¿ Y después del 25 de mayo de 2018… qué?

Pasó, como pasa todo.

El 25 de mayo de 2018 pasó, causando a su paso un gran revuelo social, mediático y empresarial. Fue como un tsunami. Logró que hablar de privacidad, de proteger tus derechos, de conocerlos, de denunciar, del nuevo reglamento… fuera algo usual y cotidiano en prensa, radio, televisión, redes sociales y en charlas de amigos no necesariamente relacionados con el derecho.

Hoy, a poco más de un mes de cumplirse el primer aniversario de que fuera de plena aplicación “…el Reglamento Europeo de protección de datos” (como de un modo familiar se le conocía) lo que cabe preguntarse es:

¿ Y después del 25 de mayo de 2018… qué ?

Porque la adecuación de las empresas al nuevo marco reglamentario europeo no era, ni es, una opción.

Pero a diferencia de un tsunami , que llega normalmente por sorpresa (casi sin avisar y sin darnos margen de reacción) arrasa y se va, el Reglamento (UE) 2016/679 llegó en 2016 precedido de muchos pequeños oleajes y, además, nos concedió una prórroga de dos años, para que sus efectos no pillaran por sorpresa a empresas y profesionales..

Todos sabemos ya lo que pasó: poca gente movió ficha, y a finales de abril-primeros de mayo todo fueron prisas para tratar de adecuarse al nuevo marco reglamentario, aderezadas con las dudas en su interpretación y aplicación, que la Agencia Española de Protección de Datos, l’Autoritat Catalana de Protecció de Dades y la Agencia Vasca de Protección de Datos se han ido esforzando en mitigar, con la publicación de distintas Guías, Prácticas, Listados de cumplimiento.

El Reglamento 2016/679 ha llegado para quedarse sin dejar, inicialmente al menos, ningún panorama desolador como no podía ser de otro modo en una normativa que lo que pretende es garantizar derechos. Pero, como los tsunami, sus efectos pueden llegar a ser devastadores para las empresas y/o profesionales que no hayan tomado las medidas oportunas para adecuarse a él.

Y con el Reglamento siendo ya de plena aplicación, en diciembre 2018 se publicó en España “la nueva LOPD”, que ahora recibe la extensión de “GDD” (garantía de los derechos digitales) y que lo que ha hecho ha sido adecuar nuestra LOPD al nuevo Reglamento Europeo. Es la LOPDGDD (Ley orgánica de protección de datos y garantía de los derechos digitales).

Delegado de protección de datos, consentimiento, derecho a la portabilidad y a la limitación del tratamiento, responsable de tratamiento, evaluación de impacto, análisis de riesgos. brechas de seguridad, responsabilidad proactiva, protecció de datos desde el diseño y por defecto… son algunos de los términos con los que debemos ya familiarizarnos e incorporarlos a nuestro día a día: en las empresas, no hay “uno que se encarga de lo de la protección de datos”. Es misión de toda empresa el hacer llegar a todos sus empleados la cultura de la privacidad.

Pronto llegará el nuevo 25 de mayo… ¿en qué situación se encuentra tu empresa?.

DEJAR DE RECIBIR PUBLICIDAD NO DESEADA: NADIE DIJO QUE FUERA SENCILLO…

… pero medios, formas y maneras hay.

Si después de ejercer tus derechos continúas recibiendo publicidad no deseada, puedes presentar una reclamación en la Agencia Española de Protección de Datos para que tutele tu derecho o presentar una denuncia.

  • Puedes presentar una reclamación cuando el responsable al que te hayas dirigido no haya contestado tu solicitud o se haya negado a gestionarla, o cuando recibas publicidad diez días hábiles después de que haya recibido tu solicitud. En estos casos será necesario que aportes copia de la publicidad recibida, en su caso, y alguno de los siguientes documentos:
    • La respuesta dada por el responsable del fichero a tu solicitud
    • Copia de la solicitud sellada por el responsable del fichero
    • Acuse de recibo o certificado del servicio postal o de mensajería que hayas utilizado o cualquier otro documento o soporte que deje constancia de la recepción de tu solicitud por el destinatario

Continuar leyendo “DEJAR DE RECIBIR PUBLICIDAD NO DESEADA: NADIE DIJO QUE FUERA SENCILLO…”

TRES LETRAS QUE DAN MUCHO JUEGO…

… aunque es la central la que marca la diferencia.

