IP DINAMICA Y DATO DE CARACTER PERSONAL

La IP dinámica recibe la consideración de dato de carácter personal siempre que la persona física pueda ser identificada o identificable, se cumplan los requisitos impuestos por la Sentencia del Tribunal de Justicia de la Unión Europea de 19 de octubre de 2016 (STJUE) y su consideración de dato personal se incluya dentro de los supuestos contemplados en el Reglamento de Protección de Datos (RPD). Los requisitos que fija la STJUE y el RPD son los siguientes:

  1. Una persona física es identificada por norma general a través de su nombre y apellidos, dirección de correo electrónico. La dirección IP dinámica no es una información relativa a persona física identificada puesto que con esa dirección no se revela la identidad de la persona física propietaria del ordenador desde el cual se realiza la conexión a Internet y consulta del sitio web, sin embargo, la persona física puede ser identificable a través de su dirección IP.
  2. Se considera que una persona física puede ser identificable cuando su identidad pueda determinarse directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos característicos de su identidad física, fisiológica, psíquica, económica, cultural o social. Haciendo una interpretación más extensiva de la identificación indirecta y de acuerdo con el Reglamento Europeo de Protección de Datos, se puede identificar indirectamente a una persona además de con un número de identificación (DNI o Pasaporte), con datos de localización y con datos de identificadores en línea, incluimos dentro de los datos de identificadores en línea, las direcciones de los protocolos de internet donde se incluye la IP.
  3. Para determinar si una persona es identificable según la STJU hay que tener en cuenta el conjunto de medios que pueden ser razonablemente usados por el responsable del tratamiento o por cualquier otra persona para identificar a dicha persona. Se considera que no existen medios razonables cuando la identificación del interesado está prohibida por ley o sea irrealizable por el esfuerzo que supone teniendo en cuenta los costes, el tiempo y los recursos humanos.
  4. Respecto a la consideración de dato personal de las direcciones IP dinámicas registradas por un proveedor de servicios en línea cuando una persona consulta su página web, será considerado como dato personal sujeto a la normativa de protección de datos, siempre y cuando el proveedor de servicios antes citado disponga de la información adicional que permite asociar la dirección IP con esa persona física.

Aquí nos preguntamos si el combinar la dirección IP dinámica que dispone el proveedor de servicios en línea con los datos que dispone el proveedor de acceso a Internet es un medio que pueda ser razonablemente utilizado para identificar al interesado. De entrada apuntar que por norma no será posible la cesión de dichos datos “información adicional” por parte del proveedor de acceso a internet al proveedor de servicios en base al deber de sigilo respecto a los datos de carácter personal, sin embargo, este puede solicitar dicha información en el marco de una investigación penal o en caso de ataques cibernéticos. Por lo tanto en estos casos, el proveedor de servicios dispone de medios que pueden usarse razonablemente para identificar a la persona física con la ayuda del proveedor de acceso o de la autoridad judicial competente.

Conclusión: la IP dinámica es un dato personal para el proveedor de productos y servicios en Internet cuando este dispone de medios legales para identificar a la persona interesada gracias a la información adicional facilitada por el proveedor de acceso a Internet.

INICIO CAMPAÑA RENTA 2016

1. ¿Quién está obligado a declarar por el Impuesto sobre la Renta de las Personas Físicas – IRPF? 

Están obligados a declarar por el IRPF las personas físicas que tengan su  residencia habitual en España  que hayan percibido rendimientos del trabajo (sueldo, pensiones, salarios), del capital mobiliario (dividendos de acciones, intereses de cuentas), de ganancias patrimoniales (transmisión de bienes, de acciones, fondos de inversión) y determinadas rentas inmobiliarias y rendimientos de Letras del Tesoro, de acuerdo con los siguientes parámetros y cuantías.

A) Por rendimientos del trabajo

Con el límite 22.000 euros anuales  cuando proceden de un sólo pagador.

También se aplica si proceden de varios pagadores:

i) cuando la cuantía del segundo y siguientes pagadores, por orden de cuantía, no superan en su conjunto a los 1.500 euros anuales.

ii) si los únicos rendimientos del trabajo, consisten en pensiones de Seguridad Social y prestaciones pasivas de acuerdo con el tipo de retención establecido reglamentariamente.

Con el límite de 12.000 euros anuales en los siguientes casos:

i) si proceden de varios pagadores, cuando las sumas percibidas del segundo pagador y siguientes, por orden de cuantía, superan los 1.500 euros anuales.

ii) Percepción de pensiones compensatorias del conyugue o anualidades por alimentos salvo excepciones.

iii) Cuando el pagador de los rendimientos no esté obligado a retener .

iv) Rendimiento íntegro del trabajo sujetos a tipo fijo de retención.

B) Por rendimientos del capital mobiliario y ganancias patrimoniales sujetas a retención o ingreso a cuenta

Con el límite conjunto de 1.600 euros anuales.

C) Por rentas inmobiliarias imputadas y rendimientos de Letras del Tesoro, subvenciones para la adquisición de viviendas de protección oficial o precio tasado

Con el límite conjunto de 1.000 euros anuales.

2. ¿Quién no está obligado a declarar?

No tendrán que declarar quienes obtengan exclusivamente rendimientos íntegros del trabajo, del capital mobiliario e inmobiliario, de actividades económicas y ganancias patrimoniales, cuando la suma no exceda los 1.000 euros anuales, ni quienes hayan tenido pérdidas patrimoniales inferiores a 500 euros.

No obstante, deberán presentar la declaración si quieren beneficiarse de las deducciones por inversión de vivienda habitual, por doble imposición internacional y de las reducciones en la base imponible por aportaciones a sistemas de previsión social y reducciones por aportaciones a patrimonios protegidos de personas con discapacidad, así como, para las devoluciones en su caso.

3. ¿Cuándo inicia el plazo para su presentación?

