Blog

Actualidad

Yo (u) Tube una inspección de Hacienda

“Facebook es un chollo para nosotros”. Son palabras que me dijo un inspector de Hacienda.

Publicar en las redes sociales, por ejemplo, una foto con nuestro coche de alta gama, o de unas vacaciones a todo trapo, puede tener importantes consecuencias fiscales, ya que es probable que la Agencia Tributaria le dé al “like”, a la vez que se pregunte, cual Lina Morgan: “¿De dónde saca pa tanto cómo destaca?”

Traducido al ámbito tributario, significa que la Hacienda Pública podría requerir al autor de la foto que justifique si el coche lo ha heredado, es un regalo o lo ha comprado. Cualquiera de los posibles escenarios puede llevar aparejado el pago de un impuesto, ya sea el Impuesto de Sucesiones, el Impuesto de Donaciones, o bien el IRPF si no se puede acreditar de dónde se ha conseguido el dinero para adquirir el coche. En este último caso, la Administración Tributaria sostendría que el dueño del vehículo ha obtenido una ganancia de patrimonio no justificada, exigiéndole tributar en el IRPF por el valor de mercado del coche, con un tipo de gravamen que puede llegar al 47%.

Cada vez es más frecuente que Hacienda rastree información de cualquier red social, portal de internet, o publicación, en la búsqueda de signos externos de riqueza que no se correspondan con la renta, o el patrimonio, declarados en el IRPF, o en el Impuesto sobre el Patrimonio.

Además, esa información puede ser analizada con el objetivo de comprobar el número de días que se permanece en España a lo largo de un año natural, ya que, la permanencia en nuestro país durante más de 183 días durante un año natural nos convierte en residentes fiscales en España, con la consiguiente obligación de tributar por nuestra renta, y patrimonio, mundiales, y de informar acerca de los bienes y derechos situados en el extranjero – a través del modelo 720-, entre otras obligaciones.

Pero Hacienda no acude solamente a las redes sociales para tratar de demostrar que una persona es residente fiscal en territorio español, sino que utiliza cualquier fuente de información, como, a título de ejemplo:

  • El uso de tarjetas de crédito.
  • Las visitas al médico.
  • El colegio de los hijos.
  • Las relaciones afectivas.
  • Consumos eléctricos.
  • La reparación del reloj en un taller de relojería sito en España.

Sí, … han leído bien …, la visita al relojero como medio de prueba, por parte de Hacienda, para tratar de acreditar que una persona es residente fiscal en España. En este sentido, es conocido el caso de una famosa cantante a la que la Administración Tributaria española comprobó sus visitas al peluquero, una mudanza, … además de su cuenta de Instagram.

En cualquier caso, estamos ante una cuestión compleja, en la que resultará clave la valoración conjunta de los medios de prueba. Como ha recordado el Tribunal Supremo, la residencia habitual no puede quedar al albur de la voluntad del contribuyente o en manos de la Administración, de modo que se necesitan criterios objetivos, y no subjetivos.

La persona inspeccionada por la Hacienda española tiene derecho a aportar las pruebas oportunas para acreditar su residencia fiscal en otro país, como un certificado de residencia fiscal emitido por las autoridades fiscales de dicho Estado (no confundir con un permiso de residencia), billetes de avión, contrato de trabajo, de alquiler de vivienda, …

Tengamos en cuenta que, de entrada, Hacienda está abonada al “hashtag” #tevigilomásdeloquecrees#.

Joaquín López Avellaneda                                                      

Socio del Departamento Fiscal de Martínez-Echevarría & Rivera, Abogados. Oficina de Málaga.

Actualidad

Ciberseguridad: Estrategia de la Ue para la presente decada digital (2021-2030)

La Ciberseguridad es una parte integral de la seguridad europea. Los ciudadanos, las empresas y las administraciones públicas europeas necesitan estar seguros de que se encuentran en todo momento debidamente protegidas de las “Ciber Amenazas” cuando se encuentran conectados a Internet para interactuar entre sí o con terceros. La economía, la democracia y la sociedad, en sí mismas, dependen, más que nunca, de tener a su disposición unas herramientas digitales y de conectividad seguras.

