Vendes en internet. Aspectos legales by MERCEDES lavieja

Aspectos Legales

Contenido 1. INTRODUCCIÓN. ............................................................................ 3 1.1. Objetivos. ................................................................................ 3 1.2. Duración. ................................................................................. 3 1.3. Desarrollo del módulo. ............................................................... 3 2. CONTENIDO ................................................................................... 4 2.1 GENERALIDADES DEL COMERCIO ELECTRÓNICO ........................... 4 2.1.1 Introducción. ....................................................................... 4 2.1.2 Nombres de Dominio. ........................................................... 6 2.1.3 Previo al comercio electrónico. ............................................... 9 2.1.4 Otros contratos informáticos. ................................................ 13 2.2. LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO. .............................................................. 16 2.2.1. Introducción. ..................................................................... 16 2.2.2. El principio de libre prestación de servicios. ........................... 23 2.2.3. Obligaciones y responsabilidad de los prestadores de servicios de la sociedad de la información. ....................................................... 25 2.2.4. Las comunicaciones comerciales por vía electrónica. ............... 32 2.2.5. La contratación electrónica. ................................................. 33 2.2.6. Solución judicial y extrajudicial de conflictos. ......................... 38 2.2.7. Infracciones y sanciones. .................................................... 39 2.3. LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y SU APLICACIÓN AL COMERCIO ELECTRÓNICO. ................ 45 2.3.1. Introducción. ..................................................................... 45 2.3.2. Agencia de protección de datos. ........................................... 54 2.3.3 Derechos en protección de datos. Los derechos de arco. .......... 63 2.3.4. La seguridad en la protección de datos. ................................. 69 2.3.5. Infracciones y sanciones. .................................................... 81 2.4. PROPIEDAD INTELECTUAL. ........................................................ 86 2.4.1. Páginas Web. Alcance ......................................................... 86 2.4.2. Páginas Web. Medios de protección ...................................... 87 2.4.3. Afectación de derechos de terceros en contenidos de una Página Web. .......................................................................................... 91 2.5. PUBLICIDAD. ........................................................................... 93 2.6. PROPIEDAD INDUSTRIAL. LEY DE PATENTES Y MARCAS. ............ 103 2.6.1. Definiciones y conceptos básicos ........................................ 105 2.7. TRIBUTACIÓN Y FISCALIDAD. .................................................. 109 2.7.1. ¿Qué se entiende por comercio electrónico? ......................... 109 2.7.2. ¿Cómo tributan los servicios prestados por vía electrónica? ... 110 2.7.3. Régimen especial de tributación del comercio electrónico. ..... 115 2.8. ANEXO .................................................................................. 117 2.8.1. Guía de aspectos a tener en cuenta ante la puesta en marcha de una actividad de comercio electrónico. ......................................... 117 Casos Prácticos ............................................................................... 119 Anexo Cláusulas .............................................................................. 124

[2]

DETALLE DEL CONTENIDO DE LA ACCIÓN FORMATIVA MÓDULO ASPECTOS LEGALES.

1. INTRODUCCIÓN. 1.1. Objetivos. El objetivo fundamental de este módulo es ofrecer al alumno una perspectiva de la normativa legal europea y nacional sobre comercio electrónico, así como, analizar y conocer las posibles barreras jurídicas existentes para la implantación de modelos de negocio en el comercio electrónico y otros aspectos legales en la contratación de proveedores y distribuidores. 1.2. Duración. El módulo de aspectos legales está calculado para desarrollarse a lo largo de 4 horas. La limitación de tiempo impone necesariamente concisión, brevedad y centrarse en los aspectos más importantes. 1.3. Desarrollo del módulo. El módulo de aspectos legales se desarrollará en 7 bloques fundamentales: Bloque

Contenido

Generalidades del Comercio Electrónico.

Introducción. Nombres de Dominio, utilidad, importancia, fundamentos Jurídicos, frente agentes registradores, contratos, Otros informáticos. Introducción. Base Legal. Definiciones. Exigencias Legales Formales. Aviso Legal. Exigencias contractuales previas. LSSI + Venta Infracciones y Sanciones.

Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico. La Ley Orgánica de Protección de Datos de Carácter Personal y su aplicación al Comercio Electrónico.

Propiedad Intelectual.

estructura, a Marcas, contratos Aplicación. Publicidad. a distancia.

Introducción a la protección de datos. Situación Actual Legislativa. Plazos de Implantación. Conceptos básicos. Ficheros excluidos y casos especiales. Novedades. Principios de protección de datos. Comunicación, cesión y encargado de tratamiento. Supuestos especiales. Derechos afectados. Medidas de Seguridad. Aportación del nuevo RD. Agencia de Protección de Datos. Infracciones y Sanciones. Páginas Web. Alcance. Medios de protección. Afectación de derechos de terceros en contenidos de una Página Web.

Publicidad.

Formatos. Sistema Ad Server. Cookies. Publicitario. Contratos. Contratos en Internet.

Propiedad Industrial. Ley de Patentes y Marcas.

¿Qué regula la legislación de patentes y marcas? registro de marcas y nombres comerciales.

[3]

Contrato

Tributación y Fiscalidad.

¿Qué regula la legislación sobre fiscalidad del comercio electrónico? introducción al entorno legal. ¿Cómo tributan los servicios prestados por vía electrónica? régimen especial de tributación del comercio electrónico.

Se dará prioridad absoluta a la claridad en la exposición y los conceptos. Todas las partes prácticas utilizarán el análisis de casos reales. La práctica será fundamentalmente interactiva con los alumnos, permitiendo que planteen sus dudas o preguntas e invitándoles a dar su opinión o exponer su experiencia propia.

2. CONTENIDO 2.1 GENERALIDADES DEL COMERCIO ELECTRÓNICO

2.1.1 Introducción. Análisis práctico-teórico en su conjunto. Desde los albores hasta el completo desarrollo de una plataforma tecnológica. Nombres de Dominios: Relación con marcas, nombres comerciales, denominación social. Plataforma Tecnológica: Servidores, contratos, Página Web, backoffice, protección legal. Contenidos:

Propios,

terceros,

transaccionales,

foros,

blog.

Aspectos legales afectos: propiedad intelectual, propiedad industrial, derechos de imagen, intimidad, privacidad. Servicios y/o productos ofertados: normativa afecta directa y/o conexa: LOPD, LSSI, Consumidores y Usuarios, Publicidad. Afectación interna de la normativa de protección de datos de carácter personal. Fiscalidad en las transacciones de comercio electrónico. Otros ámbitos de actuación relacionados con el comercio electrónico: juego, concursos, sorteos, menores, seguridad, firma electrónica y dni-electrónico. Responsabilidades de los titulares de un negocio electrónico: civiles, penales, administrativas. Visión conjunta de la mayoría de los extremos enunciados a través de ejemplos prácticos. Estudio, valoración, diseño y puesta en marcha de un negocio electrónico.

[4]

Plataforma Tecnol贸gica

Dominios

C贸digo

Servidor

Marcas

Housing

Nom. Comerciales

Registradores

Den. Social

Reseller

Contratos

Contenidos

Hosting Cloud Computing

Propios

Contratos

Terceros

LSSI

Prop. Intelectual

Acuerdos

Prop. Intelectual

LOPD

Prop. Industrial

Contratos

Prop. Industrial

Consum. Usuarios

Responsabilidad

2.1.2 Nombres de Dominio. Utilidades Nombres de dominio e Internet (direcciones IP). –

El IP (Internet Protocol) es el sistema básico de comunicación que se utiliza en Internet, a través del cual se asignan direcciones de carácter numérico a cada ordenador conectado a Internet.