Las declaraciones de IRPF se pueden presentar a partir del 05-04-2017, siendo recomendable realizar la presentación cuanto antes.

4. ¿ Se  puede fraccionar el pago?

Cabe fraccionar el pago en dos partes sin intereses ni recargos. El primer pago correspondiente al 60% del importe en el momento de presentar la declaración y el segundo, del 40 por ciento restante, como plazo máximo hasta el  06-11-2017.

5. Qué documentación se debe aportar para su elaboración?
Rendimientos del trabajo: certificado de empresa.

Rendimientos del capital inmobiliario: relación y justificantes de ingresos, facturas de gastos deducibles (ej. comunidad, administración, IBI, préstamos, etc.).

Rendimientos del capital mobiliario: certificados de entidades financieras y de seguros, contratos, recibos de gastos, cuentas, valores, etc.

Rendimientos de actividades económicas en módulos: documentos acreditativos de los elementos o parámetros de la actividad utilizados durante el año, de acuerdo con la actividad.

Por venta de la vivienda habitual: fechas de adquisición y transmisión; importes reales de compra y venta; gastos y tributos de la compra y venta; copia de las declaraciones de los ejercicios en los que se practicaron deducciones por la vivienda transmitida; datos de préstamos hipotecarios y capital pendiente de amortizar a fecha de venta, y en su caso la reinversión

Por ventas de acciones, inmuebles u otros bienes, fondos de inversión, premios, etc.: fechas de adquisición y transmisión; importes reales, gastos y tributos de compra y venta; certificados de fondos de inversión; premios percibidos.

Por subvenciones percibidas: justificante de las mismas.

Deducciones: documentos justificativos: i) por alquiler de vivienda: NIF del arrendador y cantidades pagadas por el alquiler; ii) por adquisición de vivienda habitual con ampliación del préstamo: saldos pendientes de amortizar del préstamo original; iii) por donativos: los justificantes; iv) por pensiones compensatorias y pensiones de alimentos: los justificantes.

EL DERECHO AL OLVIDO DE LOS EMPRESARIOS

En numerosas ocasiones, se ha tratado la cuestión del derecho al olvido en el ámbito de las personas físicas, y asociado el borrado del rastro digital bajo determinadas circunstancias.

Recordamos, a modo de apunte, el caso de un ciudadano español en el cual se obligaba al motor de búsqueda Google a eliminar de la lista de resultados obtenida a través de una búsqueda efectuada a partir del nombre de una persona, los vínculos a páginas web publicadas por terceros y que contenían información relativa a esa persona, aunque no se hubieran borrado previa o simultáneamente de aquellas páginas web y aunque la publicación en dichas páginas fuera lícita. En aquel caso concreto, prevalecía el derecho del interesado a proteger su vida privada, sobre el derecho a la información y a la libertad de prensa de los terceros que accedían a Internet en busca de información de esa persona en cuestión y sobre los intereses económicos del gestor del motor de búsqueda.

Ahora se ha publicado una sentencia del Tribunal de Justicia de la Unión Europea[1] que trata del derecho al olvido y/o supresión digital de los datos de carácter personal de los representantes de las empresas, personas físicas, en el ámbito de las sociedades de responsabilidad limitada y anónimas publicados en los Registros mercantiles o registros de sociedades.

La cuestión prejudicial planteada al Tribunal de Justicia de la Unión Europea tiene su origen, en un pleito iniciado por un empresario italiano, que solicitó ante los tribunales de su país que la información relativa a sus datos de representación (nombre y apellidos y cargo) en una empresa de la que había sido administrador único y liquidador mucho tiempo atrás y que ya estaba disuelta, se eliminarán del registro de sociedades, porque le perjudicaban en la venta de unos inmuebles de una sociedad en la cual también figuraba como administrador único.

En este caso, el TJUE afirma que debemos acudir a la finalidad de la inscripción de dichos datos en el Registro para poder ponderar los intereses en juego, esto es, si prevalece por un lado, el interés de la persona física a solicitar que se supriman o se bloqueen tras un determinado lapso de tiempo los datos personales inscritos o que se restrinja su acceso, o por contra, primar los intereses de terceros que en base al principio de publicidad registral, le permiten conocer los actos esenciales de la sociedad y los datos de la identidad de las personas que tienen el poder de obligarla.

En el caso particular del empresario italiano, para determinar si prevalece el interés de aquel en la eliminación de dichos datos de representación una vez disuelta la sociedad sobre el principio de publicidad registral, el Abogado General sostiene que es posible que dichos datos sean necesarios mucho tiempo después, para averiguar los actos que ha realizado dicha sociedad mientras estaba activa o incluso para interponer acciones contra los miembros de sus órganos o liquidadores y más cuando estamos ante sociedades que tienen limitada su responsabilidad al patrimonio social. Este hecho, unido a la heterogeneidad de los plazos de prescripción previstos por las diferentes normas nacionales impide que se pueda establecer un plazo único para poder eliminar o bloquear dichos datos.

En conclusión y de acuerdo con la Sentencia, prevalece de entrada la necesidad de proteger los intereses de terceros en su relación con las sociedades anónimas y las sociedades de responsabilidad limitada, para garantizar la seguridad jurídica frente a los intereses particulares.

La valoración sobre las razones preponderantes y legítimas, y si está excepcionalmente justificado, le corresponderá a los diferentes Estados miembros de acuerdo con sus legislaciones nacionales.

 

 

 

 

[1] Sentencia del Tribunal de Justicia de la Unión Europea de 9 de marzo de 2017 http://curia.europa.eu/juris/document/document.jsf?text=&docid=188750&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=503360.

EL PRINCIPIO DE RESPONSABILIDAD PROACTIVA EN EL TRATAMIENTO DATOS PERSONALES

Tras la aprobación del Reglamento europeo de protección de datos, aquellas empresas tratan datos por sí mismos y/o que contratan servicios de terceros, deben extremar su diligencia.