El desarrollo del transporte, de la energía, de la salud pública y privada, de las telecomunicaciones, de las finanzas, de la seguridad, de los procesos democráticos, del espacio exterior y de la defensa, entre muchas otras actividades, dependen de la confianza y seguridad de una red y unos sistemas de información cada vez más interconectados.

La digitalización de los modelos de trabajo se ha visto acelerada por el COVID-19. Durante la pandemia se estima que más del 40% de los trabajadores están desarrollando sus funciones profesionales en régimen de teletrabajo. Los efectos de dicha circunstancia se estima que van a ser duraderos y que el teletrabajo se va a integrar en el día a día del modo de vida de la sociedad europea.

De todos es conocido que existen, en este mundo globalizado, (i) tensiones de carácter geopolítico que amenazan la Internet como red global y abierta, así como (ii) amenazas sobre el control de las tecnologías imbricadas en la cadena de suministro. Así, actualmente, nos encontramos naciones que han impuesto fronteras digitales. Esas restricciones amenazan el ámbito global y abierto de la red de redes y delCiberespacio”, así como los derechos fundamentales, la libertad y la democracia. El Ciberespacio está siendo, constantemente y de forma incremental, explotado por organizaciones e ideologías políticas de todo orden. La polarización internacional y nacional de las sociedades se está viendo incrementada por amenazas externas a los países y naciones. Amenazas como las campañas de desinformación, de ciberataques a infraestructuras, procesos económicos e instituciones democráticas, etc., que causan daños físicos u obtienen acceso a datos personales, que roban secretos de estado o industriales, que minan y socaban la débil cohesión social y la confianza en el mundo digital y de la red Internet.

La dependencia de los elementos que componen el corazón de Internet, esto es, los “Domain Name System” (“DNS”), los servicios de hosting, las aplicaciones y los datos, está incrementando en los últimos años. Estos servicios cada vez se hallan más concentrados en manos de unas pocas compañías. Ello tiene como consecuencia que la economía y la propia sociedad de la Unión Europea (“UE”) sea más vulnerable.

Cada día son más los individuos y empresas que ha sufrido una Ciber Amenaza o un Ciberataque, desde la recepción de correos electrónicos fraudulentos o llamadas solicitando datos personales hasta maniobras de hacking a los servidores centrales de grandes y pequeñas empresas. Cientos de miles de datos se han perdido en los últimos años como consecuencia de los “Data Breachs”. Dicha situación hace que la confianza en la transformación digital se vea disminuida, siendo muchas las empresas, pequeñas y grandes, así como los autónomos, que están evitando dar el paso hacia lo digital.

El denominado cibercrimen se ha incrementado exponencialmente. El coste del mismo en el año 2020 se estima en 5,5 trillones de euros.

El mayor de los riesgos en materia de Ciberseguridad radica en los ataques maliciosos a las infraestructuras críticas.

Los servicios digitales y los financieros, así como el sector público e industrial, las infraestructuras y las empresas energéticas, son los sectores que constituyen el objetivo de los ciberataques. Las organizaciones y profesionales de la salud se han visto fuertemente atacados durante la pandemia.

No existe, en la sociedad europea, una conciencia de la importancia de la Ciberseguridad. Ello se debe a que en los Estados Miembros apenas se publican los datos de ciberataques en el sector público y privado. Tampoco existe un buen nivel de cooperación entre Estados Miembros, ni a nivel de comunicar esos incidentes, ni a la hora de establecer una estrategia común en caso de que un ciberataque se dirija a varios de los Estados Miembros o empresas europeas con sedes en todo el territorio de la UE.

Teniendo en consideración todos los elementos fácticos antes indicados, la Unión Europea, representada por su Comisión y por el Parlamento Europeo, han emitido una “Comunicación Conjunta, de fecha 16 de diciembre de 2020, para establecer una guía de los objetivos y estrategias a poner en práctica en materia de Ciberseguridad, dentro de la Unión Europea, para los próximos 10 años, 2021-2030.

Los objetivos globales de las estrategias a llevar a cabo durante la presente década en materia de Ciberseguridad radican en mejorar y desarrollar la confianza de los ciudadanos y empresarios europeos; la mejora y salvaguarda de los derechos y libertades fundamentales, incluido el derecho a la privacidad y la protección de datos, así como el derecho de libre expresión y de información veraz.