Domain Name System (DNS). –

Sistema de asignación de nombres a direcciones numéricas.

Origen de los Nombres de Dominio y finalidad. –

Nacieron como un sistema creado por la "University of Southern California, USC", con el fin de ayudar al usuario de Internet relacionando las direcciones numéricas con nombres de dominio.

Estructura Estructura jerárquica. www.montemosunnegocio.com –

Http Hypertext Transfer Protocol. Protocolo de comunicación utilizado por la World Wide Web para la comunicación de los equipos conectados a Internet.

Dominios de primer nivel, genéricos y geográficos (gTLDs y ccTLDs). –

Grupo de letras que va desde el final hasta el primer punto. Existen dos grupos principales de dominios. •

GENÉRICOS: Atienden a una distribución por actividades (.gov, .mil, .edu, .com, .org, .net).

•

GEOGRÁFICOS:

suelen

representar

países,

constituyéndose por las dos iniciales de cada país (uk, es, fr, sk, cf). Dominios de segundo nivel. –

Corresponde en este caso al nombre con el que deseamos ser conocidos: organización, nombre comercial, producto, servicio en la que reside la página, en nuestro caso MONTEMOS UN NEGOCIO.

Importancia Identificación de personas físicas y jurídicas. Nombres vs. Números. Fácil búsqueda de nombres de dominio. Fácil memorización de Nombres de Dominio. Identificación con signos distintivos de la actividad empresarial (nombre comercial, marca, etc.). Fundamentos Jurídicos Normativa de referencia: Ley 17/2001, de 7 de diciembre, de Marcas. –

El artículo 34.2 establece el derecho de “ius prohibendi” de los titulares de una marca determinada para que puedan evitar el uso de su marca en nombres de dominio o signos en redes de comunicación telemática. Este apartado se aplica para los casos previstos en el apartado anterior del mismo artículo: marcas idénticas para productos idénticos; marcas semejantes para productos semejantes; y marcas notorias o renombradas.

Ley 3/1991, de 10 de enero, de Competencia Desleal. –

Para aquellos supuestos que, en principio, pueden verse afectados los nombres de dominio como los del artículo 6 de la LCD, que regula los actos susceptibles de generar confusión o asociación en el mercado, y los del art. 11, que regula la explotación de la reputación ajena.

Marca es todo signo susceptible de representación gráfica que sirva para distinguir en el mercado los productos o servicios de una empresa de los de otras (art. 4). El registro de la marca confiere a su titular el derecho exclusivo a utilizarla en el tráfico económico (art. 34.1). Se reconocen al titular de la marca una serie de derechos y obligaciones; en particular un ius prohibendi (art.34.2). El ius prohibendi tiene por objeto impedir que se pueda inducir a errores, que se pueda ocasionar una confusión en el mercado o que se pueda generar un riesgo de asociación con otros signos distintivos.

[7]

Relación con la Ley de Competencia Desleal. Actos prohibidos: •

Actos susceptibles de generar confusión o asociación en el mercado (artículo 6 LCD).

•

Explotación de la reputación ajena (artículo 11 LCD).

Frente a Marcas TIPOLOGÍA DE CONFLICTOS. –

Ocupación de Dominios o “cybersquatting”.

–

Piratería.

–

Otros.

POSIBLES SOLUCIONES. –

Comprar el dominio.

–

Utilizar otro dominio.

–

Resolución alternativa de conflictos.

–

•

Mediación.

•

Arbitraje.

Vía judicial.

Agentes Registradores Hay muchos prestadores de servicios que pueden prestarnos el servicio de registro del dominio. Solamente algunos de ellos se encuentran reconocidos por las entidades gestoras que establecen las políticas de uso y registro. Los que no se encuentran reconocidos son los denominados Reseller. Cuidado a la hora de registrar: Titularidad del dominio a nombre del prestador del servicio. Whois: Conocer de antemano a quién pertenece el nombre de dominio: libre, ocupado, expiración. Procedimiento de registro: Efectuemos un registro de un nombre de dominio.

[8]

2.1.3 Previo al comercio electrónico. Contratos Como en toda relación contractual y/o actividad con un tercero se hace imprescindible la aceptación o suscripción de contratos. Principales contratos informáticos para poder desarrollar la actividad de comercio electrónico: –

Contrato de Diseño de Página Web.

–

Contrato de Hosting.

–

Contrato de Housing.

–

Contrato de Suministro de Contenidos.

–

Contrato de Cesión de Derechos de Propiedad Intelectual.

–

Contratos Publicitarios.

CONTRATO DE DISEÑO WEB Contrato en virtud del cual una persona física o jurídica -clienteencarga a una empresa especializada o profesional del diseño la construcción de un Sitio Web a cambio de una remuneración bajo la conformidad de las necesidades y contenidos que el cliente demande. –

Objeto.

–

Características y descripción del Sitio Web a desarrollar.

–

Duración.

–

Remuneración y Forma de Pago.

–

Responsabilidad de las partes.

–

Exclusividad.

–

Derechos de Propiedad Intelectual.

–

Subcontratación.

–

Resolución.

–

Legislación aplicable y Tribunales.

[9]

CONTRATO DE HOSTING Contrato en virtud del cual una empresa de servicios de Internet aloja o alberga el Sitio Web del cliente destinando un espacio en su servidor a cambio de una remuneración. La empresa prestadora del servicio de hosting alquila al cliente el hardware y el software de su propiedad

para

distintos

servicios:

alojamiento;

gestión;

mantenimiento; actualización de la Página Web del cliente por un tiempo determinado y a cambio de un precio. –

Objeto.

–

Duración.

–

Remuneración y Forma de Pago.

–

Espacio destinado al cliente en el servidor.

–

Recursos técnicos del prestador de servicio.

–

Obligaciones de las partes.

–

Responsabilidad de las partes.

–

Confidencialidad y Protección de Datos.

–

Resolución.

–

Legislación aplicable y Tribunales.

CONTRATO DE HOUSING Contrato en virtud del cual una empresa dedicada a la prestación de servicios informáticos se compromete a ubicar en sus instalaciones un determinado hardware propiedad del cliente y a prestar al cliente una serie de servicios adicionales como el mantenimiento del hardware a cambio de un precio. –

Objeto.

–

Duración.

–

Remuneración y Forma de Pago.

–

Instalación de los equipos.

–

Recursos técnicos del prestador de servicio.

–

Servicios adicionales.

–

Garantías.

–

Condiciones de uso.

[10]

–

Responsabilidad de las partes.

–

Confidencialidad y Protección de Datos.

–

Resolución.

–

Legislación aplicable y Tribunales.

CONTRATO DE SUMINISTRO DE CONTENIDOS Contrato en virtud del cual una de las partes, el suministrador – creador o titular de los derechos de explotación sobre determinados contenidos- suministrará y pondrá a disposición de la otra parte, el suministrado, determinados contenidos para que sean comunicados públicamente a través de una determinada Página Web a cambio de una contraprestación. –

Objeto.