A menudo manejamos -quizá más de lo que sería deseable- anglicismos en nuestro día a día cotidiano, tanto a nivel profesional como personal.

Es el caso de los cargos profesionales de tres letras; en todos, coinciden en la primera (C)  y en la tercera (O), porque todos son “chief”, y todos son “officer”. Pero lo que marca la diferencia es la letra que anda de por medio.

Podemos “jugar” en la posición central con la  E,   con la  F,   con la  M,   con la  O,   con la  I,   con la  T   y   con la  C

Estamos hablando de:

** CEO (Chief Executive Officer). Consejero delegado o Director ejecutivo

** CFO (Chief Financial Officer). Director Financiero

** CMO (Chief Marketing Officer). Dirige las actividades de Marketing

** COO (Chief Operating Officer). Director de Operaciones

** CIO (Chief Information Officer). Responsable de los sistemas de tecnologías de la información de la empresa a nivel de procesos (planificación)

** CTO (Chief Technology Officer). Responsable técnico de los sistemas de información (ejecución)

** CCO (Chief Communications Officer). Responsable de la reputación corporativa, del Branding y de la relación con los medios

EL DERECHO A LA PORTABILIDAD DE LOS DATOS EN EL NUEVO REGLAMENTO (RGPD 2016/679)

¿Qué implica el ejercicio del Derecho a la Portabilidad de los Datos?

Dentro del marco de protección previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), los artículos 15 a 18 recogen los derechos de Acceso, Rectificación, Cancelación y Oposición que el titular puede ejercer ante el Responsable del Tratamiento, para garantizar su derecho fundamental a la autodeterminación informativa respecto a su información personal (Art. 18 de la Constitución Española). El Real Decreto 1720/2007, que aprueba el Reglamento de desarrollo de la LOPD, establece el procedimiento, requerimientos y alcance para su ejercicio.

Con la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD 2016/679) encontramos varias novedades en lo referente a los derechos reconocidos al titular. Se definen nuevos derechos como el Derecho a la supresión o Derecho al olvido -del que se ha oído hablar a colación del caso Costeja- o el derecho a la limitación del tratamiento.

En esta ocasión vamos a profundizar en el Derecho a la Portabilidad de Datos.

El artículo 20 del RGPD 2016/679 define este nuevo derecho de la siguiente forma:

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.”

En otras palabras, permite a los interesados solicitar a un Responsable del Tratamiento sus datos personales en un formato digital, con el objetivo de disponer de ellos y facilitar su transmisión a otro Responsable del Tratamiento, complementando así el derecho de acceso.

La referencia que hasta el momento se tenía del Derecho a la Portabilidad era en el ámbito de las Telecomunicaciones. La Ley 9/2014, General de Telecomunicaciones (LGTel) establece que el acceso se facilita para todo tipo de comunicaciones electrónicas, para todas aquellas que se realicen mediante cualquier modalidad de los servicios de telefonía y transmisión de datos, incluyendo comunicaciones de vídeo, audio, intercambio de mensajes o ficheros. Pero en lo referente a la portabilidad, el supuesto de hecho es la conservación del número de abonado (Art. 21 LGTel), solicitando la portabilidad del número de teléfono de una compañía telefónica a otra. En el caso de la Privacidad, el RGPD establece que la totalidad de los datos personales podrán ser transferidos en base al Derecho a la Portabilidad, sea cual sea su sector.

El acuerdo adoptado el 13 de diciembre de 2016 por el Grupo de Trabajo del Art. 29 de la Directiva Europea UE/95/46 (GT29), establece las Directrices sobre el derecho a la portabilidad de los datos

(http://www.agpd.es/portalwebAGPD/internacional/textosynormas/textos_union_europea/textos_articulo_29/common/es_es_wp242_en_40852_PORTABILIDAD.PDF).

Para ello, nos indica diferentes ejemplos de la casuística para su ejercicio. El derecho a la portabilidad puede darse, p.e (“… cuando una persona tiene interés en recuperar su actual lista de reproducción de un servicio de transmisión de música para saber cuántas veces ha escuchado unos temas concretos con el fin de decidir que música adquirir en otra plataforma).