La Ciberseguridad, en palabras de la Comisión y el Parlamento, es indispensable para mantener la conectividad y una Internet global y abierta, que ha de permitir la transformación libre de la economía y la sociedad de la Unión Europea en los próximos 10 años.

La Comisión y el Parlamento Europeo, con el fin de dar cumplimiento a los objetivos antes indicados, teniendo en consideración las realidades fácticas puestas de relieve en la Comunicación Conjunta y resumidas anteriormente, establece un conjunto de medidas y estrategias divididas en dos grandes bloques: (i) “Thinking Global, Acting European”; y (ii) “Cybersecurity in the EU Institutions, Bodies and Agencies”.

En la presente nota haremos un breve resumen de parte del primer bloque de medidas y estrategias, dejando para una nota posterior el resto del primer bloque no analizado aquí y el segundo bloque.

 

Thinking Global, Acting European.

Bajo la rúbrica de “Piensa en Global, actúa en clave Europea”, la UE agrupa un conjunto de objetivos y estrategias en orden a “asegurar una Internet global y abierta, con unos fuertes guardarraíles, que protejan los derechos y libertades fundamentales de los riesgos de las Ciber Amenazas”.

La Comisión propone, mediante el uso de tres instrumentos principales: “regulatory, investment and policy instrumentos”, tres áreas de actuación: (i) “resilence, technological sovereignty and leadership”; (ii) “bulding operational capacity to prevent, deter and respond” y (iii) “advancing a global and open cyberspace.”

Serán objeto de la presente nota resumen las dos primeras áreas de actuación, quedando para una segunda nota, el tercer instrumento.

La Unión Europea pondrá a disposición de los gobiernos y empresas del sector privado los medios económicos para alcanzar dichos objetivos. La Ciberseguridad debe estar integrada en todas las inversiones digitales que se lleven a cabo en materias como Inteligencia Artificial, computación cuántica y encriptación.

  • Resilience, Technological Sovereignty and Lidership.

Resiliencia y liderazgo soberano en materia de tecnología”.

Las Infraestructuras críticas y servicios esenciales de la Unión Europea se encuentran cada día más interconectados. Las mismas, junto a las “Things” interconectadas (“Internet of things” o “Internet de las cosas” o “IoT”), como los coches automáticos, los sistemas de control industrial, las aplicaciones domóticas, y la cadena de suministro necesitan ser diseñadas desde la seguridad – “Secure by Design”-, deben ser resilientes a los “Ciber Incidentes” y debidamente “parcheados” cuando se descubre la vulnerabilidad de los mismos. 

Resiliencia de las infraestructuras y de los servicios críticos. 

La normativa y protocolos de la Unión Europea en materia de “Network and Information Systems” (“NIS”) constituyen el núcleo del Mercado Único en materia de Ciberseguridad. La Comisión propone reformar dicha normativa por medio de la NIS Directiva para aumentar el nivel de ciber resiliencia de todos los sectores relevantes, ya públicos ya privados, que jueguen una importante función para la economía y la sociedad.

Construcción de un Ciber Escudo.

Dentro de la estrategia de Ciberseguridad de la UE son dos los elementos o herramientas que van a jugar un papel preponderante:

  • Las ISACs –“Information Sharing and Analysis Centres”, que permitirán el intercambio de información en materia de Ciberataques; y
  • Los “Computer Security Incident Response Teams (“CSIRTs”) y los SOCs –“Security Operations Centres”- creados por las entidades públicas y privadas a nivel de los estados miembros.

Ambas herramientas contribuyen, además de al intercambio de información, a la detección temprana de actividades maliciosas.

Sobre la base de las citadas herramientas, la Comisión Europea propone construir una Red de “Security Operations Centres” a lo largo de la Unión Europea. El objetivo, con la co-inversión de los estados miembros, es conectar, en fases, cuantos más centros mejor para crear un conocimiento colectivo y compartir las mejores prácticas. Ello conformará un Escudo de Ciberseguridad en la Unión Europea.

Infraestructuras de Comunicación Ultra Seguras.