Esta máxima diligencia se aplicará tanto en el tratamiento propio de los datos personales que realice en el normal desarrollo de su actividad como en la elección del proveedor adecuado que accede y/o trata datos de carácter personal por razón de la prestación de un servicio al responsable del tratamiento.

El Reglamento europeo fija el principio de la responsabilidad proactiva del responsable del tratamiento de los datos personales, en la elección de los proveedores con los que trabaja debiendo asegurarse que aquellos cumplen con la normativa europea de protección de datos en relación a la implantación de medidas técnicas y organizativas apropiadas, para garantizar un nivel adecuado de protección en consonancia al riesgo que suponga el tratamiento de los datos personales.

Ya no basta con cumplir un artículo u otro de la normativa, sino que se tiene que poder demostrar que el tratamiento de los datos de carácter personal es acorde con las disposiciones del Reglamento y además se ha de estar en disposición de acreditarlo ante cualquier requerimiento del organismo competente.

Para demostrar el cumplimiento por parte del responsable del tratamiento de los datos, la normativa alude a la adhesión a códigos de conducta o mecanismos de certificación.

De acuerdo con lo dispuesto en la reciente guía[1] publicada por la AEPD con la colaboración de la Agencia catalana y vasca de protección de datos, el principio de responsabilidad proactiva supone “un actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleve a cabo.

¿Quién es responsable del tratamiento?

Es responsable aquel que decide sobre la finalidad y usos del tratamiento. Tiene un poder de decisión sobre qué hacer con los datos de carácter personal.

¿Quién es encargado del tratamiento?

Es encargado aquel accede y/o trata los datos de carácter personal de acuerdo con las instrucciones del Responsable por razón de la prestación de un servicio al responsable. No tiene poder de decisión sobre las finalidades del tratamiento de los datos, ni los puede usar para su interés propio. Numerosos ejemplos de encargados de tratamiento enumeran la Guía, en atención al servicio prestado de acuerdo con el ciclo de la vida de los datos personales que van desde la recogida, el registro, la organización, estructuración, modificación, extracción, consulta, uso, comunicación por transmisión, difusión, cotejo, interconexión, supresión y destrucción.

Son encargados de tratamiento más comunes los prestadores de servicios de hosting, las gestorías que confeccionan las nóminas, los prestadores de servicios informáticos, los prestadores de servicios de envío de cartas y paquetería, los prestadores de servicios de destrucción confidencial, gestores de servicios públicos municipales.

¿Quién debe adoptar las medidas técnicas y organizativas?

Tanto el responsable como el encargado han de implantar las medidas técnicas y organizativas necesarias para garantizar el cumplimiento del Reglamento y en particular la pseudonimización de los datos personales, la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento, la restauración de datos personales en cuanto acceso y disponibilidad en caso de incidente físico o técnico y la verificación regular que dichas medidas garantizan la seguridad del tratamiento.      

Para la aplicación de estas medidas se tendrá en cuenta: i) el estado de la técnica; ii) los costes de la aplicación; iii) la naturaleza, alcance, contexto y fines del tratamiento; iv) riesgos para los derechos y deberes de las personas físicas.

Al responsable se le traslada la carga de la prueba de acreditar que ha sido diligente en la elección del encargado y que éste ofrece garantías suficientes de cumplimiento del Reglamento en cuanto a conocimientos especializados, fiabilidad y recursos.

¿Cómo puede probar el responsable que el encargado cumple?

El responsable tendrá que solicitar al encargado que le demuestre el cumplimiento de las medidas de seguridad necesarias en el acceso y tratamiento de los datos personales por cuenta del Responsable.

La forma más rápida que establece el Reglamento es que aquel se haya adherido a códigos de conducta o que tenga un certificado de cumplimiento de protección de datos emitido por la autoridad de control competente y/o por organismo de certificación acreditado.   Es importante en este punto evaluar la facilidad o en su caso dificultad de la obtención de dichos certificados por parte de la pequeñas y medianas empresas.

Debe asegurarse que el encargado implanta las medidas técnicas y organizativas antes citadas. La descripción detallada de las medidas se especificará en el contrato con el encargado o bien se fijarán de acuerdo con un código de conducta, sello, certificación u otro estándar donde queden reflejadas las medidas, las cuales a la fecha están pendientes de aprobación.

Para ello, el responsable deberá realizar en todo caso una valoración del riesgo del tratamiento de datos personales para los derechos y libertades de las personas de conformidad con el servicio prestado por el encargado.

Asociada a esta cuestión es de importancia capital citar la Sentencia del Juzgado de lo Penal número 6 de Barcelona donde se absuelve a un empleado de un delito continuado de descubrimiento de secretos en cuanto al acceso ilegítimo a buzones de correo electrónico corporativo y de un delito de revelación de secretos en relación a la remisión a ochenta cuentas de correo corporativo de documentos que contenían datos laborales y salariales de los trabajadores de la Corporació Catalana de Mitjans Audiovisuals (CCMA), de TV3 y de Catalunya Radio, debido a que las medidas de seguridad adoptadas por la corporación eran insuficientes.

Estas medidas de seguridad eran insuficientes porque:

  1. No había usuario y contraseña para acceder al Departamento afectado (Post-producción) por lo que no había un control de accesos a los equipos o al propio departamento, el acceso al mismo se producía mediante tarjeta y luego quedaba abierto para todos los integrantes (8-9 personas).
  2. Cualquiera podía instalar software sin supervisión, en este caso se instaló un sistema TOR y web Proxy y no existía ningún tipo de control.
  3. Los ordenadores corporativos sí tenían password y contraseña, pero se bloquean al transcurrir un largo período de tiempo, por lo que hasta el bloqueo cualquiera podía entrar en el ordenador del otro.
  4. Desde los ordenadores del Departamento afectado se podía acceder a Internet con posibilidad de acceso a los ordenadores corporativos introduciendo la contraseña.
  5. Las contraseñas no estaban encriptadas.