–

Duración.

–

Remuneración y Forma de Pago.

–

Descripción de los contenidos suministrados.

–

Régimen de exclusividad.

–

Derechos de propiedad intelectual.

–

Subcontratación.

–

Responsabilidad de las partes.

–

Resolución.

CONTRATO DE SUMINISTRO DE CONTENIDOS Se pueden diferenciar tres tipos de contenidos: –

Creados por los empleados del cliente: se presume que los derechos de explotación han sido cedidos en exclusiva al empresario (artículo 51 TRLPI).

–

Que han pasado al dominio público: posibilidad de uso siempre que se respete la autoría e integridad de las obras.

–

Contenidos ajenos: es necesario la cesión de los derechos de explotación por parte de los titulares (artículo 43 TRLPI), salvo que se trate de una cita o reseña.

[11]

CONTRATO DE CESIÓN DE DERECHOS DE P.I. Contrato en virtud del cual el creador de una obra cede los derechos de explotación –reproducción, distribución, comunicación pública y transformación- a otra a cambio de una contraprestación. –

Objeto.

–

Duración.

–

Remuneración y forma de pago.

–

Descripción de los derechos que se ceden.

–

Límites.

–

Régimen de exclusividad.

–

Causas de resolución.

–

Responsabilidad de las partes.

–

Legislación aplicable y Tribunales.

CONTRATO PUBLICITARIO Contrato en virtud del cual un sitio Web y un anunciante de una marca comercial o de un producto, acuerdan la inclusión de publicidad en dicho sitio Web mediante el alquiler de un espacio en éste, por ejemplo a través de banners, a cambio de un precio. –

Objeto.

–

Duración.

–

Características de tamaño, animación y duración.

–

Remuneración y forma de pago.

–

Modificaciones.

–

Propiedad intelectual.

–

Recursos del portal.

–

Régimen de exclusividad.

–

Causas de resolución.

–

Responsabilidad de las partes.

–

Legislación aplicable y Tribunales.

[12]

2.1.4 Otros contratos informáticos. CONTRATO DE LICENCIA DE USO Contrato en virtud del cual una parte, el titular de los derechos de explotación, concede a la otra parte, el usuario, el derecho a utilizar un programa informático o software a cambio de un precio que éste se compromete a pagar, conservando el titular la propiedad sobre el mismo. Es uno de los tipos contractuales más comunes. Principales característica del derecho de uso. –

No exclusividad.

–

Intrasmisibilidad.

–

Cesión de uso definido en el tiempo.

–

Territorialidad.

CONTRATO DE LICENCIA DE USO Licencia individual/corporativa. Licencia personalizada/estándar. –

Definiciones.

–

Objeto.

–

Condiciones de la licencia.

–

Entrega del software.

–

Precio y forma de pago.

–

Responsabilidad de las partes.

–

Propiedad intelectual.

–

Causas de resolución.

–

Confidencialidad.

–

Protección de datos de carácter personal.

–

Ley aplicable y jurisdicción competente.

[13]

CONTRATO DE MANTENIMIENTO Contrato por el cual una parte, la empresa de mantenimiento, se obliga a prestar el servicio de mantenimiento sobre un equipo físico o lógico, a cambio de un precio que la otra parte, el cliente, se compromete a pagar. Dos características de la importancia del presente contrato: –

Los programas de ordenador están sometidos a constantes cambios, mejoras y deterioros por el transcurso del tiempo o simples errores que requieren que se corrijan.

–

Cuando el cliente no dispone de personal técnico procede a la contratación de una empresa especializada que suele ser la que desarrolló el software.

CONTRATO DE MANTENIMIENTO Mantenimiento preventivo. Mantenimiento correctivo: –

De primera línea.

–

De segunda línea.

Mantenimiento evolutivo. Mantenimiento formativo. –

Definiciones.

–

Objeto.

–

Duración.

–

Precio y forma de pago.

–

Tiempos de respuesta.

–

Deber de colaboración.

–

Causas de resolución.

–

Responsabilidad de las partes.

–

Confidencialidad.

–

Protección de datos de carácter personal.

–

Compromiso de no contratación.

–

Cláusula de cobertura de días festivos.

–

Ley aplicable y tribunales competentes.

[14]

CONTRATO DE DESARROLLO A MEDIDA Contrato en virtud del cual una de las partes, el desarrollador, se compromete a la realización del diseño, desarrollo e implantación de una aplicación informática de acuerdo con los requerimientos o especificaciones funcionales de la otra parte, el cliente, establecidos en un documento que se suele incorporar al contrato como anexo llamado Análisis Funcional, a cambio de un precio. Fases: –

Análisis y diseño de la aplicación (análisis funcional).

–

Desarrollo o programación de la aplicación.

–

Entrega e implantación.

–

Pruebas.

–

Posible mantenimiento.

Definiciones. Objeto. Fases. Precio y forma de pago. Duración del desarrollo de la aplicación. Penalizaciones por retraso del desarrollador en las fechas de entrega. Lugar de prestación de los servicios. Servicio de mantenimiento. Gestión de cambios. Comité de Seguimiento. Pruebas. Garantía. Deber de colaboración. Responsabilidad de las partes. Propiedad intelectual de lo desarrollado. Confidencialidad. Protección de datos de carácter personal. Causas de resolución. Legislación aplicable y jurisdicción competente.

[15]

2.2. LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y DE COMERCIO ELECTRÓNICO. 2.2.1. Introducción. LSSI (o LSSICE) son las iniciales de Ley de Servicios de la Sociedad de Información de España, aunque en realidad su nombre completo es Ley 34/2002, de 11 de julio de Servicios de la Sociedad de Información y Comercio Electrónico. El objeto de la LSSI es la regulación del régimen jurídico de los servicios de la sociedad de la información y de la contratación por vía electrónica, en lo referente a: -

Las obligaciones de los prestadores de servicios incluidos los que actúen como intermediarios en la transmisión de contenidos por las redes de telecomunicaciones.

Las comunicaciones comerciales por vía electrónica.

La información previa y posterior a la celebración de contratos electrónicos.

Las condiciones relativas a su validez y eficacia.

El régimen sancionador aplicable a los prestadores de servicios de la sociedad de la información.

Antes de conocer las estipulaciones legales, conviene conocer una serie de conceptos básicos en esta materia, y la definición que se da a los mismos. Son los siguientes: 

Servicios de la sociedad de la información o servicios:

Todo servicio prestado normalmente a título oneroso, a distancia, por vía electrónica y a petición individual del destinatario.

[16]

RECUERDE: Los elementos que definen un Servicio de la Sociedad de la Información, serán: - Carácter oneroso. - Que sea a distancia. - Por vía electrónica. - Petición individual del destinatario.

El concepto de servicio de la sociedad de la información comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios. Son servicios de la sociedad de la información, entre otros y siempre que representen una actividad económica, los siguientes: -

La contratación de bienes o servicios por vía electrónica.

La organización y gestión de subastas por medios electrónicos o de mercados y centros comerciales virtuales.

La gestión de compras en la red por grupos de personas.

El envío de comunicaciones comerciales.

El suministro de información por vía telemática.

No tendrán la consideración de servicios de la sociedad de la información los que no reúnan las características señaladas en el primer párrafo de este apartado y, en particular, los siguientes: -

Los servicios prestados por medio de telefonía vocal, fax o télex.