The European Union Governmental Satellite Communications”, un órgano componente del “Space Programme”, proporcionará una base espacial de comunicaciones segura y eficiente, con capacidad para asegurar la seguridad de las misiones y operaciones llevadas a cabo por la Unión Europea y sus Estados Miembros. Los Estados Miembros han adquirido el compromiso de trabajar junto a la Comisión con el fin de desarrollar una infraestructura de comunicaciones seguras (“QCI”) en Europa. El QCI ofrecerá a las autoridades públicas una nueva forma de transmitir información confidencial bajo el uso de una encriptación ultra segura que sirva como escudo contra los Ciberataques. Igualmente, la Comisión estudiará un sistema multi orbital seguro.

Aseguramiento de la nueva generación de redes móviles.

El uso de las nuevas aplicaciones bajo la tecnología 5G y bajo las futuras generaciones de redes móviles deberían beneficiarse de la mayor seguridad posible.

La Unión Europea y los Estados Miembros deberían, de forma coordinada, asegurar la identificación de los riesgos y establecer las medidas que mitiguen los mismos. A esos efectos, deberían minimizar la actual exposición que la Unión Europea tiene a los riesgos inherentes a los suministradores de tecnología y, particularmente, deben reducir la dependencia que se tiene de ellos. Cualquier nuevo desarrollo y sus riesgos se tienen que tener en consideración.

Una Internet de las Cosas (“IoT”) segura.

Cualquier elemento o máquina conectada a la red de redes supone vulnerabilidades o puertas abiertas que pueden ser aprovechadas por actividades maliciosas. El mercado y los fabricantes ya están trabajando en asegurar soluciones de seguridad transparentes y debidamente certificadas bajo la Cibersecurity Act (Reglamento (EU) 2019/881). Se trata de intensificar la seguridad de los productos o servicios, sin limitar su funcionamiento.

La Comisión propondrá nuevas reglas que establezcan una obligación para los fabricantes de desarrollar los elementos a conectar a la red que tengan en cuenta las vulnerabilidades del software, incorporado a los mismos, incluyendo el compromiso continuo de vigilancia y seguimiento del software, introduciendo los elementos de seguridad que fueren necesarios. Esa obligación, la denomina la Comisión como el derecho a la reparación del software obsoleto (“the right to repair obsolete sofware”)

Seguridad Global de Internet con Mayúsculas.

La Comisión desarrollará un plan de contingencia, subsidiado con fondos de la UE, para prever y saber actuar en el caso de escenarios extremos que pongan en peligro la integridad y disponibilidad del sistema raíz de DNS, corazón del World Wide Web.

Actualmente, las empresas y ciudadanos europeos confían en unos pocos DNS que están en manos de unas pocas empresas situadas fuera de territorio europeo. Esa circunstancia supone una vulnerabilidad para el sistema, que además hace difícil a la Unión Europea localizar, investigar e imponer medidas en caso de Ciberataques. Por tanto, a fin de reducir dicha vulnerabilidad, la Comisión promoverá a todas las personas interesadas en la Internet, compañías, Internet Service Providers, etc… a adoptar nuevas estrategias en cuanto a la elección de los DNS. Asimismo, la Comisión desarrollará una “European DNS resolver service” público (“DNS4EU”). El DNS4EU ofrecerá una vía alternativa, a los actuales DNS proveedores. El mismo será transparente, desarrollado de acuerdo a la última normativa en materia de seguridad, protección de datos personales y de “privacy by design”.

Un Plantilla de Trabajadores Europea Ciber formada.

La Unión Europea destinará sus esfuerzos a formar, en sentido práctico y teórico, a los trabajadores de la Unión Europea en materias de la nueva era Cyber Digital. Asimismo, atraerá y retendrá el mejor talento en Ciberseguridad e invertirá en innovación e investigación sobre la misma, todo ello con el fin de proteger a sus ciudadanos y empresas de los Ciberataques.

La Comisión promoverá la integración de la mujer en ciencia, tecnología, ingeniería y matemáticas, con el fin de formarse en habilidades digitales.

En particular, se dedicará una especial atención a la lucha contra las violaciones de los derechos de propiedad intelectual.

  • Bulding Operational Capacity to Prevent, Deter and Respond.

Capacidad operativa, para prevenir, disuadir y responder”.

Los ciber incidentes, intencionados o no, pueden causar unos daños enormes. La Unión Europea se ha de focalizar en la próxima década, a través de la puesta en marcha de normativa y de medios de cooperación, a dar apoyo a los Estados Miembros para que defiendan, con medidas de Ciberseguridad, a sus ciudadanos, sus economías y sus intereses de seguridad, y los derechos y libertades fundamentales de aquellos.