En conclusión, a partir de este momento y hasta la definitiva entrada en vigor del Reglamento de Protección de Datos, mayo de 2018 el responsable del tratamiento deberá adoptar el mismo las medidas técnicas y organizativas en el tratamiento de datos personales teniendo en cuenta estado de la técnica, los costes de la aplicación, naturaleza, alcance, contesto y fines del tratamiento y riesgos para las personas físicas y extremar la diligencia en cuanto a la elección de los proveedores-encargados del tratamiento- con los que trabaja y que acceden y/o tratan datos personales del responsable asegurándose que cumplen.

[1] https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

CONSERVACION DATOS COMUNICACIONES ELECTRONICAS CIUDADANOS Y FINALIDADES PREVENCION DELINCUENCIA

Recientemente se ha publicado una STJUE que establece la siguiente obligación de aplicación a la totalidad de los Estados miembros en lo que a la conservación de datos de comunicaciones electrónicas se refiere:

“Los Estados miembros no pueden imponer una obligación general de conservación de datos a los proveedores de servicios de comunicaciones electrónicas”

Aquí, no podemos olvidarnos de la polémica suscitada en cuanto a la invalidez de las normas de Puerto Seguro /Safe Harbour, ahora “Private by Shield” por la posible vulneración de derechos y libertades, al encontrarse ciudadanos europeos permanentemente vigilados por las autoridades estadounidenses, no sólo por razones de lucha contra el terrorismo y la ciberdelincuencia.

Es más, a raíz de últimos y tristes atentados en el mercado navideño de Berlín, nos cuestionamos no ya la necesidad o no de conservación de los datos relativos a las comunicaciones electrónicas, sino a su imperiosa obligatoriedad, por razones de investigación de actividades terroristas.

Cuando decimos datos de comunicaciones electrónicas nos referimos a datos de localización y tráfico.

Según la Sentencia los parámetros que se tienen que seguir para la conservación de los datos por parte de los Estados miembros y en su caso, el acceso por parte de personal autorizado son los siguientes:

1. No se puede conservar de forma indiscriminada, generalizada e indiferenciada cualquier dato relativo a una comunicación electrónica,  por cuanto se puede extraer un perfil muy detallado de la persona física que está siendo vigilada pudiendo vulnerar derechos y libertades fundamentales.

2. La protección del derecho fundamental al respeto de la vida privada exige que las excepciones a la protección de los datos personales no excedan de lo estrictamente necesario. La excepción que justifica la injerencia en la vida privada de las personas es la lucha contra la delincuencia grave. A nuestro modo de ver, fija un concepto demasiado indeterminado por cuanto en un país determinadas conductas y/o actos pueden revestir el carácter de delincuencia grave y en otros, no tener dicha consideración. Parece que el concepto de lucha contra la delincuencia grave se amplía incluyendo “situaciones particulares, como aquellas en las que intereses vitales de la seguridad nacional, la defensa o la seguridad pública estén amenazados por actividades terroristas, podría igualmente concederse el acceso a los datos de otras personas cuando existan elementos objetivos que permitan considerar que esos datos podrían, en un caso concreto, contribuir de modo efectivo a la lucha contra tales actividades”.

3. Cabe la conservación selectiva de datos con la finalidad de lucha contra la delincuencia grave siempre que tal conservación esté limitada a lo estrictamente necesario en relación con las categorías de datos que deban conservarse, los medios de comunicación a que se refieran, las personas afectadas y el período de conservación establecido.

4. Necesidad de la existencia de elementos objetivos que permitan vincular los datos de la persona con delitos graves, lucha contra la delincuencia grave o riesgo grave contra la seguridad pública.

Esta normativa debe basarse en criterios objetivos para definir las circunstancias y los requisitos conforme a los cuales debe concederse a las autoridades nacionales competentes el acceso a los datos. En principio sólo podrá concederse un acceso en relación con el objetivo de la lucha contra la delincuencia a los datos de personas de las que se sospeche que planean, van a cometer o han cometido un delito grave o que puedan estar implicadas de un modo u otro en un delito grave.

Además, el Tribunal de Justicia considera que es esencial que el acceso a los datos conservados esté sujeto, salvo en caso de urgencia, a un control previo de un órgano jurisdiccional o de una entidad independiente. Por otro lado, las autoridades nacionales competentes a las que se conceda el acceso a los datos conservados deberán informar de ello a las personas afectadas.

Habida cuenta de la cantidad de datos conservados, del carácter sensible de esos datos y del riesgo de acceso ilícito a éstos, la normativa nacional debe prever que los datos se conserven en el territorio de la Unión y que se destruyan definitivamente al término del período de conservación de éstos.

En conclusión, la excepción que permite una injerencia en la vida privada de las personas es la lucha contra la delincuencia grave o riesgo grave contra la seguridad pública y existencia de elementos objetivos que permiten vincular a la persona en cuestión con delitos graves.

 

CR CONSULTORES LEGALES COLABORA CON UNICEF

Colabora un año más con UNICEF deseándoles a todos los clientes

 

FELICIDAD Y PROSPERIDAD PARA EL 2017

HAPPINESS AND PROSPERITY FOR 2017

GLÜCK UND ERFOLG FÜR 2017

 

IVA LIBROS ELECTRONICOS VS LIBROS FISICOS

Hace ya algún tiempo publicábamos un post relacionado con la reforma del IVA en <<productos y servicios digitales>>.

En virtud de aquella reforma y por aplicación de la Directiva comunitaria, los empresarios o profesionales que presten servicios por vía electrónica enumerados en la Directiva -donde se incluyen los e-books- tendrán que conocer los diferentes tipos impositivos de los diferentes países que integran la Comunidad, ya que se aplicará el IVA donde radique el destinatario del servicio.