En el ámbito de la Protección de Datos, el Derecho a la Portabilidad puede configurarse desde los siguientes puntos de análisis:

A.- Objeto del derecho: El interesado podrá solicitar aquellos datos que hayan sido proporcionados por él mismo de forma activa y consciente. A modo de ejemplo, pueden solicitarse todos aquellos datos que el Responsable del Tratamiento haya requerido para el registro de usuarios en cualquier cuenta, o incluso aquellos datos que se generan a partir de las actividades de los usuarios en virtud del uso de un dispositivo o servicio (p.e: Historial de búsquedas).

 B.- Procedimiento para el ejercicio: Para que el interesado pueda solicitar la transmisión de sus datos a otro Responsable del Tratamiento, deberán darse los siguientes requisitos:

1º Que los datos sean tratados de forma automatizada por el Responsable del Tratamiento de origen.

2º Que los datos se hayan suministrado por la persona interesada.

3º Que el tratamiento sea legitimado en base al consentimiento del titular, o bien en base a la ejecución de un contrato entre titular y Responsable del Tratamiento.

C.- Actuaciones del Responsable del Tratamiento de origen: Deberá entregar los datos solicitados, “…junto con todos aquellos metadatos como sea posible con el mejor nivel de granularidad”, a través de medios electrónicos, dotando la comunicación de los mecanismos de protección y seguridad necesarios para garantizar la integridad, confidencialidad y disponibilidad de la información objeto de transmisión.

Exención de responsabilidad: Una vez los datos han sido transmitidos, el Responsable del Tratamiento de origen, que responde al ejercicio de la portabilidad, no será responsable del tratamiento llevado a cabo, posteriormente, por el interesado o por el Responsable del Tratamiento de destino o terceros indicados por el interesado.

D.- Plazos para el ejercicio y respuesta: El plazo para dar respuesta a un ejercicio del derecho a la portabilidad es de un mes a contar desde la recepción de la solicitud, o bien de tres meses en casos de extrema complejidad sobre el volumen de los datos a transmitir o del sistema utilizado para una correcta aplicación de las medidas de seguridad que correspondan.

En última instancia, el objetivo de este derecho es facilitar la forma de transmisión de los datos del titular de un Responsable del Tratamiento a otro, siempre en base a la legitimación para la transmisión y la especial observancia de las adecuadas medidas de seguridad.

En el ámbito de las telecomunicaciones este derecho ha perseguido, claramente, el ampliar el poder de elección de operador por el titular dentro del mercado a partir de la facilidad de copiar y/o transmitir los datos de una operadora a otra dentro de los entornos digitales. Ha sido un elemento clave para el fomento de la competencia y la mejora de los servicios.

En el caso de la protección de datos veremos cómo, en las inminentes reformas legislativas que se avecinan, se acabará configurando el ejercicio de este derecho.

“¡ …S’HA MATAO PACO ! (LA IMPORTANCIA DE LA GESTIÓN DE DERECHOS EN INTERNET)

Hay vídeos, como el conocido por su frase de “… s’ha matao Paco, que se han hecho virales y han gozado de gran popularidad durante los últimos años gracias a su reproducción en las diferentes ventanas de difusión, dada la posibilidad de poder compartir contenidos en redes sociales o a través de aplicaciones de mensajería y hasta su aparición en programas de televisión gracias a plataformas como Youtube.

Hoy en día quien más y quien menos dispone de un dispositivo de grabación de imagen y audio de calidad prácticamente de calidad HD en su bolsillo; y la creación y difusión de contenidos en Internet por parte de particulares se multiplica día a día.

La profesionalización paulatina de muchas actividades con base digital es ya una realidad y términos como “youtubers”, “bloggers”, “community managers”, ya nos son familiares.

Sin embargo, la mayoría de personas que se inician en las profesiones digitales no son conscientes de las implicaciones legales que supone esta avalancha de generosa creatividad, sobretodo en términos de gestión de derechos y su traducción directa en términos económicos.