Una Ciber Unidad conjunta.

La creación de una Ciber Unidad conjunto servirá como una plataforma de cooperación entre las diferentes comunidades de Ciberseguridad en la Unión Europea enfocada a la coordinación técnica y operacional contra las amenazas e incidentes transfronterizos.

Enfrentándose al Cibercrimen.

Nuestra dependencia en las herramientas online ha supuesto el incremento de los Ciberataques y Ciber amenazas. Dicha situación supone que la mayoría de las investigaciones criminales tengan un componente digital. Por tanto, es necesario enfrentarse al Cibercrimen ¿Cómo? A través de la Ciberseguridad. Es necesario, además, de la resiliencia y la detección, la identificación de los ciber criminales y su persecución. La cooperación entre policía y los operadores de ciberseguridad también es esencial.

La Comisión pondrá en práctica un plan de acción para mejorar las capacidades y herramientas de la policía. Asimismo, Europol se constituirá en el centro de excelencia en materia de Cibercrimen, apoyando a las policías de los diferentes Estados Miembros.

Actualidad

Propuesta de la Comisión Europea para la creación de un nuevo marco normativo para Internet

Si bien se trata del primer paso dentro del proceso legislativo europeo de la nueva norma, la propuesta elaborada por la Comisión Europea y remitida al Parlamento Europeo y a los Estados miembros, para su debate y aprobación, establece las bases para las obligaciones que serán impuestas en el próximo Reglamento Europeo a los principales agentes del ecosistema digital o prestadores de servicios digitales. Por lo que, las obligaciones establecidas serán directamente aplicables en todo el territorio europeo.

¿Qué agentes digitales o prestadores de servicios digitales se verán afectados por esta normativa?

  • Prestadores de servicios de intermediación, que ofrecen infraestructuras de red (Movistar, Vodafone, etc.); proveedores de acceso a internet (Jazztel, ONO, Euskaltel, etc.), registradores de nombres de dominio (Nominalia Internet, Entorno Digital, Interdominios, etc.), que a su vez incluyen:
    • Servicios de alojamiento de datos, tales como servicios en nube (OneDirve, Dropbox, GoogleDrive, etc.) y de alojamiento web (Arsys, Ionos, Hostalia, etc.), que a su vez incluyen:
      • Plataformas online que reúnen a vendedores y consumidores, tales como mercados online (ladespensa, Comprar al Productor, Privalia, Mascoteros, etc.), tiendas de aplicaciones (AppStore, Google Play…), plataformas de economía colaborativa (BlaBlaCar, Rentalia, Amovens, delsuper, Etc…) y plataformas de redes sociales (Instagram, Facebook, Pinterest, etc.).
      • Las plataformas online muy grandes plantean especiales riesgos en cuanto a difusión de contenidos ilícitos y nocivos para la sociedad. Se contemplan normas específicas para las plataformas que llegan al 10% de los 450 millones de usuarios europeos.

El texto publicado por la Comisión pretende actualizar las normas que hasta hoy definen las obligaciones y responsabilidades de los prestadores de servicios digitales. El objetivo de esta actualización no es otro que, reforzar la protección de los derechos fundamentales de los ciudadanos europeos y favorecer la creación de un mercado digital con unas condiciones de competencia equitativas para fomentar la innovación, el crecimiento y la competitividad, aumentando la transparencia de las plataformas online frente a los usuarios, pero sin limitar la libertad de dichas plataformas.

¿Qué responsabilidades y obligaciones se pretenden establecer a través del próximo Reglamento Europeo y a qué agentes digitales?

Los prestadores de servicios digitales siguen contando con la ausencia de responsabilidad por los contenidos ilícitos que alojan o transmiten siempre que no tengan conocimiento efectivo de los mismos. Asimismo, no tienen una obligación general de monitorización para impedir la publicación o transmisión de estos contenidos.