En definitiva, el precio final de e-book estaba determinado por el lugar donde está establecido el cliente final.

Con esta premisa toca valorar que resulta más económico, si comprar un libro electrónico sin soporte físico mediante descarga en la página web del editor o bien comprar un libro con entrega del mismo a través de un soporte físico.

1.¿Cuál es la tributación del libro en soporte físico a nivel europeo y nacional?

De acuerdo con la normativa europea y sentencias del Tribunal de Justicia de la Unión Europea y consultas vinculantes de la Dirección General de Tributos, la aplicación del tipo reducido del IVA queda limitada a aquellos casos en los que se produzca una entrega de bienes, ya sea del propio libro en soporte físico (el mismo libro) o bien del libro electrónico representado en un soporte físico (CD, DVD, USB).

La entrega de un libro en cualquier soporte físico se asimila a una entrega de bienes.

A nivel nacional, de acuerdo con la Ley del IVA se benefician del tipo reducido del 4 por ciento las entregas de bienes consistentes en libros, periódicos, y revistas que no contengan única o fundamentalmente publicidad (…). Aquí, apuntar que la Dirección General de Tributos (DGT) ha extendido el tipo reducido a la entrega de libros electrónicos en soporte físico por aplicación de la Directiva de IVA comunitaria.

De acuerdo con las consideraciones de la DGT:

“tributarán al tipo impositivo del 4 por ciento los libros que se suministren en cualquier medio de soporte físico, en particular los entregados a través de archivos electrónicos dispuestos para su volcado a herramientas de lectura o dispositivos portátiles que permiten almacenar y leer libros digitalizados. Dicho suministro podrá realizarse, a estos efectos, a través de CD-ROM, memorias USB (pen-drives) o cualquier otro soporte físico para su descarga a equipos hardware”.

2.¿Cuál es la tributación del libro electrónico << on-line>>?

La compra de un e-book on-line se considera, no como una entrega de bienes sino como una prestación del servicio realizada por vía electrónica   relativo a la transmisión del contenido digitalizado de libros, no pudiendo beneficiarse del tipo reducido del IVA.

Reciben la consideración de servicios prestados por vía electrónica, de acuerdo con la Ley del IVA[1]: “los servicios que consistan en la transmisión enviada inicialmente y recibida en destino por medio de equipos de procesamiento, incluida la compresión numérica y el almacenamiento de datos, y enteramente transmitida, transportada y recibida por cable, sistema óptico u otros medios electrónicos”.

La Directiva del IVA excluye de forma expresa que los servicios electrónicos  puedan tributar a tipos reducidos.

En consecuencia, la descarga de libros electrónicos a través de una plataforma on-line tributará al tipo general.

3.¿Cuál es la justificación de esta diferencia impositiva?

De acuerdo con las conclusiones del abogado general[2][3] (las cuales a la fecha no han sido ni ratificadas ni rebatidas por el TJUE) la justificación de esta diferencia impositiva, radica en los diferentes costes de distribución entre el libro físico y el e-book.

Los costes de distribución de los e-book son muy inferiores a los del libro físico pudiendo incluso tener precios inferiores de cara al consumidor final aunque tributen a un tipo impositivo superior.

En conclusión, actualmente los e-books como prestación de servicios por vía electrónica mediante su descarga desde una plataforma web sin incorporación a un soporte físico, no se pueden beneficiar del tipo reducido.

Este tipo reducido sólo es aplicable a la entrega de libros en soporte físico ya sea el libro en sí mismo o bien representado en CD, DVD, pen-drive.

Todo ello, sin perjuicio de los avances que se produzcan en <<el Plan de acción sobre el IVA>> que se apuntan en la Comunicación Europea COM (2016) 148 final, de 7 de abril de 2016 donde se trata la diferencia de trato.   

[1] Artículo 69.3) apartado 4 de la Ley 37/1992, de 29 de diciembre del Impuesto sobre el Valor Añadido (IVA).

[2] Artículo 98 apartado, párrafo 2 Directiva del IVA 2006/112/CE 28 de noviembre de 2006.

[3] Conclusiones del Abogado General 8 de septiembre de 2016 Asunto c-390/15.

APP ALERTCOPS Y ALERTA DE SITUACIONES EMERGENCIA

 

1.¿Qué es Alertcops?

Alertcops[i] se trata de una aplicación de movilidad creada por la Secretaria de Estado de Seguridad que tiene como finalidad acercar los Cuerpos y Fuerzas de Seguridad del Estado al ciudadano. Esta aplicación tiene por objeto establecer un canal de comunicación rápido y eficiente con la Policía en caso presenciar y/o ser víctima de un hecho delictivo o cuando nuestra seguridad se encuentra comprometida.

2.¿Cómo se instala Alertcops?

Alertcops es una aplicación que nos bajamos de los almacenes de aplicaciones, -Google Play o App Store- en el Smartphone cuyo funcionamiento y operatividad se encuentra sujeta a un proceso de registro y validación.

Una vez instalada la aplicación aparecerá una pantalla de aviso que nos solicitará que realicemos las siguientes acciones: i) Registro, Alta Ciudadano cumplimentando una serie de datos (DNI, Clave y Teléfono); ii) Validación del Teléfono; iii) Validación del acceso y finalización proceso de registro mediante código enviado por SMS al teléfono facilitado.

3.¿Qué situaciones pueden denunciarse?

La finalidad de Alertcops es crear un canal rápido de alerta ciudadana a través del cual se comunica a la Policía una situación de inseguridad o emergencia. A través de la aplicación se puede comunicar por defecto cualquiera de las siguientes situaciones, las cuales estarán identificadas mediante iconos:

– Robo/atraco/asalto

– Vandalismo, Daño

– Agresión/ Pelea

– Agresión Sexual

– Violencia de Género

– Acoso Escolar

– Perdida/desaparición

– Stop Radicalismos

4.¿Cómo funciona Alertcops?