Del citado vídeo se han realizado multitud de transformaciones del mismo, que han dado lugar a obras derivadas tales como parodias, GIFS, vídeos compuestos o memes y éstos, a su vez, se han venido publicando, transmitiendo y reproduciendo en diversos medios de comunicación, en diferentes soportes y sin una limitación geográfica, generando una serie de ingresos económicos que el autor del vídeo -o el sujeto cuyos derechos se explotan- no están percibiendo. Al final, en la cadena de difusión, el único ingreso económico que recibe el autor es el ingreso por publicidad de Youtube.

Pero, imaginemos el caso contrario: creamos un vídeo que se convierte en viral, pero resulta que lo hacemos sin obtener los correspondientes consentimientos o licencias de uso de los sujetos o elementos que en el mismo aparecen o se utilizan. Éste podría ser el caso del youtuber MrGranBomba en el vídeo en el que llama “cara anchoa” a un repartidor. En él se utiliza la imagen y la voz de éste último sin su consentimiento, así como una marca sin la autorización de su titular. El youtuber deberá afrontar una serie de responsabilidades legales por la difusión de este vídeo, que bien hubiera podido evitar de haber sabido cómo gestionar todos los permisos y licencias.

En el caso de “S’ha matao Paco” todos estos derechos los ha gestionado la cadena de televisión que produjo el programa del cual se obtuvo el extracto; y ésta habrá blindado pertinentemente toda la cadena de derechos y a cada uno de los afectados, abonando en su caso las cantidades pactadas con cada uno, pero… ¿qué sucede si somos nosotros, como usuarios individuales, los que subimos nuestro vídeo y se convierte en el nuevo viral del momento? ¿Cómo nos blindamos para percibir la remuneración que nos corresponde en cada caso y por cada concepto?.

La conclusión es clara: debemos empezar a regular este nuevo escenario, reconociendo los diferentes derechos que entran en juego, facilitando la correcta gestión de cada uno de los diferentes permisos y licencias necesarios y estableciendo mecanismos que garanticen que los titulares de cada uno de los derechos en juego tienen la compensación económica que les corresponde.

INSTALACIÓN DE CÁMARAS PARA EL CONTROL DE LOS EMPLEADOS

El Tribunal Supremo (TS) ha venido matizando, en sus últimas sentencias relacionadas, los requisitos formales para la instalación de sistemas de vigilancia en los centros de trabajo y el uso válido de las vídeo grabaciones como prueba para el despido disciplinario de los empleados.

Ya se había establecido con anterioridad la no exigencia del consentimiento de los empleados para la captación de su imagen y/o voz a través de los sistemas de vigilancia, pues la relación contractual legitima la grabación de las imágenes de los mismos en el centro de trabajo dentro de los límites establecidos para el control empresarial, si bien, hasta las más recientes sentencias, el criterio general del Tribunal exigía a la empresa la comunicación efectiva de la implantación de dichas medidas a los trabajadores, informándoles de forma específica sobre el uso y destino de los datos. Con la introducción del nuevo criterio, tampoco se exigirá a los empleadores esta información expresa a los trabajadores, bastando el cumplimiento del deber de información genérico, siempre que se cubran los requisitos de información incluidos en la Instrucción 1/2006 de la Agencia Española de Protección de Datos (colocación del cartel o distintivo oficial de vídeo vigilancia).

No obstante, la reciente doctrina del TS sólo puede ser extensible a los supuestos que superen el principio de proporcionalidad, ya que para analizar la constitucionalidad de la medida -restrictiva del derecho a la intimidad de los empleados- el Tribunal Supremo valorará si la misma supera la estricta observancia del principio de proporcionalidad, es decir,

  • si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad);
  • si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad);
  • y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

“No solamente lo sabe por ser de común conocimiento para los empleados sino también por existir carteles indicadores. Es conocedora de que en lugar en que se encuentra, zona de almacén dedicada a la compactación, no es un área de privacidad como lo son vestuarios y aseos. La presencia de las cámaras en la mayor parte del centro de trabajo sugiere una finalidad protectora del patrimonio empresarial y la grabación de conductas que atenten contra esa finalidad como lo prueba que su instalación tuvo un detonante, las múltiples pérdidas últimamente sufridas lo que convierte a todas las personas que se encuentren en el recinto en sujetos de sospecha y es esa la razón de ser de las cámaras. Así, en un momento dado, permiten localizar la conducta irregular de dos trabajadoras, la demandante y la cajera principal, al menos según lo noticiado en estos autos.”