No obstante, en este sentido, a través de la nueva regulación se pretende introducir nuevas obligaciones para los prestadores de servicios de alojamiento y plataformas online, entre las que destacan las siguientes:

  • Implementación de procesos específicos para solicitar la retirada de contenidos ilícitos, incluyendo la necesidad de justificar la retirada;
  • habilitación de mecanismos para facilitar la defensa de los usuarios en caso de que entiendan que sus contenidos han sido retirados sin justificación, infringiendo, por ejemplo, sus libertades de expresión e información;
  • obligación de cooperar con las autoridades de los Estados Miembros en la retirada de contenidos ilícitos y en la identificación de determinados usuarios.

Por otro lado, se aspira a incorporar obligaciones de diligencia debida con el objetivo de aumentar la transparencia respecto de los mecanismos de actuación de los prestadores de servicios digitales. Sin interferir en la libertad de organización de estas empresas, pero tratando de aumentar su transparencia frente a los usuarios, tanto consumidores como usuarios profesionales.

Por ello, se pretende introducir las siguientes medidas en relación con las pretensiones indicadas anteriormente:

  • establecer un punto de contacto único;
  • designar un representante legal cuando se encuentren establecidos fuera del territorio de la UE, pero presten servicios a sus ciudadanos;
  • describir las políticas, procedimientos y medidas que definan la moderación de los contenidos, incluyendo el uso de sistemas algorítmicos para la toma de decisiones; y
  • publicar información relativa a las solicitudes de retirada de contenidos ilícitos recibidas de terceros o fruto de su propia actividad de monitorización voluntaria.

Asimismo, se contempla incorporar obligaciones adicionales para plataformas online como “prestadores de servicios de alojamiento que, a petición del receptor del servicio, almacena y difunde información al público, a menos que esta actividad sea una característica menor y puramente auxiliar de otro servicio y, por motivos técnicos y objetivos no pueda usarse sin ese otro servicio, y la integración de esa característica en el otro servicio no sea un medio para evitar la aplicación de este Reglamento”.

Entre las obligaciones específicas, aplicables exclusivamente a las plataformas online destacamos:

  • creación de sistemas internos de reclamación para la gestión de retirada de contenidos ilícitos, la suspensión o terminación de los servicios o de cuentas de usuarios;
  • cooperación con servicios alternativos para la resolución de disputas (ej. mecanismos de mediación);
  • gestión preferente de notificaciones de retirada de contenidos ilícitos realizadas por informadores de confianza;
  • obligación de suspensión temporal de cuentas de usuarios con un historial notable de infracciones;
  • obtención de información para posibilitar la trazabilidad de los terceros que ofrezcan la venta a distancia de productos o servicios en la plataforma; e
  • identificación de la publicidad que se muestran en las plataformas, incluyendo información relativa a los criterios empleados para su selección a los receptores de dicha publicidad.

Quedan excluidas de este conjunto de obligaciones las pequeñas y medianas empresas, como consecuencia de considerarse una carga excesiva que puede resultar en un impedimento para nuevos competidores, así como desincentivas la creación de empresas digitales en territorio comunitario.

Igualmente, se han propuesto otra serie de obligaciones adicionales para las grandes plataformas, definidas como las que cuentan con al menos 45 millones de usuarios mensuales activos en la UE (10% de los 450 millones de usuarios europeos), con el fin de identificar posibles riesgos y tratar de mitigarlos. Entre las obligaciones que la Comisión pretende exigir se encuentran los siguientes:

  • la ejecución de un análisis de riesgo para determinar los riesgos relativos a la distribución de contenidos ilegales, el impacto de su actividad sobre los derechos fundamentales de sus usuarios y los posibles usos que sus servicios puedan resultar de forma negativa a la protección de la salud pública, a los menores, a los discursos cívicos, a los procesos electorales o la seguridad pública;
  • la aplicación de medidas mitigadoras de los riegos identificados;
  • la realización de auditorías independientes para determinar el grado de cumplimiento al menos anualmente;
  • la descripción de los parámetros utilizados en sus sistemas de recomendación;
  • la creación y actualización de un repositorio de la publicidad mostrada en la plataforma; o
  • la obligación de designar un responsable de cumplimiento encargado de la monitorización del grado de cumplimiento, mejora, etc…

Por último, la Comisión propone la creación de un Coordinador de Servicios Digitales en cada Estado miembro, dicho Coordinador será la autoridad de control competente para comprobar el grado de cumplimiento de la normativa propuesta, realizar inspecciones sobre la actividad de los agentes digitales y prestadores de servicios digitales, así como, en su caso, imponer sanciones.