El intercambio de información por medio de correo electrónico u otro medio de comunicación electrónica equivalente para fines ajenos a la actividad económica de quienes lo utilizan.

Los servicios de radiodifusión televisiva (incluidos los servicios de cuasivídeo a la carta), contemplados en la Ley 25/1994 de 12 de Julio.

Los servicios de radiodifusión sonora,

El teletexto televisivo y otros servicios equivalentes como las guías electrónicas de programas ofrecidas a través de las plataformas televisivas. 

SERVICIO DE INTERMEDIACION:

[17]

Servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información RECUERDE: Son servicios de intermediación: - la provisión de servicios de acceso a Internet, - la transmisión de datos por redes de telecomunicaciones, - la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, - el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros - la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet. - de las páginas de Internet solicitadas por los usuarios, - el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros. - la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.



PRESTADOR / PRESTADOR DE SERVICIOS

Persona física o jurídica que proporciona un servicio de la sociedad de la información. 

DESTINATARIO DEL SERVICIO/ DESTINATARIO:

Persona física o jurídica que utiliza, sea o no por motivos profesionales, un servicio de la sociedad de la información.



CONSUMIDOR:

Persona física o jurídica en los términos establecidos en la Ley General para la Defensa de los Consumidores y Usuarios. (A los efectos de esta Ley, son consumidores o usuarios las personas físicas o jurídicas que adquieren, utilizan o disfrutan como destinatarios finales, bienes muebles o inmuebles, productos, servicios, actividades o funciones, cualquiera que sea la naturaleza pública o privada, individual o colectiva de quienes los producen, facilitan, suministran o expiden). [18]



COMUNICACIÓN COMERCIAL:

Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional. No tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica. 

PROFESIÓN REGULADA:

Toda actividad profesional que requiera para su ejercicio la obtención de un título, en virtud de disposiciones legales o reglamentarias (abogado, médico, ingeniero, etc). 

CONTRATO ELECTRÓNICO O CONTRATO CELEBRADO POR VIA ELECTRONICA:

Todo contrato en el que la oferta y la aceptación se transmiten por medio de equipos electrónicos de tratamiento y almacenamiento de datos, conectados a una red de telecomunicaciones. 

AMBITO NORMATIVO COORDINADO:

Todos los requisitos aplicables a los prestadores de servicios de la sociedad de la información, ya vengan exigidos por la presente Ley u otras normas que regulen el ejercicio de actividades económicas por vía electrónica, o por las leyes generales que les sean de aplicación, y que se refieran a los siguientes aspectos: o

Comienzo de la actividad, titulaciones profesionales o cualificaciones requeridas, la publicidad registral, las autorizaciones administrativas o colegiales precisas, los regímenes de notificación a cualquier órgano u organismo público o privado,

Posterior ejercicio de dicha actividad, como los requisitos referentes a la actuación del prestador de servicios, a la calidad, seguridad y contenido del servicio, o los que afectan a la publicidad y a la contratación por vía electrónica y a la responsabilidad del prestador de servicios.

[19]

No quedan incluidos en este ámbito las condiciones relativas a las mercancías y bienes tangibles, a su entrega ni a los servicios no prestados por medios electrónicos. 

ÓRGANO COMPETENTE:

Todo órgano jurisdiccional o administrativo, ya sea de la Administración General del Estado, de las Administraciones Autonómicas, de las Entidades locales o de sus respectivos organismos o entes públicos dependientes, que actúe en el ejercicio de competencias legalmente atribuidas. EJEMPLO: Como vemos, la interpretación de lo que se considera incluido dentro del ámbito de aplicación de la LSSI se basa en que la actividad que se realice ha de "suponer una actividad económica para el prestador". Esto no significa, necesariamente, que deba existir una contraprestación susceptible de valoración pecuniaria. Por ejemplo, una persona física que tiene una página de información sobre aeromodelismo, sin desarrollo ninguna actividad que le suponga una remuneración derivada de dicha actividad, no parece que haya de sujetarse a esta Ley. Si la página incluyera publicidad, entonces sí pasa a serle de aplicación la LSSI. Sin embargo, podrá haber páginas informativas sin publicidad e incluso sin ingresos que constituyan servicios de la sociedad de la información, al suponer una actividad económica para el prestador. Por ejemplo, una página web en la que un abogado laboralistas informa de forma gratuita de las últimas novedades en materia de legislación laboral sería un servicio de la sociedad de la información y le sería de aplicación lo dispuesto en la LSSI, pues aunque el acceso sea gratuito, la información está relacionada con una actividad económica del titular de la misma.

2.2.1.1. Ámbito de aplicación. El ámbito de aplicación de la LSSI se establece tanto en función del destinatario de los servicios, como de la ubicación del prestador de los mismos, lo cual es una lógica consecuencia del carácter transnacional de las nuevas tecnologías. Así, se distinguen tres supuestos, dependiendo del lugar donde esté establecido el prestados de servicios.

[20]

1. Prestadores de servicios establecidos en España. La LSSI será de aplicación a los prestadores de servicios de la sociedad de la información establecidos en España y a los servicios prestados por ellos. Se entiende que un prestador de servicios está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios. En otro caso, se atenderá al lugar en que se realice dicha gestión o dirección. También será de aplicación a los servicios de la sociedad de la información que los prestadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España. Se considera que un prestador opera mediante un establecimiento permanente situado en territorio español cuando disponga en el mismo, de forma continuada o habitual, de instalaciones o lugares de trabajo, en los que realice toda o parte de su actividad. Se presumirá que el prestador de servicios está establecido en España cuando el prestador o alguna de sus sucursales se haya inscrito en el Registro Mercantil o en otro registro público español en el que fuera necesaria la inscripción para la adquisición de personalidad jurídica. La utilización de medios tecnológicos situados en España, para la prestación o el acceso al servicio, no servirá como criterio para determinar, por sí solo, el establecimiento en España del prestador.

[21]

2. Prestadores

servicios

establecidos

otro

estado

miembro de la unión o del espacio económico europeo. La LSSI se aplicará a los prestadores de servicios de la sociedad de la información establecidos en otro Estado miembro de la Unión Europea o del Espacio Económico Europeo cuando el destinatario de los servicios radique en España y los servicios afecten a las materias siguientes:



Derechos de propiedad intelectual o industrial.



Emisión de publicidad por instituciones de inversión colectiva.



Actividad de seguro directo realizada en régimen de derecho de establecimiento o en régimen de libre prestación de servicios.



Obligaciones nacidas de los contratos celebrados por personas físicas que tengan la condición de consumidores.



Régimen de elección por las partes contratantes de la legislación aplicable a su contrato.



Licitud de las comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente no solicitadas.

En todo caso, la constitución, transmisión, modificación y extinción de derechos reales sobre bienes inmuebles sitos en España se sujetará a los requisitos formales de validez y eficacia establecidos en el ordenamiento jurídico español. 3. Prestadores de servicios establecidos en un estado no perteneciente a la unión Europea o al espacio económico europeo. Los prestadores que dirijan sus servicios específicamente al territorio español quedarán sujetos a las obligaciones previstas en la LSSI, siempre que

ello

contravenga

establecido

tratados

convenios

internacionales que sean aplicables. Es decir, que basta con que los servicios estén específicamente dirigidos a territorio español para que sea de aplicación la LSSI.