En resumen, para justificar la validez del despido disciplinario basándose en actuaciones de los empleados captadas por las cámaras de vídeo vigilancia, no sólo se valorará el cumplimiento del deber de información genérico -incluido en la Instrucción 1/2006- sino que deberá tenerse en cuenta el lugar de colocación de las cámaras y si las medidas de control resultan proporcionales, necesarias e idóneas para los fines para los que se utilizan.

¿ ES LEGAL LA INSTALACIÓN DE CÁMARAS DE VIDEO-VIGILANCIA FALSAS O SIMULADAS CON FINES DISUASORIOS ?

La captación de imágenes a través de cámaras de vídeo vigilancia constituye un tratamiento de datos personales, y por tanto, el tratamiento de dichos datos debe estar sometido a los principios y obligaciones derivados de la LOPD y la Instrucción 1/2006 de la Agencia Española de Protección de Datos.

No obstante, se nos plantean diversas cuestiones en relación con la instalación de videocámaras simuladas.

Dado que no existe tratamiento de datos, esto es, la grabación de imágenes, ni siquiera la mera reproducción de las mismas… ¿es legal instalar cámaras falsas con la finalidad de simular la video vigilancia? ¿Nos encontramos ante un supuesto sometido a la LOPD y a la Instrucción de video vigilancia?

Lejos de emitir algún informe al respecto que aclarase estas dudas de forma taxativa, la Agencia Española de Protección de Datos, venía aplicando un criterio restrictivo en las resoluciones derivadas de procedimientos sancionadores, apercibiendo a los responsables que instalaban cámaras falsas, “En el supuesto presente, no existe constancia de que las cámaras instaladas en el lugar denunciado funcionen y capten imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, procede el archivo las presentes actuaciones”, así como solicitando la retirada de las cámaras simuladas, “resultaría plenamente fundada la imposición de una sanción si en el futuro continuaran ubicadas las cámaras en el establecimiento, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas, de conformidad con el régimen sancionador previsto en la citada Ley, con multas de hasta 300.506,05 €“, amén de algunas resoluciones que acordaban la imposición de sanciones a aquellos que, tras haber sido apercibidos y requeridos a retirar las cámaras falsas en primera instancia, no las hubieren retirado.

De dichas resoluciones había que extraer la conclusión de que a la Agencia Española de Protección de Datos no le hacía gracia la instalación de cámaras simuladas, y por tanto, ponía impedimentos, obligando a la desinstalación o, en su defecto, al cumplimiento de la normativa aplicable. No obstante, y a tenor de las más recientes resoluciones, en particular la R/00109/2016, la propia Agencia cambia de criterio con respecto a las resoluciones anteriores e incluso lo admite en las conclusiones de la propia resolución, “esta Agencia considera necesario revisar el mencionado criterio, en los términos que se plasman en la presente resolución. De este modo la inexistencia de prueba alguna, acerca de un posible tratamiento de datos de carácter personal, implica que la presente resolución de archivo no incorpore ningún tipo de requerimiento, al prevalecer el principio de presunción de inocencia.”

Del mismo modo, la Agencia Catalana de Protección de Datos emitió un Dictamen (1/2009, de 10 de febrero) avalando el criterio más reciente de la AEPD, en el que esclarecía que “La instalación de cámaras de video vigilancia falsas con fines disuasorios en un espacio, no supone un tratamiento de datos personales, si no son aptos para captar ni imágenes ni voces. Por tanto, la normativa reguladora del derecho fundamental a la protección de datos de carácter personal no sería de aplicación a estas cámaras simuladas.”

Por tanto, y a tenor de este cambio de criterio, la instalación de cámaras de vídeo vigilancia falsas, debería encontrarse fuera de los ámbitos de aplicación de la LOPD al no existir tratamiento de datos y operar el principio de presunción de inocencia. No obstante, resultaría recomendable actuar con cierta diligencia y, cumplir con obligaciones tales como la inclusión de los carteles informativos de vídeo vigilancia en aquellos espacios en los que se hallen las cámaras simuladas. De todas formas, estaremos atentos al rumbo que sigue la AEPD en resoluciones futuras.