Una vez comunicada la situación de inseguridad y/o emergencia por parte del usuario, se enviará un mensaje con la posición del ciudadano y la situación de emergencia concreta (p.e. robo). Este mensaje se procesará y enviará al Cuerpo de Seguridad correspondiente que se encuentre en la zona donde está la víctima junto con el geoposicionamiento del dispositivo. Asimismo, indicar que el detalle de la geolocalización puede comprobarse accediendo al menú mapa que dispone la aplicación.

Recientemente, han salido publicadas numerosas noticias que aplauden esta iniciativa, constatan la eficiencia de la misma y la constante implicación de los Cuerpos y Fuerzas de Seguridad en el uso de las nuevas tecnologías como herramienta de comunicación preventiva mediante campañas de sensibilización social y reactiva, como es el caso, mediante la alerta de posibles hechos delictivos.

[i][1]https://alertcops.ses.mir.es/mialertcops/info/infor/info_1_es.xhtml?faces-redirect=true

LOS RIESGOS DE POKEMON GO

Pokemon Go es la última aplicación lanzada por Nintendo y ofrecida por Niantic Inc. que está arrasando entre jóvenes y adultos. Esta app permite, combinar el mundo real con el mundo de ficción de los videojuegos, al ser un juego de realidad aumentada.

La realidad aumentada consiste en una tecnología que permite la superposición de imágenes, textos, fotos y/o cualquier otro elemento que haya sido generado en soporte electrónico para colocarlo en el mundo real. Esta tecnología ya ha sido usada por Google con las famosas Google Glass. Aquí, en particular, Pokemon Go, usa un determinado algoritmo que permite ubicar a los distintos personajes en el mundo físico e interactuar con ellos.

Todo no es diversión con el uso de esta nueva aplicación, por cuanto ya se han producido varios incidentes en diferentes Estados de todo el mundo que alertan de los riesgos asociados a su uso. Sin ir más lejos, recientemente  se han publicado en prensa varias noticias relacionadas con la app, entre ellas, resaltamos las siguientes: i) la primera[i], informa de la intervención de los Mossos d’Esquadra para sacar a dos japoneses por ir cazando Pokemons en el Túnel de la Rovira de Barcelona, poniendo en riesgo su seguridad; ii) una segunda[ii], alerta de la colocación de Pokemons en zonas donde existen minas, hecho que ha sido puesto de manifiesto por una organización no gubernamental de Bosnia; iii) una tercera[iii], advierte que el uso de la aplicación es una fuente de atracos ya que la están utilizando ladrones y atracadores para cometer sus fechorías, atrayendo a las víctimas a la ubicación que ellos desean mediante la activación de determinadas funcionalidades de la aplicación.

Los principales riesgos asociados al uso de la aplicación son los siguientes:

  1. Localización permanente del usuario

Al tener que estar activado en todo momento el GPS del Smartphone para poder usar la aplicación, estás permanentemente localizado con todas las implicaciones que ello supone. Como todos sabemos, los datos de localización indican la posición geográfica de un equipo terminal de un servicio de comunicaciones electrónicas disponible al público. De acuerdo con la Política de Privacidad de Pokemon, estos datos de localización son necesarios para poder usar los servicios, los cuales serán recogidos, almacenados y compartidos con terceros que usan la aplicación. Por ejemplo, cuando se realizan ciertas acciones durante el juego, el nombre de usuario y la localización será compartida a través de la aplicación con otros usuarios que están jugando. Aquí, es evidente que los terceros que hacen uso de la aplicación también pueden utilizarla con finalidades no lúdicas, localizando posibles objetivos susceptibles de ataque. En este sentido, las condiciones del servicio prevén la exoneración de cualquier tipo de responsabilidad asociada a las interacciones con otros usuarios derivadas del uso de la aplicación y que la empresa proveedora no investiga ni pregunta sobre los antecedentes de los usuarios del servicio, trasladando por tanto cualquier tipo de responsabilidad al usuario advirtiéndole de la necesidad de extremar las precauciones asociadas a las comunicaciones en línea, fuera de línea e interacciones reales con otros usuarios.

  1. Privacidad del usuario

Para poder usar la aplicación debes facilitar tu cuenta de correo electrónico de Gmail y/o correo electrónico usado para registrarse en Facebook, y/o correo electrónico de registro en el Pokemon Trainer Club (PTC) afirmando en su Política de Privacidad, que las configuraciones de privacidad de Google, Facebook y PTC, permiten el acceso a Pokemon. En consecuencia, Pokemon accede a los datos personales asociados a una cuenta de correo electrónico de un tercer proveedor, incluso puede acceder al nombre y apellidos reales y/o cualquier otra información que permite identificar a la persona y que voluntariamente el jugador decide hacerla pública. Imaginemos el caso de un jugador que usa su nombre y apellidos reales. Se recomienda por tanto hacer uso de un nickname que no permita identificarnos para no poner en riesgo nuestra privacidad.

En este punto, hemos de añadir que en el mercado, también existen aplicaciones maliciosas que simulan ser la aplicación real sin serlo, que una vez bajadas roban toda la información de nuestro dispositivo móvil, incluidas claves de acceso a banca electrónica.

  1. Riesgos para la seguridad de las personas usuarias y terceros

Como ya apuntábamos anteriormente, al parecer los Pokemon pueden estar en los lugares más recónditos, campos de minas, vías del metro, propiedades privadas, etc. a pesar de que los mapas se vayan actualizando, lo que favorece los accidentes y/o distracciones que pueden poner en peligro nuestra integridad física y la de terceros.