[22]

2.2.1.2. Servicios excluidos del ámbito de aplicación de la ley. Existen unas actividades que se regulan por su normativa específica, sin que le sea de aplicación lo dispuesto en la LSSI: 

Los servicios prestados por notarios y registradores de la propiedad y mercantiles en el ejercicio de sus respectivas funciones públicas.



Los servicios prestados por abogados y procuradores en el ejercicio de sus funciones de representación y defensa en juicio.

Por otro lado, aunque la LSSI es aplicable a los juegos de azar que impliquen apuestas de valor económico, quedan exceptuados de su aplicación los juegos de azar prestados por prestadores establecidos en algún país de la Unión Europea, o del Espacio Económico Europeo, en aplicación del principio de libre prestación de servicios. 2.2.2. El principio de libre prestación de servicios. Hay dos principios fundamentales en materia de prestación de servicios de la sociedad de la información: 2.2.2.1. No sujeción a autorización previa. La autorización previa se refiere a la necesidad de contar con un acto medida o resolución administrativa para poder iniciar una determinada actividad. En materia de servicios de la sociedad de la información, no es precisa autorización administrativa alguna para comenzar a prestar los mismos. 2.2.2.2. Libre prestación de servicios. La prestación de servicios de la sociedad de la información que procedan de un prestador establecido en algún Estado miembro de la Unión Europea o del Espacio Económico Europeo se realizará en régimen de libre prestación de servicios, sin que pueda establecerse ningún tipo de restricciones a los mismos por razones derivadas del ámbito normativo coordinado, excepto cuando el prestador de servicios se encuentre en la Unión Europea y los servicios se refieran a: -

Derechos de propiedad intelectual o industrial.

Emisión de publicidad por instituciones de inversión colectiva.

[23]

Actividad de seguro directo realizada en régimen de derecho de

establecimiento o en régimen de libre prestación de servicios. Obligaciones nacidas de los contratos celebrados por personas

físicas que tengan la condición de consumidores. Régimen de elección por las partes contratantes de la legislación

aplicable a su contrato. Licitud de las comunicaciones comerciales por correo electrónico u

otro medio de comunicación electrónica equivalente no solicitadas.



Restricciones a la prestación de servicios:

Se podrán adoptar medidas para interrumpir la prestación de los servicios o retirar los datos que los vulneran con las siguientes finalidades: -

La salvaguarda del orden público, la investigación penal, la seguridad pública y la defensa nacional.

La protección de la salud pública o de las personas físicas o jurídicas que tengan la condición de consumidores o usuarios, incluso cuando actúen como inversores.

El respeto a la dignidad de la persona y al principio de no discriminación por motivos de raza, sexo, religión, opinión, nacionalidad, discapacidad o cualquier otra circunstancia personal o social,

La protección de la juventud y de la infancia.

Para la adopción de estas medidas restrictivas se deberán respetar, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a la intimidad personal y familiar, a la protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando estos pudieran resultar afectados. En todos los casos en los que la Constitución y las Leyes reguladoras de los respectivos derechos y libertades así lo prevean de forma excluyente, sólo la autoridad judicial competente podrá adoptar las medidas previstas en este artículo.

[24]

La adopción de restricciones a la prestación de servicios de la sociedad de la información provenientes de prestadores establecidos en un Estado de la Unión Europea o del Espacio Económico Europeo distinto a España deberá seguir un procedimiento específico de cooperación intracomunitario 2.2.3. Obligaciones y responsabilidad de los prestadores de servicios de la sociedad de la información. A continuación expondremos lo que un prestador de servicios de la sociedad de la información debe tener siempre presente a la hora de prestar los servicios, tanto en lo relativo a las obligaciones que debe cumplir, como a las posibles responsabilidades en que pueda incurrir en su actividad. 2.2.3.1. Obligaciones. 

Información general:

El prestador de servicios de la sociedad de la información estará obligado a disponer de los medios que permitan, tanto a los destinatarios del servicio como a los órganos competentes, acceder por medios electrónicos, de forma permanente, fácil, directa y gratuita, a la siguiente información: o

Su nombre o denominación social; su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España; su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.

Los datos de su inscripción en el Registro Mercantil en el que, en su caso, se encuentren inscritos o de aquel otro registro público en el que lo estuvieran para la adquisición de personalidad jurídica o a los solos efectos de publicidad.

En el caso de que su actividad estuviese sujeta a un régimen de autorización

administrativa

previa,

los

datos

relativos

dicha

autorización y los identificativos del órgano competente encargado de su supervisión. o

Si ejerce una profesión regulada deberá indicar: -

Los datos del Colegio profesional al que, en su caso, pertenezca y número de colegiado.

El título académico con el que cuente.

[25]

El Estado de la Unión Europea o del Espacio Económico Europeo en el que se expidió dicho título y, en su caso, la correspondiente homologación o reconocimiento.

Las normas profesionales aplicables al ejercicio de su profesión y los medios a través de los cuales se puedan conocer, incluidos los electrónicos.

El número de identificación fiscal que le corresponda.

Cuando el servicio de la sociedad de la información haga referencia a precios, se facilitará información clara y exacta sobre el precio del producto o servicio, indicando si incluye o no los impuestos aplicables y, en su caso, sobre los gastos de envío o en su caso aquello que dispongan

las

normas

las

Comunidades

Autónomas

con

competencias en la materia. o

Los códigos de conducta a los que, en su caso, esté adherido y la manera de consultarlos electrónicamente.

RECUERDE: La obligación de facilitar esta información se dará por cumplida si el prestador la incluye en su página o sitio de Internet.

Cuando se haya atribuido un rango de numeración telefónica a servicios de tarificación adicional en el que se permita el acceso a servicios de la sociedad de la información y se requiera su utilización por parte del prestador de servicios, esta utilización y la descarga de programas informáticos que efectúen funciones de marcación, deberán realizarse con el consentimiento previo, informado y expreso del usuario. A tal efecto, el prestador del servicio deberá proporcionar al menos la siguiente información: 

Las características del servicio que se va a proporcionar.



Las funciones que efectuarán los programas informáticos que se descarguen, incluyendo el número telefónico que se marcará.



El procedimiento para dar fin a la conexión de tarificación adicional,

incluyendo

una

explicación

concreto en que se producirá dicho fin,

[26]

del

momento



El procedimiento necesario para restablecer el número de conexión previo a la conexión de tarificación adicional.

información

deberá

estar

disponible

manera

claramente visible e identificable.