ME RALLAN EL COCHE EN EL GARAJE. ¡ VOY A GRABARLO !

Hay que tener en cuenta que se aplicará la legislación de protección de datos siempre que el garaje forme parte de un espacio compartido por el que puedan transitar el resto de los propietarios o terceros que acceden al mismo.

Si van a grabarse las imágenes, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD).

Además se colocará en lugar visible al menos un cartel que informe de que se está en una zona videovigilada (con la indicación clara de la identidad del responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos). De igual modo, se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos.

Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en las actas correspondientes. Así, no se captarán imágenes de plazas de aparcamiento ajenas, ni imágenes de la vía pública, terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Y si van a utilizarse cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.

La contratación de un servicio de videovigilancia externo, o la instalación de las cámaras por un tercero, no exime a su titular del cumplimiento de la legislación de protección de datos.

El acceso a las imágenes será exclusivamente del responsable del sistema sin que puedan ser accesibles por personas distintas; y si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por la persona que pueda acceder a dichas imágenes. A las imágenes grabadas accederá sólo la persona autorizada que deberá introducir un código de usuario y una contraseña.

Las imágenes serán conservadas durante un plazo máximo de un mes desde su captación. Las imágenes que se utilicen para denunciar delitos o infracciones -como puede ser el caso- se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que lo requieran. No podrán utilizarse para otro fin. La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del fichero será el documento que ampare a este para ceder datos a las mismas o a los Juzgados y Tribunales que lo requieran.

(Fuente: AEPD)

INSTALACIÓN DE CÁMARAS DE VIDEOVIGILANCIA EN COMUNIDADES DE PROPIETARIOS

En una de sus “fichas prácticas”, la Agencia Española de Protección de Datos (AEPD) indica que para la instalación de cámaras en zonas comunes será necesario el acuerdo de la Junta de Propietarios, que quedará reflejado en las actas de dicha Junta y que se recomienda que en el acuerdo se reflejen algunas de las características del sistema de videovigilancia, como el número de cámaras o el espacio captado por éstas.

Siempre que vayan a grabarse imágenes de personas, y previamente a su captura, se procederá a la inscripción del fichero en el Registro General de la AEPD.

Deberán colocarse (en los distintos accesos a la zona video vigilada y, en lugar visible) uno o varios carteles en los que se informe que se accede a una zona videovigilada indicando en ellos de forma clara la identidad del responsable de la instalación y ante quién y dónde dirigirse para ejercer los derechos que prevé la normativa de protección de datos. También se pondrá a disposición de los afectados la restante información que exige la legislación de protección de datos. Esta información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.

Si se pretende que las imágenes puedan ser utilizadas para el control de los trabajadores, existenrequisitos adicionales que hay que cumplir.

No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble. Las cámaras sólo podrán captar imágenes de las zonas comunes de la comunidad. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno. Y si se utilizan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar captar imágenes de la vía pública, terrenos y viviendas de terceros.

La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.

El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietariosy en ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca) que solo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Una vez instalado el sistema, se recomienda el cambio de la contraseña, evitando las fácilmente deducibles.

El sistema de grabación se ubicará en un lugar vigilado o de acceso restringido y las imágenes serán conservadas durante un plazo máximo de un mes desde su captación.

Las imágenes que se utilicen para denunciar delitos o infracciones se acompañarán a la denuncia y será posible su conservación para ser entregadas a las Fuerzas y Cuerpos de Seguridad o a los Juzgados y Tribunales que las requieran. No podrán utilizarse para otro fin.

La petición de imágenes por las Fuerzas y Cuerpos de Seguridad se realizará en el marco de actuaciones judiciales o policiales. El requerimiento al titular del fichero será el documento que ampare a éste para ceder datos a las mismas o a los Juzgados y Tribunales que los requieran.

¿QUÉ HAY DETRÁS DE LOS “PAPELES DE PANAMÁ”?

Hace días apareció en los medios de comunicación la noticia de los “papeles de Panamá” y, junto a ella, términos como “sociedades offshore”, “territorios o jurisdicciones offshore”, “paraísos fiscales” y “blanqueo de capitales”.

Este artículo pretende explicar a los legos en la terminología jurídica y financiera, qué significan estos términos y cuál es su funcionamiento.

