica si están relacionados con fines profesionales y el tratamiento de los datos obtenidos por esta vía únicamente será posible cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo solicitado y se haya informado a la persona candidata sobre ese tratamiento.

8. ¿Puede usar la empresa herramientas de IA para la selección de personal?

SI, bajo ciertas condiciones. Se tendrá que analizar la viabilidad del sistema de IA, contar con datos suficientes y representativos y que el impacto del error del sistema en los candidatos se bajo, disponer de recursos técnicos para la construcción y el mantenimiento, contar con una estrategia de compliance con evidencias documentales y adoptar unas garantías en beneficio de los trabajadores. Entre otras garantías, realizar un análisis de riesgo y de seguridad, informar a los trabajadores y representantes legales, de forma clara y comprensible, garantizar la intervención humana, personas con formación adecuada y específica; garantizar el derecho a la explicación de decisiones tomadas individualmente; tener un plan de gobernanza de los datos e implementar procedimientos de contratación y control periódico de proveedores IA, si se usa un sistema de IA provisto por terceros.

DERECHO AL HONOR DE LAS EMPRESAS Y SENTENCIA DEL TRIBUNAL SUPREMO.

/en ,

El Tribunal Supremo en su Sentencia de 23 de julio de 2024[i]  ratifica la existencia del #derecho al honor de las personas jurídicas y recuerda los presupuestos necesarios.

El origen del caso son las expresiones vertidas por un extrabajador de una empresa de transportes en un portal de Internet con la finalidad de aumentar la indemnización por despido. Este hecho motiva la interposición de una demanda por intromisión ilegítima en el honor y una reclamación de una indemnización de daños y perjuicios.

En particular, el exempleado publica en la sección ofertas de trabajo para transportistas del portal de Internet «Mil Anuncios» una serie de anuncios, durante dos semanas, entre otros, destaca:

«La empresa X muy seria y profesional busca esclavos en transporte de contenedores trabajo mínimo diario garantizado de 13 horas y una falta de respeto garantizada. Muy bien remunerado, con varias denuncias activas. Anuncio muy serio; opinión de empresa X muy seria y profesional tiene esclavizados a los choferes en transporte de portacontenedores. Se trabaja mínimo 13 horas diarias y una falta de respeto tremenda. después de despedirte no te pagan ni el finiquito por lo menos. Esta empresa me debe 11.000 euros. Mucho Cuidado”.

El Tribunal Supremo constata lo siguiente:

  • Que las personas jurídicas son titulares del derecho al honor que incluye el prestigio profesional sin necesidad de que exista un daño patrimonial en sus intereses.

 

  •  El ataque al prestigio profesional puede comportar una vulneración del derecho al honor cuando revista cierta intensidad, descalificación injuriosa o innecesaria del comportamiento profesional de una persona, especialmente mediante infamias que pongan en duda o menosprecien su probidad o ética en el desempeño de aquella actividad.

En este caso concreto, las expresiones peyorativas que se emplearon en los anuncios publicados afectaban a la probidad o ética en el desempeño de la actividad de la empresa demandante.  Y el extrabajador viene obligado al pago de 5.000 euros.

  • Con carácter general no solo las manifestaciones orales o escritas pueden ser consideradas intromisiones ilegítimas en el honor, sino también acciones que menoscaben la dignidad y el prestigio.

  • En algunos casos, el derecho al honor puede entrar en conflicto con otros derechos como la libertad de expresión o la libertad de información. Aquí, los tribunales deben ponderar qué derecho tiene mayor peso en ese caso específico.

 

  • El ejercicio del derecho a la libertad de expresión debe ser proporcionado. No se respeta el dicho parámetro de acuerdo con la doctrina establecida en los siguientes casos:

(i) porque la actuación del recurrente no constituyó una respuesta proporcionada a las circunstancias que pudiera explicarse por la falta de legítimas alternativas para reaccionar y defender su interés; (ii) porque, pese a ejercer con éxito las acciones legales que le correspondían, utilizó una vía de hecho, promoviendo, durante un periodo prolongado de tiempo, una verdadera campaña, dirigida a la población en general, para difundir en una ciudad pequeña, una información que minaba el prestigio de la recurrida; (iii) porque la información difundida, tal y como se proporciona, puede llevar a la conclusión de que la recurrida ejecuta mal sus obras y no repara los defectos constructivos, lo que, de acuerdo con lo probado, no fue lo que sucedió con la vivienda del recurrente, por lo que no puede considerarse apoyada en hechos objetivos y veraces; (iv) y porque el recurrente trató de hacer efectivas sus reclamaciones empleando medios denigratorios y además actuó con la intención de fastidiar a la demandante y perjudicarla en su actividad como vendedora de viviendas».