Sanciones, que, siguiendo la línea del Reglamento General de Protección de Datos, podrían alcanzar cantidades muy elevadas, llegando hasta el 6% de los ingresos anuales del prestador de servicios.

Actualidad

Publicidad: los nuevos códigos de conducta de autocontrol regularan los datos personales y a l@s influencers

El equipo de Digital Law. IP. IT. Privacy de ME&R, analiza los dos nuevos Códigos de Conducta en materia publicitaria que han entrado en vigor el pasado 1 de enero de 2021 y que tienen como promotor a la Asociación para la Autorregulación de la Comunicación Comercial, conocida como AUTOCONTROL.

Por un lado, en la presente alerta, se analizará el Código de Conducta sobre el Tratamiento de Datos Personales en la Actividad Publicitaria (en adelante, el “Código de Datos”) y, por otro, el Código de Conducta sobre el Uso de Influencers en la Publicidad (en adelante, el “Código de Influencers)”.

Código de Datos

Se trata de un Código aprobado por parte de la Agencia Española de Protección de Datos el 20 de noviembre de 2020. Dicho Código se ha aprobado y publicado en base a lo establecido en el artículo 40.2 del Reglamento General de Protección de Datos (“RGPD”), según el cual, las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta para especificar la aplicación del RGPD, en lo que respecta a diversas materias, previéndose expresamente la posibilidad de articular procedimientos extrajudiciales y otros procesos de resolución de controversias que permitan resolver las reclamaciones que plantean los ciudadanos ante aquellas entidades que tratan sus datos.

En este sentido, el Código de Datos ha sido elaborado teniendo en cuenta la transformación que ha sufrido la publicidad con el uso de las nuevas tecnologías para fines publicitarios y el auge de la publicidad digital. Y es que productos tan novedosos como el big data, el IoT, o el cloud computing forman parte del día a día en los servicios publicitarios y su uso conlleva una serie de riesgos y responsabilidades que requieren la atención de las empresas del sector publicitario.

El Código de Datos se presenta como una herramienta de cumplimiento que resulta de gran utilidad a las empresas del sector de la publicidad que se adhieran, ante una legislación que ha supuesto un gran cambio en el enfoque del desarrollo de procesos y productos que tratan una gran cantidad datos personales a través de las nuevas tecnologías. En este sentido, se encuentran entre los principios del Código de Datos la protección de datos desde el diseño y por defecto.

Es por ello que, de acuerdo con su ámbito objetivo, este Código de Datos es de aplicación a los tratamientos que se realizan en torno al envío de comunicaciones comerciales, el uso de las cookies o la elaboración de perfiles con fines publicitarios, entre otros.

Asimismo, el Código de Datos establece un procedimiento extrajudicial de resolución de controversias y conflictos entre las entidades adheridas y los interesados cuyos datos son tratados por éstas. Para ello, AUTOCONTROL ha establecido un procedimiento confidencial a través del cual podrá recibir las reclamaciones de los interesados cuyos datos son tratados por las entidades adheridas para mediar entre las partes ante las controversias planteadas.

Las entidades adheridas al Código de Datos, anunciantes, agencias y medios asociados de AUTOCONTROL, así como aquellas asociaciones o entidades representativas de un sector asociadas a AUTOCONTROL, se comprometen a cumplir con la normativa aplicable en materia de datos personales y, en particular a las obligaciones detalladas en dicho Código de Datos. En resumen, las entidades adheridas deberán configurar sus planes de cumplimiento de acuerdo con los principios establecidos en la normativa, es decir:

  • tratar los datos personales de manera lícita, leal y transparente en relación con el interesado;
  • obtener los datos para finalidades determinadas, explícitas y de acuerdo a las bases de licitud establecidas en el RGPD (prestando especial atención al consentimiento y al interés legítimo como base del tratamiento), y no serán tratados ulteriormente de manera incompatible con dichas finalidades;
  • tratar los datos adecuados, pertinentes y limitados a lo necesario en relación con las finalidades para los que son tratados;
  • implementar medidas que permitan la actualización, rectificación y supresión de los datos;
  • mantener de forma que se permita la identificación de los interesados durante el tiempo necesario para la consecución de las finalidades del tratamiento y protegidos con las medidas de seguridad necesarias para su protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.