¿Qué es el blanqueo de capitales?

Según se manifiesta en la Ley 10/2010 de Prevención de Blanqueo de Capitales y de la Financiación del Terrorismo, se consideran blanqueo de capitales las siguientes actividades:

a) La conversión o la transferencia de bienes, a sabiendas de que dichos bienes proceden de una actividad delictiva o de la participación en una actividad delictiva, con el propósito de ocultar o encubrir el origen ilícito de los bienes o de ayudar a personas que estén implicadas a eludir las consecuencias jurídicas de sus actos.

b) La ocultación o el encubrimiento de la naturaleza, el origen, la localización, la disposición, el movimiento o la propiedad real de bienes o derechos sobre bienes, a sabiendas de que dichos bienes proceden de una actividad delictiva o de la participación en una actividad delictiva.

c) La adquisición, posesión o utilización de bienes, a sabiendas, en el momento de la recepción de los mismos, de que proceden de una actividad delictiva o de la participación en una actividad delictiva.

d) La participación en alguna de las actividades mencionadas en las letras anteriores, la asociación para cometer este tipo de actos, las tentativas de perpetrarlas y el hecho de ayudar, instigar o aconsejar a alguien para realizarlas o facilitar su ejecución.

Existirá blanqueo de capitales aun cuando las conductas descritas en las letras precedentes sean realizadas por la persona o personas que cometieron la actividad delictiva que haya generado los bienes.

A los efectos de esta Ley se entenderá por bienes procedentes de una actividad delictiva todo tipo de activos cuya adquisición o posesión tenga su origen en un delito, tanto materiales como inmateriales, muebles o inmuebles, tangibles o intangibles, así como los documentos o instrumentos jurídicos con independencia de su forma, incluidas la electrónica o la digital, que acrediten la propiedad de dichos activos o un derecho sobre los mismos, con inclusión de la cuota defraudada en el caso de los delitos contra la Hacienda Pública.

Se considerará que hay blanqueo de capitales aun cuando las actividades que hayan generado los bienes se hubieran desarrollado en el territorio de otro Estado.

Por tanto se trata un delito extraterritorial que está tipificado en nuestro Código Penal, en sus artículos 301 y siguientes.

¿Qué son los paraísos fiscales?

Lamentablemente nuestro ordenamiento jurídico no dispone de una definición legal para indicarnos qué es un paraíso fiscal. No obstante, si tenemos que dar una definición al  respecto podemos decir que se trata de aquél territorio o Estado que se caracteriza por una escasa o nula tributación a que se someten determinada clase de transacciones, ventas a determinadas personas o entidades que allí encuentran su cobertura de amparo.

Los Estados, para calificar a otro Estado o territorio como paraíso fiscal, tienen en cuenta los siguientes criterios:

-Ausencia de impuestos o casi nulos para rentas generadas por actividades económicas.

-Carencia de intercambio efectivo de información basada en el secreto frente a la fiscalización de las autoridades que impide el intercambio de información sobre sus contribuyentes con otros países.

-Falta de transparencia en la aplicación de las normas administrativas o legislativas.

-No exigencia de actividad real para personas domiciliadas en esa jurisdicción.

¿Y qué es una jurisdicción offshore?

En lenguaje financiero se utiliza el término offshore para referirse a cualquier actividad económica o inversión que se realiza fuera del propio país de residencia.

Para hablar en propiedad de jurisdicción offshore, se deben dar determinadas ventajas respecto al lugar de residencia habitual, como son los beneficios fiscales, facilidad para constituir sociedades, normativas rigurosas respecto a la privacidad y por ende de secreto bancario, …. Por tanto, estos requisitos se dan en los paraísos fiscales.

Entonces, las sociedades offshore son sociedades que se registran en un paraíso fiscal. Allí no realizarán ninguna actividad comercial. Únicamente se utiliza el domicilio fiscal, pero el control y la administración de la sociedad lo realizan empresas o personas físicas extranjeras desde cualquier otro lugar del mundo.

Ventajas de tener una sociedad offshore

Ya hemos apuntado anteriormente algunas de las ventajas que ofrecen los paraísos fiscales, pero hay muchas más: excepción de numerosos impuestos como el de sociedades, actividades económicas o, si tienen que pagarlos, son casi nulos o simbólicos.