[i] https://www.poderjudicial.es/search/indexAN.jsp#

FAQ. LA EMPRESA Y EL CONTROL LABORAL DE LOS TRABAJADORES

/en ,

La empresa en ejercicio de sus facultades de dirección y control puede realizar un control de la actividad laboral de los trabajadores, no obstante, este control no es absoluto y deber cumplir unos mínimos requerimientos para su validez y legitimidad.

1.¿La empresa puede realizar un control sobre el desempeño del trabajo de sus trabajadores?

 SI El Estatuto de los trabajadores reconoce en su artículo 20.3 la facultad de dirección y control de la actividad laboral y la posibilidad por parte del empresario de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad.

2.¿La empresa puede adoptar medidas de vigilancia y control sin informar al trabajador?

NO. Si la empresa tiene previsto adoptar medidas de vigilancia y control tiene que informar previamente al trabajador y detallar las concretas medidas de vigilancia y control. Las medidas de vigilancia y control pueden ir desde la monitorización sistemática o aleatoria de la red de comunicaciones, ordenadores conectados, control del tiempo y contenido de los accesos a los recursos de la empresa, a Internet, control del  material creado, almacenado o enviado en la red de la empresa, historiales descargados, páginas webs visitadas, control del tráfico del correo electrónico, datos emisor y receptor, tamaño, número, hora de la comunicación, periodicidad y el asunto de los correos enviados y recibidos.

3.¿La empresa debe informar del uso de un software que permita el control de los empleados?

SI. La empresa en todo caso en sus políticas internas, manuales, debe informar sobre la existencia de programas de control de los empleados con detalle de las funcionalidades del software, las acciones concretas de monitorización y control previstas con el software, así como, en su caso, los datos personales a los que se acceden, la base de legitimación, tiempo de conservación y cumplir con lo dispuesto en la normativa de protección de datos.

4.¿La empresa puede supervisar el uso de las herramientas informáticas puestas a disposición del trabajador?

SI bajo determinados supuestos. Siempre y cuando se haya informado al trabajador, la empresa cuando lo considere oportuno por razones justificadas de interés empresarial, y en atención a criterios de idoneidad, necesidad, ponderación y proporcionalidad, podrá adoptar las medidas necesarias de vigilancia y control que estime necesarias, incluidos los registros de las herramientas informáticas puestas a disposición  para verificar el cumplimiento de sus obligaciones laborales, el correcto uso de las herramientas informáticas, garantizar la integridad de los dispositivos y para comprobar que no se usa con fines personales o en su caso, para constatar la existencia de un comportamiento irregular o abusivo por parte del trabajador que perjudique la buena marcha o el correcto y ordenado desenvolvimiento de la actividad productiva.

5.¿La empresa puede monitorizar el email del trabajador?

bajo determinados supuestos. La empresa puede monitorizar el email del trabajador siempre y cuando se cumplan una serie de requisitos y se supere el Test Barbulescu fijado por el TJUE. Los requisitos son: i) información previa, precisa, transparente y especifica sobre la posibilidad de control del email u otras comunicaciones antes de su implementación; ii) información sobre la existencia de controles con el detalle de las medidas de monitorización que se van a adoptar; iii) realización de un análisis sobre el alcance de la vigilancia y el grado de intromisión en la vida privada del trabajador; iv)  cumplimiento del juicio de proporcionalidad, esto es, que la medida es idónea (susceptible de conseguir el objetivo propuesto); que la medida es necesaria (no existe una medida más moderada para la consecución del propósito con igual eficacia); que la medida es equilibrada (por derivarse más ventajas para el interés general que perjuicios sobre otros bienes en conflicto).

6.¿La empresa debe informar de la colocación de cámaras de videovigilancia con fines de control laboral?

SI. La empresa debe informar con carácter previo y de forma expresa, clara y concisa de la existencia de cámaras de videovigilancia y colocar el preceptivo cartel con información del responsable y la posibilidad del ejercicio de derechos y facilitar toda la información adicional requerida por la normativa de protección de datos en la política de videovigilancia.

7.¿La empresa puede colocar cámaras ocultas sin informar al trabajador cuando se pretende probar un robo?

bajo determinados supuestos. La empresa puede colocar cámaras ocultas para confirmar incumplimientos laborales y asegurar la seguridad de las instalaciones y  de acuerdo con el Tribunal Supremo, siempre que: i) se instalen durante un breve periodo de tiempo; ii) en un espacio no invasivo o intrusivo del derecho a la intimidad de los trabajadores y, iii)  no existan medios menos invasivos o alternativos para conocer y demostrar lo que sucede (continuada perpetración de un ilícito penal que afectaba al patrimonio de la empresa. Por ejemplo, sustracción de los cartuchos de tinta de las impresoras al menos en tres ocasiones precedentes).