Deber de colaboración de los prestadores de servicios de intermediación:

Los prestadores de servicios están obligados a cooperar con los órganos competentes cuando estos hayan ordenado la interrupción de la prestación de un servicio de la sociedad de la información o la retirada de determinados contenidos provenientes de prestadores establecidos en España Dicho órgano podrá ordenar a los citados prestadores que suspendan el correspondiente servicio de intermediación utilizado para la provisión del servicio de la sociedad de la información o de los contenidos cuya interrupción o retirada hayan sido ordenados respectivamente. Si para garantizar la efectividad de la resolución que acuerde la interrupción de la prestación de un servicio o la retirada de contenidos procedentes de un prestador establecido en un Estado no perteneciente a la Unión Europea o al Espacio Económico Europeo, el órgano competente estimara necesario impedir el acceso desde España a los mismos, y para ello fuera necesaria la colaboración de los prestadores de servicios de intermediación establecidos en España, dicho órgano podrá ordenar a los citados prestadores de servicios de intermediación que suspendan el correspondiente servicio de intermediación utilizado para la provisión del servicio de la sociedad de la información o de los contenidos cuya interrupción o retirada hayan sido ordenados respectivamente. Para la adopción y cumplimiento de dichas medidas, se respetarán, en todo caso, las garantías, normas y procedimientos previstos en el ordenamiento jurídico para proteger los derechos a la intimidad personal y familiar, a la

[27]

protección de los datos personales, a la libertad de expresión o a la libertad de información, cuando estos pudieran resultar afectados. Asimismo,

cuando

Constitución,

las

normas

reguladoras

los

respectivos derechos y libertades o las que resulten aplicables a las diferentes materias atribuyan competencia a los órganos jurisdiccionales de forma excluyente para intervenir en el ejercicio de actividades o derechos, sólo la autoridad judicial competente podrá adoptar las medidas previstas en este artículo. RECUERDE: En particular, la autorización del secuestro de páginas de Internet o de su restricción cuando ésta afecte a los derechos y libertades de expresión

información

demás

amparados

los

términos

establecidos en el artículo 20 de la Constitución solo podrá ser decidida por los órganos jurisdiccionales competentes.

Las

medidas

que

hace

referencia

este

artículo

serán

objetivas,

proporcionadas y no discriminatorias, y se podrán adoptar de forma cautelar o en ejecución de las resoluciones que se dicten.



Obligaciones de información sobre seguridad:

Los proveedores de servicios de intermediación establecidos en España que realicen actividades consistentes en la prestación de servicios de acceso a Internet, estarán obligados a informar a sus clientes de forma permanente, fácil, directa y gratuita, sobre 

los diferentes medios de carácter técnico que aumenten los niveles de la seguridad de la información y permitan, entre otros, la protección frente a virus informáticos y programas espía, y la restricción de los correos electrónicos no solicitados.



las herramientas existentes para el filtrado y restricción del acceso a determinados contenidos y servicios en Internet no deseados o que puedan resultar nocivos para la juventud y la infancia.

[28]

las posibles responsabilidades en que puedan incurrir por el uso de



Internet con fines ilícitos, en particular, para la comisión de ilícitos penales y por la vulneración de la legislación en materia de propiedad intelectual e industrial. Asimismo, los proveedores de servicios de acceso a Internet y los prestadores de servicios de correo electrónico o de servicios similares deberán informar a sus clientes de forma permanente, fácil, directa y gratuita sobre las medidas de seguridad que apliquen en la provisión de los mencionados servicios. RECUERDE: Dichas obligaciones

información

darán

por

cumplidas

correspondiente proveedor incluye la información exigida en su página o sitio principal de Internet.

2.2.3.2. Responsabilidad de los prestadores de servicios. TODOS Los prestadores de servicios de la sociedad de la información están sujetos a la responsabilidad civil, penal y administrativa establecida con carácter general en el ordenamiento jurídico. Las redes de telecomunicaciones (en especial Internet) son ámbitos donde se pueden desarrollar actividades ilícitas, por lo que resulta fundamental delimitar la responsabilidad de os prestadores de servicios por el ejercicio de actividades de intermediación. Dicha responsabilidad se regula en la ley de acuerdo con las siguientes disposiciones:



Responsabilidad de los operadores de redes y proveedores de acceso:

No serán responsables por la información transmitida, salvo que ellos mismos hayan originado la transmisión, modificado los datos o seleccionado éstos o a los destinatarios de dichos datos.

[29]

RECUERDE: No se entenderá por modificación la manipulación estrictamente técnica de los archivos que alberguen los datos, que tiene lugar durante su transmisión.



Responsabilidad de los prestadores de servicios que realizan copia temporal de los datos solicitados por los usuarios:

Estos prestadores de lo que se conoce como “caching” o “memoria tampón” no serán responsables por el contenido de esos datos ni por la reproducción temporal de los mismos, si:

No modifican la información.

Permiten el acceso a ella sólo a los destinatarios que cumplan las condiciones impuestas a tal fin, por el destinatario cuya información se solicita.

Respetan las normas generalmente aceptadas y aplicadas por el sector para la actualización de la información.

interfieren

utilización

lícita

tecnología

generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilización de la información o

Retiran la información que hayan almacenado o hacen imposible el acceso a ella, en cuanto tengan conocimiento efectivo de: -

Que ha sido retirada del lugar de la red en que se encontraba inicialmente.

Que se ha imposibilitado el acceso a ella, o

Que un tribunal u órgano administrativo competente ha ordenado retirarla o impedir que se acceda a ella.



Responsabilidad de los prestadores de servicios de alojamiento o almacenamiento de datos:

Estos prestadores no serán responsables por la información almacenada a petición del destinatario, siempre que:

[30]

No tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o

Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.



Responsabilidad de los prestadores de servicios que faciliten enlaces a contenidos o instrumentos de búsqueda:

Los prestadores de servicios de la sociedad de la información que faciliten enlaces

otros

contenidos

incluyan

los

suyos

directorios

instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que: o

tengan

conocimiento

efectivo

que

actividad

información a la que remiten o recomiendan es ilícita o de que lesiona

bienes

derechos

tercero

susceptibles

indemnización, o o

Si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente.

DEFINICIONES: Se entenderá que el prestador de servicios tiene conocimiento efectivo de la ilicitud de una conducta cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse.

[31]

2.2.4. Las comunicaciones comerciales por vía electrónica. 2.2.4.1. Información exigida sobre comunicaciones comerciales, ofertas promocionales y concursos. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberán ser claramente identificable. RECUERDE: En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente, incluirán al comienzo del mensaje la palabra publicidad o la abreviatura publi. En los supuestos de ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales, previa la correspondiente autorización, se deberá asegurar, además del cumplimiento de los requisitos establecidos en el apartado anterior y en las normas de ordenación del comercio, que queden claramente identificados como tales y que las condiciones de acceso y, en su caso, de participación sean fácilmente accesibles y se expresen de forma clara e inequívoca. 2.2.4.2. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes. Lo aquí estipulado es parte de la lucha contra el llamado SPAM o “correo basura”, uno de los ámbitos en que más sanciones por incumplimiento se están imponiendo. El envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente queda prohibido, salvo que previamente hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Se establece una excepción: Lo dispuesto en el apartado anterior no será

[32]

de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente. RECUERDE: En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. EJEMPLO: Una librería jurídica que envía a un cliente, a través del correo electrónico publicidad

sobre

novedades

relacionadas

productos

similares

los

adquiridos no estaría vulnerando la LSSI, siempre que en todos los envíos facilitara una forma de oponerse a dichas comunicaciones.

2.2.4.3. Derechos de los destinatarios de los servicios. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente. A tal efecto, los prestadores de servicios deberán 

habilitar

procedimientos

sencillos

gratuitos

para

que

los

destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. 

facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2.2.5. La contratación electrónica. La contratación a través de medios electrónicos ha constituido una auténtica novedad para la que no bastaba la regulación tradicional de la legislación en materia de contratos.