Además de las ventajas fiscales destacan numerosas ventajas como son la de poder constituir sociedades en menos de 48 horas, con el mínimo de documentación a aportar, y por precios irrisorios.

Los accionistas pueden ser, normalmente, de cualquier nacionalidad y además pueden existir sociedades en las que una única persona pueda desempeñar todos los cargos. Evidentemente la legislación mercantil también acompaña para que la administración de la sociedad pueda ser fácil y económica, y, evidentemente, también su contabilidad.

Por si fueran pocas estas ventajas, lo que además atrae para poder constituir una sociedad offshore es la escrupulosa confidencialidad existente con los accionistas y propietarios de estas sociedades ya que no figuran en ningún registro público. Para aumentar la privacidad, se permite el que puedan existir, tanto directores y accionistas fiduciarios, e incluso acciones al portador. Todo lo contrario de lo que ocurre, por ejemplo, en España.

 Por último, otra de las características más relevantes es la de poder constituir una empresa sin desembolsar el capital suscrito.

 ¿Qué tipo de sociedades offshore suelen existir?

Existen principalmente dos tipos de sociedades:

-Las IBC (International Business Company) o centros internacionales de negocio. Éstas son las más comunes. Por poner algunos ejemplos: Las Islas Vírgenes cuentan con más de 300.000 IBC, las Bahamas con más de 58.000, y las Bermudas sobrepasan las 10.000.

-Las LLC (Limited Liability Company). No suele existir en todas las jurisdicciones offshore ya que se deben declarar los beneficios por la sociedad en las declaraciones de la renta individuales.

 Panamá

España en su RD 1080/1991 determina a los que considera paraísos fiscales. Ese Real Decreto no se ha modificado desde entonces en puridad. Pero bien es cierto que el listado original de 1991 ha sufrido cambios significativos, ya que como se indica en la propia norma, si España firma algún acuerdo para evitar la doble imposición o para intercambiar información en materia tributaria, los países que figuran en esa lista dejan de ser considerados paraísos fiscales.

Este es el caso de Panamá, que figura en la lista del RD 1080/1991 pero que, a efectos fiscales, dejó de ser considerado paraíso fiscal desde julio de 2011, al firmar ambos acuerdos con España. España firmó los convenios con Panamá para poder facilitar la contratación de empresas españolas con el fin de ampliar el Canal de dicho país.

Panamá también ha salido del famoso listado de países con deficiencias en sus sistemas contra el lavado de dinero, del GAFI (Grupo de Acción Financiera Internacional) principal valedor de la lucha a nivel mundial contra el blanqueo de capitales, en febrero de 2016. Pero para la Comisión Europea, sigue siendo un paraíso fiscal, y así lo hizo saber en junio del pasado año cuando publicó su lista oficial.

Por tanto, no es tarea fácil el determinar a primera vista si un país es o no paraíso fiscal.

La práctica habitual de Panamá parecía haber cambiado con la aprobación del nuevo Reglamento de la Ley 23 de 2015, que adopta medidas para prevenir el blanqueo de capitales, el financiamiento al terrorismo y la proliferación de armas de destrucción masiva, además de adoptar una serie de cambios normativos, tanto penales como administrativos, con el fin de salir del listado del GAFI, cosa que consiguió recientemente, como se ha dicho anteriormente.

Pero nada más lejos de la realidad aparente, ya que sigue siendo muy sencillo encontrar despachos como el de Mossak Fonseca, que ayudan a crear sociedades offshore de forma rápida y eficaz. Las nuevas tecnologías ayudan a la creación de estas sociedades, ya que no hace falta ni desplazarse a estos países para crearlas, pero también pueden jugar una mala pasada si algún hacker se hace con la información y la publica en las redes, tal y como ha pasado con el bufete Mossak Fonseca. Y es que por mucho exceso de celo que se quiera tener en los paraísos fiscales con los datos de los clientes, la información puede ser interferida si no se ponen todas las medidas de seguridad pertinentes. Pero esa cuestión la dejamos para otro artículo.

Socio-Abogado de Logic Data Consulting

Presidente de INBLAC (Instituto de Expertos en Prevención de Blanqueo de Capitales y Financiación del Terrorismo).