8.¿La empresa puede controlar siempre y de forma indiscriminada?

NO. Los controles empresariales deben respetar en todo caso los principios de necesidad, pertinencia y proporcionalidad para garantizar el respeto de los derechos digitales establecidos en la normativa de protección de datos.

Si quieres te ayudamos a redactar las políticas que precise la empresa para el uso por parte del trabajador de herramientas corporativas, el control laboral y las concretas medidas de monitorización y realizamos el correspondiente test de ponderación. Si además tienes cámaras de videovigilancia te redactamos la política de videovigilancia.

 

FAQ.USO DE INTELIGENCIA ARTIFICIAL POR LA AGENCIA TRIBUTARIA

/en ,

FAQ. USO DE LA INTELIGENCIA ARTIFICIAL POR LA AGENCIA TRIBUTARIA

  1.  ¿Para que se usa la IA por la Agencia Tributaria?

De acuerdo con la Estrategia Nacional de Inteligencia Artificial de la Agencia Tributaria con el uso de la #IA se persigue incrementar la eficacia y eficiencia de las actuaciones tributarias y aduaneras.

La prioridad de uso de IA por parte de la Agencia Tributaria será en materia de prestación de servicios de información y asistencia al contribuyente, en el ámbito de la prevención y en la lucha contra el fraude fiscal y aduanero.

El uso de la IA ayuda a fomentar y simplificar el cumplimiento de las obligaciones tributarias y favorece la calidad de los datos declarados por los contribuyentes por cuanto muchos procedimientos de comprobación que obligan a regularizar son como consecuencia de errores al declarar o por falta de presentación de declaraciones en período voluntario.

  1. ¿Cuales son los principales ejemplos de uso?

Para favorecer el cumplimiento voluntario de las obligaciones fiscales los principales ejemplos de uso actuales son:

  • los asistentes virtuales.
  • algunos de los mensajes aviso en IRPF por posibles errores al modificar la información sobre rendimientos del trabajo que ofrece Renta Web,
  • los avisos que se ofrecen a potenciales no declarantes de IRPF durante el periodo de presentación voluntaria de la declaración.
  1. ¿El uso de la IA por la Agencia Tributaria está supervisada por personas?

La IA siempre estará supervisada por personas durante todo el ciclo de vida de los sistemas de IA, de forma que en todo momento las personas revisarán, cuestionarán y validarán las recomendaciones, sugerencias o predicciones de la IA.

  1. ¿La IA tiene en cuenta a las personas?

La Agencia Tributaria será respetuosa con las personas, respetando el marco normativo aplicando principios éticos y de transparencia y los valores de la Agencia Tributaria.  Se garantizará un uso responsable, seguro y ético de la IA dentro de un marco de seguridad y protección de los derechos de los contribuyentes.  En particular, si usa IA para interactuar con el contribuyente informará expresamente.

  1. ¿Qué precauciones adopta la Agencia Tributaria en relación con los datos?

Los sistemas de IA deben cumplir con la normativa nacional y comunitaria de protección de datos en relación con la recopilación y tratamiento de la información. En particular, la Agencia Tributaria:

  • verifica que las fuentes de los datos sean fidedignas y contengan información vigente, actualizada y no sesgada.
  • comprueba que durante el desarrollo de cada proyecto que los datos son completos y representan, en la proporción adecuada, todo el universo sobre el que actuará el sistema de IA, que son exactos y no contienen errores, y que cuentan con la vigencia temporal requerida.
  • extrema el cuidado en los trabajos de limpieza, tratamiento y transformación de los datos tras su recolección.
  • trabaja en la prevención, detección y corrección de eventuales sesgos que pueda estar contenidos en los datos, garantizando la privacidad y seguridad de los datos que se usen, especialmente cuando se trate de datos de carácter personal.
  1. ¿Cuales son los principios rectores en el uso de la IA?

Los principios rectores son el:

  • Principio de responsabilidad (cumplimiento proactivo): IA ética, confiable, y respetuosa del marco jurídico, de los derechos fundamentales de los ciudadanos y de los principios éticos.
  • Enfoque centrado en la persona («human centric»): visión centrada en la persona.
  • Seguridad y Gobierno de la IA: metodología específica para el desarrollo y el uso de sistemas de IA y durante todo el ciclo de vida del proyecto de IA y mejora continua en proyectos de inteligencia artificial con monitorización de funcionamiento del sistema.

 

#IA#Agencia Tributaria#Personas#usos#datos

https://sede.agenciatributaria.gob.es/Sede/gobierno-abierto/transparencia/informacion-institucional-organizativa-planificacion/inteligencia-artificial.html?faqId=7b0d6e2f72610910VgnVCM100000dc381e0aRCRD