[33]

Por ello, en la LSSI se han determinado los criterios para determinar los elementos fundamentales en la contratación por vía electrónica. 2.2.5.1. Validez y eficacia de los contratos celebrados por vía electrónica. Estos contratos producirán todos los efectos previstos por el ordenamiento jurídico, cuando concurran el consentimiento y los demás requisitos necesarios para su validez. Para su validez no será necesario el previo acuerdo de las partes sobre la utilización de medios electrónicos. Cuando la Ley exija que el contrato o cualquier información relacionada con el mismo consten por escrito, este requisito se entenderá satisfecho si el contrato o la información se contiene en un soporte electrónico. No será de aplicación lo dispuesto en el presente Título a: 

los contratos relativos al Derecho de familia y sucesiones.



Los contratos, negocios o actos jurídicos en los que la Ley determine para su validez o para la producción de determinados efectos la forma documental pública, o que requieran por Ley la intervención de órganos jurisdiccionales, notarios, registradores de la propiedad y mercantiles o autoridades públicas. 2.2.5.2. Prueba de los contratos celebrados por vía electrónica.

Respecto a la prueba de su celebración, son de aplicación las reglas generales del ordenamiento jurídico. Por otra parte, cuando los contratos celebrados por vía electrónica estén firmados electrónicamente se remite a lo establecido en el artículo 3 de la Ley 59/2003, de 19 de diciembre, de firma electrónica

[34]

RECUERDE: Recordemos que la firma electrónica proporciona las mismas garantías que la firma manuscrita en la contratación tradicional.

En todo caso, el soporte electrónico en que conste un contrato celebrado por vía electrónica será admisible en juicio como prueba documental. 2.2.5.3. Ley aplicable. Determinar la ley aplicable en materia de contratación electrónica es una cuestión fundamental cuando las partes de la contratación están ubicadas en diferentes países, lo que es cada día más habitual en este tipo de contratación. No obstante, no pretendemos en este curso entrar en profundidad en esta materia, por entender que excede de los objetivos del mismo. Por ello, nos limitaremos a señalar que, según el Convenio de Roma, cuando una de las partes es un consumidor, la ley aplicable será la del domicilio habitual del consumidor siempre que la celebración del contrato haya sido precedida por una oferta o publicidad especialmente dirigida al consumidor y este hubiera realizado en ese país todos los actos necesarios para la celebración del contrato 2.2.5.4. Obligaciones previas a la contratación. Además del cumplimiento de los requisitos en materia de información que veíamos anteriormente, el prestador de servicios de la sociedad de la información que realice actividades de contratación electrónica tendrá la obligación de poner a disposición del destinatario, antes de iniciar el procedimiento de contratación y mediante técnicas adecuadas al medio de comunicación utilizado, de forma permanente, fácil y gratuita, información clara, comprensible e inequívoca sobre los siguientes extremos: 

Los distintos trámites que deben seguirse para celebrar el contrato.



Si el prestador va a archivar el documento electrónico en que se formalice el contrato y si éste va a ser accesible.

[35]



Los medios técnicos que pone a su disposición para identificar y corregir errores en la introducción de los datos,



La lengua o lenguas en que podrá formalizarse el contrato.

RECUERDE: Esta obligación previa de información se dará por cumplida si el prestador la incluye en su página o sitio de Internet. Cuando el prestador diseñe específicamente sus servicios de contratación electrónica para ser accedidos mediante dispositivos que cuenten con pantallas de formato reducido, se entenderá cumplida la obligación establecida en este apartado cuando facilite de manera permanente, fácil, directa y exacta la dirección de Internet en que dicha información es puesta a disposición del destinatario. No será obligatorio facilitar dicha información en los siguientes casos: 

Cuando ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor,



Cuando el contrato se haya celebrado exclusivamente mediante intercambio de correo electrónico u otro tipo de comunicación electrónica equivalente.

Las ofertas o propuestas de contratación realizadas por vía electrónica serán válidas durante el período que fije el oferente o, en su defecto, durante todo el tiempo que permanezcan accesibles a los destinatarios del servicio. RECUERDE: En todo caso,

con

carácter

previo

inicio

del

procedimiento

contratación, el prestador de servicios deberá poner a disposición del destinatario las condiciones generales a que, en su caso, deba sujetarse el

contrato,

manera

que

éstas

reproducidas por el destinatario.

[36]

puedan

ser

almacenadas

2.2.5.5. Información posterior a la celebración del contrato. Una vez aceptada la oferta, la parte oferente está obligada a confirmar la recepción de la aceptación por alguno de los siguientes medios: 

El envío de un acuse de recibo por correo electrónico u otro medio de comunicación electrónica equivalente a la dirección que el aceptante haya señalado, en el plazo de las veinticuatro horas siguientes a la recepción de la aceptación.



La confirmación, por un medio equivalente al utilizado en el procedimiento de contratación, de la aceptación recibida, tan pronto como el aceptante haya completado dicho procedimiento, siempre que la confirmación pueda ser archivada por su destinatario.

En los casos en que la obligación de confirmación corresponda a un destinatario de servicios, el prestador facilitará el cumplimiento de dicha obligación, poniendo a disposición del destinatario alguno de los medios indicados

anteriormente.

Esta

obligación

será

exigible

tanto

confirmación debiera dirigirse al propio prestador o a otro destinatario. Se entenderá que se ha recibido la aceptación y su confirmación cuando las partes a que se dirijan puedan tener constancia de ello. En el caso de que la recepción de la aceptación se confirme mediante acuse de recibo, se presumirá que su destinatario puede tener la referida constancia desde que aquel haya sido almacenado en el servidor en que esté dada de alta su cuenta de correo electrónico, o en el dispositivo utilizado para la recepción de comunicaciones. No será necesario confirmar la recepción de la aceptación de una oferta cuando: 

Ambos contratantes así lo acuerden y ninguno de ellos tenga la consideración de consumidor,



contrato

haya

celebrado

exclusivamente

mediante

intercambio de correo electrónico u otro tipo de comunicación electrónica

equivalente,

cuando

[37]

estos

medios

sean

empleados con el exclusivo propósito de eludir el cumplimiento de tal obligación. 2.2.5.6. Lugar de celebración del contrato. Los contratos celebrados por vía electrónica en los que intervenga como parte un consumidor se presumirán celebrados en el lugar en que éste tenga su residencia habitual. Los contratos electrónicos entre empresarios o profesionales, en defecto de pacto entre las partes, se presumirán celebrados en el lugar en que esté establecido el prestador de servicios 2.2.6. Solución judicial y extrajudicial de conflictos. 2.2.6.1. Solución judicial: La acción de cesación. Esta acción tiene por finalidad obtener una sentencia que condene al demandado a cesar en la conducta contraria a la presente Ley y a prohibir su reiteración futura. También podrá ejercerse para prohibir la realización de una conducta cuando ésta haya finalizado al tiempo de ejercitar la acción, si existen indicios suficientes que hagan temer su reiteración de modo inminente. Se podrá interponer contra las conductas contrarias a la presente Ley que lesionen intereses colectivos o difusos de los consumidores. Están legitimados para interponer la acción de cesación: a. Las personas físicas o jurídicas titulares de un derecho o interés legítimo. b. Los grupos de consumidores o usuarios afectados. c. Las asociaciones de consumidores y usuarios. d. El Ministerio Fiscal. e. El Instituto Nacional del Consumo y los órganos correspondientes de las

Comunidades

Autónomas

las

Corporaciones

competentes en materia de defensa de los consumidores.