De acuerdo con los términos y condiciones del servicio, el usuario acepta que el uso de la aplicación será bajo su propio riesgo y advierte de la conveniencia de contratar un póliza de seguro de vida, seguro médico, lesiones personales, etc. para cualquier lesión que pueda sufrir durante el uso de la aplicación. Si se ocasiona un daño a un tercero derivado del uso de la aplicación, se deberá responder por ello haciendo frente a las indemnizaciones de daños y perjuicios asociadas.

  1. Facturas elevadas

La descarga de la aplicación es gratuita, pero para poder subir de nivel u obtener un mayor rendimiento de los servicios que ofrece la aplicación, es aconsejable comprar objetos, cuyo coste de acuerdo con la información que aparece en la aplicación, va desde 0,99 euros hasta 99,99 euros denominados productos de compra en la aplicación. A estos gastos también deben sumarse, los consumos extras de datos que podría facturar el operador de telecomunicaciones una vez agotada la tarifa contratada en cada caso.

  1. Riesgos para los menores

Para bajar la aplicación se necesita tener 13 años y sí se es menor, es necesario el consentimiento de los padres y tutores, consentimiento que se obtiene de acuerdo con un procedimiento establecido en la Política de Privacidad en el apartado Accounts with Children. Aquí nos preguntamos, ¿qué ocurre con la nueva edad fijada en el Reglamento Europeo de Protección de Datos que eleva a 16 años la edad mínima para consentir en sede de menores que usan un servicio de la sociedad de la información? Entendemos que se ha fijado esta edad por defecto y a modo orientativo, por cuanto es la edad donde los menores alcanzan la suficiente madurez para poder ser conscientes de las implicaciones que supone el envío de datos personales y tratamiento por terceros. Sin embargo, en España la edad mínima para consentir se fija en 14 años sin distinción entre consentimiento con la finalidad de ofrecer un servicio de la sociedad de la información y/u otra finalidad distinta.

 

[i]http://www.lavanguardia.com/local/barcelona/20160716/403266486888/mossos-sorprenden-pareja-turistas-japoneses-cazando-pokemon-go.html

[ii]http://internacional.elpais.com/internacional/2016/07/20/mexico/1468980957_083934.html

[iii]http://www.elconfidencial.com/tecnologia/2016-07-11/usan-el-juego-pokemon-go-para-atracar-a-nueve-personas-a-punta-de-pistola_1231088/

 

ADOLESCENTES, PRIVACIDAD Y CIBERDELINCUENCIA

Introducción.

La privacidad es una asignatura pendiente en los adolescentes de nuestra generación pues parece, que cuanto uno más exhibe, publica y/o comparte sobre su vida privada más  <<cool>> y <<popular>> se vuelve en el grupo. Sin embargo, nuestros adolescentes cuya franja acotamos -entre 12 y 17 años- no son conscientes de los riesgos que para su persona comporta la difusión de contenidos y/o imágenes inapropiadas.

Todos sabemos que nos encontramos ante un cambio de paradigma, con la llegada de la revolución digital y la entrada por la puerta grande de las nuevas tecnologías tanto en nuestro ámbito profesional y como personal, generándose, por un lado, nuevas formas de hacer negocios y por otro, la transformación de nuestros hábitos sociales y el modo de relacionarnos, especialmente entre los adolescentes.

De acuerdo con las últimas encuestas publicadas, el porcentaje de menores usuarios de TIC y en particular, de usuarios de dispositivos móviles[1] por tener uno a su disposición va incrementándose en función de la edad. Fijándose la mínima edad en 10 años de los cuales 29,7% disponen de móvil, 12 años 69,5% hasta alcanzar 90,4% a los 14 años. El 88,6% de los menores españoles con móvil entre 10 y 16 años hace fotografías con su terminal, el 48,2% las envía a otras personas, y el 20,8% las publica en Internet[2]. Aquí, apuntar que un dispositivo móvil y en concreto, los Smartphones, como todos conocemos son herramientas que permiten la tradicional comunicación entre usuarios, pero a su vez, publicar contenidos, grabar imágenes, compartir archivos.

Nadie duda que las nuevas tecnologías suponen un gran avance siempre y cuando se haga un uso racional, seguro y prudente de aquellas y especialmente un “uso informado” cuando nos referimos a los adolescentes.

¿Qué es un uso informado de las nuevas tecnologías dirigido a adolescentes?

Un uso informado supone que los adolescentes sean conscientes de las “normas de etiqueta” que rigen las nuevas tecnologías, en el sentido de conocer qué actuaciones son correctas y cuáles no. En este sentido, deben saber que todas aquellas acciones que no realizan fuera de la red (presencialmente) porque son reprochables desde el punto de vista ético y/o moral, o porque pueden constituir conductas punibles penalmente, tampoco las deben llevar a cabo en la Red. Cuando usamos el término “Red” lo hacemos en sentido amplio, esto es, incluyendo cuentas sociales, aplicaciones para móviles, dispositivos móviles, etc.

Esta premisa -uso racional, seguro, prudente e informado- debería ser la ideal y de fácil cumplimiento, sin embargo en la realidad práctica no es así porque muchos padres proporcionan un dispositivo móvil de última generación sin formar previamente sobre los usos correctos y/o incorrectos, lo que se traduce en un abuso de usos incorrectos unido a un supuesto anonimato en el que se escudan los adolescentes al realizar acciones contrarias a la ley y/o que comprometen su privacidad y la de terceros.

La clave por tanto es la formación, orientándoles y educándoles en el uso de las nuevas tecnologías para que ellos mismos sean lo suficientemente maduros y conscientes de las acciones que realizan.

¿Qué usos no son correctos?