El Código de Datos presta especial atención a las actividades de mercadotecnia. A este respecto, las entidades adheridas deberán informar debidamente a los interesados en relación con el derecho de oposición al tratamiento de sus datos con fines de mercadotecnia, así como consultar previamente los sistemas de exclusión publicitaria, tales como la Lista Robinson.

Código de Influencers

El Código de Influencers nace de la necesidad de regular una nueva forma de hacer publicidad en redes sociales, a través de personajes denominados Influencers, YouTubers, Instagrammers, Bloggers o Facebookers que colaboran muy estrechamente con las marcas para hacer contenidos publicitarios sobre productos y/o servicios.

En este sentido, es importante poner énfasis en que el Código de Influencers no se trata una norma como tal; sino que es un conjunto de reglas que vincularán a los anunciantes adheridos a AUTOCONTROL y a la Asociación Española de Anunciantes (en adelante, “AEA”), a anunciantes que quieran seguir el código y, sobre todo, a los Influencers, ya que nuestro legislador aún no ha regulado esta nueva forma de hacer publicidad.

El objetivo principal del Código es que todo contenido digital (comunicaciones, publicaciones, post, etc.) o menciones que tengan naturaleza publicitaria y sea generado por los Influencers, esté debidamente identificado como publicidad, para que los seguidores o followers puedan identificarlo como tal. En este sentido, ha de señalarse que el Código define al consumidor medio habituado a seguir a un Influencer como aquel consumidor activo y conocedor de las nuevas tecnologías de la información, normalmente atento e informado, con capacidad suficiente para el acceso y comprensión de los medios digitales y la autonomía de buscar, discriminar y adaptar los contenidos en función de sus gustos o intereses.

Se señala en el Código de Influencers lo que se considera como mención o contenido publicitario, que será todo aquel contenido que:

  • Esté dirigido a la promoción de productos o servicios;
  • Sea divulgado en el marco de colaboraciones o compromisos recíprocos, siendo la divulgación del citado contenido objeto de un pago u otra contraprestación por parte del anunciante o sus representantes;
  • El anunciante o sus agentes ejerzan un control editorial sobre el contenido divulgado (estableciendo previamente todo o parte del mismo y/o validándolo).

Asimismo, también se establecen las exclusiones de lo que no es publicidad, en concreto, no tendrán tal consideración los contenidos editoriales, ni aquellos contenidos divulgados por influencers que sean por iniciativa propia, es decir, que no haya una relación con la marca a la que se refieren.

El propio Código pone énfasis en lo que se considera contraprestación, poniendo una serie de ejemplos como son el pago directo, entrega gratuita de productos para que se haga una publicación, un viaje, un cheque regalo, un servicio gratis, entre otros.

¿Cómo se puede identificar la publicidad en este tipo de contenidos? El Código lo advierte muy claramente, hay que incluir una indicación explícita, inmediata y adecuada al medio donde se haga la mención de que se trata de publicidad con fórmulas tales como “publicidad”, “publi”, “embajador de [marca]”, “Anuncio patrocinado por”. Además, se acompaña en el Anexo del Código de Influencers recomendaciones sobre como identificar la publicidad en las distintas redes sociales.

Las empresas adheridas y los Influencers establecerán medidas para asegurar el cumplimiento del Código, pero, en cualquier caso, siempre y cuando tengan dudas sobre si una mención o contenido es publicidad o no, podrán someterlo -previo a su publicación- a examen por parte de AUTOCONTROL. Asimismo, el contenido publicitario generado podrá someterse a un control a posteriori por parte del Jurado de la Publicidad, en este caso habrá de mediar una reclamación de un tercero, y de un control aleatorio de dicho contenido publicitario por parte de la AEA y AUTOCONTROL, con la finalidad de valorar si el Código se está cumpliendo.

En líneas generales, el Código sienta las bases para que el legislador, en algún momento, regule normativamente el contenido publicitario generado por estos nuevos “anunciantes” y que no se les pueda reprochar que la publicidad que realizan es encubierta o al margen de lo decoroso.

Cerrar Cookies

Éste sitio web usa cookies, si permanece aquí acepta su uso. Puede leer más sobre el uso de cookies en nuestra política de privacidad