Los adolescentes no deberían usar sus dispositivos para la realización de cualquiera de las siguientes acciones: i) criticar, insultar, avergonzar, menospreciar, acosar y/o atentar contra el honor de sus compañeros o de terceros; ii) publicar imágenes y/o fotos comprometidas suyas o de terceros y/o fotos de terceros sin consentimiento; iii) usurpar la identidad de otra persona, en el sentido de hacerse pasar por él y/o ella en redes sociales y/o atribuyéndoles contenidos y manifestaciones falsas que jamás han publicado; iv) etiquetar a otras personas con contenidos nocivos o inapropiados; vi) publicar información personal propia y/o de terceros (amigos, conocidos, compañeros, familiares).

En consecuencia, <<antes de publicar hay que pensar>> qué contenido y/o información (imágenes, vídeos, textos, etc.) se va a subir en la Red, redes sociales y/o a través de las aplicaciones pues <<una vez publicado se pierde el control>>.

Con el uso de aplicaciones como <<Snapchat>> se ha creado la falsa apariencia de que la información enviada y/o compartida se <<autodestruye>> en un período determinado de tiempo, sin ser consciente el emisor del mensaje que el receptor de los contenidos puede almacenarlos a su libre antojo una vez recibidos para publicarlos en Internet, en aplicaciones de mensajería instantánea o incluso se pueden usar aplicaciones que permiten realizar la captura de las imágenes.

¿Cuáles son los riesgos asociados a la falta de noción de privacidad?

Los adolescentes deben ser conscientes que publicar, subir, difundir, o compartir determinada información en entornos tecnológicos puede conllevar serios riesgos a la privacidad de su persona y en algunos casos, sus conductas pueden ser punibles civil y/o penalmente.

Los riesgos asociados a la falta de cultura y formación en privacidad van desde el grooming, pasando por el sexting, cyberstalking, y cyberbullying, hasta la geolocalización.

El <<grooming>> se asocia a conductas que pretenden un control emocional del menor con la finalidad de obtener un encuentro sexual. El <<sexting>> se asocia al envío y/o publicación de imágenes, videos subidos de tono o de contenido sexual entre los adolescentes. El <<cyberstalking>> se asocia a la conducta de acoso usando medios tecnológicos.

Las sentencias recientes más significativas relacionadas con los delitos contra la privacidad y libertad de las personas, recogen los siguientes requisitos que debe reunir el tipo penal:

<<Stalking>>: conducta delictiva tipificada en el actual artículo 172 ter del Código Penal castigándose el hecho de acosar de forma insistente y reiterada sin estar autorizado, exigiéndose la concurrencia de un patrón de conducta, una estrategia sistemática de persecución, una finalidad determinada y una alteración grave y sustancial en la vida cotidiana de la víctima. El bien jurídico protegido es la protección de la libertad de obrar y reconocimiento de un derecho al sosiego y tranquilidad personal. Condenó a una multa de 480 euros y prohibición de acercarse a la víctima, a su domicilio, a los lugares frecuentados y prohibición de comunicación durante seis meses. Sentencia Juzgado de Instrucción nº3 de Tudela de 23 de marzo de 2016.

<<Grooming>>: conducta delictiva tipificada en el artículo 183 del Código Penal, castigándose las conductas encaminadas a establecer una relación y un control emocional sobre los menores con el objetivo último de obtener un encuentro sexual. El bien jurídico protegido es la indemnidad sexual de los menores de 16 años y su puesta en peligro. Necesidad de existencia de medios tecnológicos, contacto con menor de 16 años para tener contacto sexual en línea y/o un encuentro físico con la voluntad de cometer abusos sexuales, así como, la realización de actos materiales encaminados al acercamiento (compra móvil, entrega de dinero) más allá del mundo digital. Pena de cuatro años de prisión, más cuatro años más de libertad vigilada e inhabilitación para cualquier profesión relacionada con menores. Sentencia del Tribunal Supremo 823/2015 de 24 de febrero.

¿Cuál es la edad mínima para consentir sobre el tratamiento de los datos personales?

El reciente <<Reglamento de Protección de Datos Europeo[3]>> establece dos requisitos cuando se tratan datos de carácter personal de menores. Por un lado, fija en 16 años la edad mínima para consentir, esto es, amplia la edad en la que considera que los adolescentes tienen la suficiente madurez para poder decidir sobre sus datos de carácter personal y por otro, este consentimiento libremente prestado por parte del menor lo acota al tratamiento de sus datos personales en <<actividades relacionadas con la prestación de servicios de la sociedad de la información>> dirigidas al menor. Aquí nos preguntamos, qué edad será la mínima para el tratamiento de datos personales de los menores cuando las empresas pretenden usarlos para finalidades diferentes a la prestación de servicios de la sociedad de la información, entendemos que en este caso sigue vigente la edad límite de 14 años regulada en la normativa nacional, Real Decreto 1720-2007, Reglamento que desarrolla Ley de Protección de Datos de Carácter Personal.

Conclusiones.

A modo de cierre todos los padres y educadores debemos practicar una escucha activa de los adolescentes, educándolos en valores y acompañándolos en los procesos de creación y maduración personal. Nuestro objetivo tiene que ser concienciarles sobre un uso prudente, adecuado y racional de las nuevas tecnologías.

En consecuencia, los adolescentes han de pensar antes de publicar en la red, redes sociales, aplicaciones, WhatsApp y similar ya sean imágenes, vídeos, textos porque una vez publicado se pierde el control.

Junto con la formación, otra pieza angular es generar y trabajar la confianza necesaria para que ellos mismos puedan contar cualquier experiencia desagradable que hayan podido tener en los entornos tecnológicos.

En este contexto estimamos muy conveniente la creación de una asignatura obligatoria en los programas educativos que trate esta cuestión, que unida a la labor educativa de los padres evitará situaciones de ansiedad y depresión, asociadas a una experiencia traumática.

[1] http://www.ine.es/prensa/np933.pdf

[2] Observatorio INTECO y Orange (2010). Estudio sobre seguridad y privacidad en el uso de los servicios móviles por los menores españoles. Disponible en:

http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_moviles_menores.

[3] Artículo 8 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.