[38]

Locales

f. Las entidades de otros Estados miembros de la Unión Europea constituidas para la protección de los intereses colectivos o difusos de los consumidores. 2.2.6.2. Solución extrajudicial de conflictos. El prestador y el destinatario de servicios de la sociedad de la información podrán someter sus conflictos a los arbitrajes previstos en la legislación de arbitraje

defensa

los

consumidores

usuarios,

los

procedimientos de resolución extrajudicial de conflictos que se instauren por medio de códigos de conducta u otros instrumentos de autorregulación. 2.2.7. Infracciones y sanciones. Al igual que hemos visto en lo relativo a la protección de datos, es muy importante conocer cuáles son las conductas en esta materia que la ley tipifica como infracciones, y la consecuencia que dichas conductas llevan aparejadas. 2.2.7.1. Infracciones. La LSSI clasifica las infracciones en leves, graves y muy graves. 

Infracciones leves: o

incumplimiento

del

deber

información

sobre

seguridad. o

El incumplimiento del deber de información general.

El incumplimiento de lo previsto para las comunicaciones comerciales, ofertas promocionales y concursos.

envío

comunicaciones

comerciales

por

correo

electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos

establecidos

LSSI

constituya

infracción grave. o

No facilitar la información previa a la contratación, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.

[39]

incumplimiento

obligación

confirmar

recepción de una petición, cuando no se haya pactado su exclusión

el contrato

haya

celebrado

con

consumidor, salvo que constituya infracción grave. o

El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, cuando no constituya una infracción grave.

El incumplimiento de la obligación del prestador de servicios en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave.

El incumplimiento de lo establecido en el artículo 10.3 de la LSSI (relativo a la utilización y la descarga de programas

informáticos

que

efectúen

funciones

marcación, que deberán realizarse con el consentimiento previo, informado y expreso del usuario) .cuando no constituya infracción grave. 

Infracciones graves: o

El incumplimiento significativo de lo establecido en los párrafos a y f del artículo 10.1.de la LSSI. Recordemos que dichos apartados se refieren a la obligación de informar sobre: -

[40]

en su caso aquello que dispongan las normas de las Comunidades Autónomas con competencias en la materia. o

El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en la Ley.

incumplimiento

significativo

obligación

del

prestador de servicios, en relación con los procedimientos para

revocar

consentimiento

prestado

por

los

destinatarios. o

No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato.

El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor.

La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta Ley.

El incumplimiento significativo de lo establecido en el artículo 10.3 de la LSSI.

El incumplimiento significativo de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos.



Infracciones muy graves:

Tras la entrada en vigor de la LGT, tan sólo se tipifica como infracción grave la siguiente: El incumplimiento de la obligación de suspender la transmisión, el alojamiento de datos, el acceso a la red o la prestación de cualquier otro servicio equivalente de intermediación, cuando un órgano

[41]

administrativo competente lo ordene. Sanciones: INFRACCIONES

SANCIONES

LEVES

Hasta 30.000€

GRAVES

Entre 30.001€ y 150.000€

MUY GRAVES

Entre 150.001€ y 600.000€

La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años. Las infracciones graves y muy graves podrán llevar aparejada la publicación de la resolución sancionadora, a costa del sancionado, en el BOE, o en el diario oficial de la Administración pública que, en su caso, hubiera impuesto la sanción; en dos periódicos cuyo ámbito de difusión coincida con el de actuación de la citada Administración pública o en la página de inicio del sitio de Internet del prestador, una vez que aquélla tenga carácter firme. Para la imposición de esta sanción, se considerará la repercusión social de la infracción cometida, por el número de usuarios o de contratos afectados, y la gravedad del ilícito. Si las infracciones son cometidas por prestadores de servicios establecidos en Estados que no sean miembros de la Unión Europea o del Espacio Económico Europeo, se podrá ordenar a los prestadores de servicios de intermediación que tomen las medidas necesarias para impedir el acceso desde España a los servicios ofrecidos por aquellos por un período máximo de: 

Dos años en el caso de infracciones muy graves,



Un año en el de infracciones graves



Seis meses en el de infracciones leves.

[42]



Graduación de las infracciones:

Como vemos, existe una amplia horquilla dentro de la sanción que puede ser impuesta por una infracción. Para graduar la infracción se deberán tener en cuenta los siguientes criterios: 

La existencia de intencionalidad.



Plazo de tiempo durante el que se haya venido cometiendo la infracción.



La reincidencia por comisión de infracciones de la misma naturaleza, cuando así haya sido declarado por resolución firme.



La naturaleza y cuantía de los perjuicios causados.



Los beneficios obtenidos por la infracción.



Volumen

facturación

que

afecte

infracción

cometida.



Medidas provisionales:

Durante la tramitación del procedimiento sancionador, podrán acordarse las siguientes medidas: 

Suspensión temporal de la actividad del prestador de servicios

caso,

cierre

provisional

sus

establecimientos. 

Precinto, depósito o incautación de registros, soportes y archivos informáticos y de documentos en general, así como de aparatos y equipos informáticos de todo tipo.



Advertir al público de la existencia de posibles conductas infractoras y de la incoación del expediente sancionador de que se trate, así como de las medidas adoptadas para el cese de dichas conductas.

Para la adopción de tales medidas, se deberá respetar el principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan alcanzar en cada supuesto.

[43]

En casos de urgencia y para la inmediata protección de los intereses implicados, las medidas provisionales previstas en el presente artículo podrán ser acordadas antes de la iniciación del expediente sancionador. Las medidas deberán ser confirmadas, modificadas o levantadas en el acuerdo de iniciación del procedimiento, que deberá efectuarse dentro de los quince días siguientes a su adopción, el cual podrá ser objeto del recurso que proceda. En todo caso, dichas medidas quedarán sin efecto si no se inicia el procedimiento sancionador en dicho plazo o cuando el acuerdo de iniciación no contenga un pronunciamiento expreso acerca de las mismas.



Multa coercitiva:

El órgano administrativo competente para resolver el procedimiento sancionador podrá imponer multas coercitivas por importe que no exceda de 6.000 euros por cada día que transcurra sin cumplir las medidas provisionales que hubieran sido acordadas. 2.2.7.2. Prescripción de las infracciones y sanciones. son:

Prescripción de las infracciones:

Los plazos de prescripción de las infracciones tipificadas en la LSSI

Infracciones leves: Seis meses. Infracciones graves: Dos años. Infracciones muy graves: Tres años. -

Prescripción de las sanciones:

Los plazos de prescripción de las sanciones serán: Sanciones impuestas por infracciones leves: Un año. Sanciones impuestas por infracciones graves: Dos años. Sanciones impuestas por infracciones muy graves: Tres años.

[44]

2.3. LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y SU APLICACIÓN AL COMERCIO ELECTRÓNICO.

2.3.1. Introducción. 2.3.1.1. Origen e importancia de la protección de datos El origen de la protección de datos. Los dos aspectos fundamentales, a tener en cuenta en la regulación de la materia, son: a) El uso y tratamiento de un gran volumen de datos de los ciudadanos tanto por parte de los Estados como de entidades privadas. b) El reconocimiento de los derechos y libertades de aquellos, entre los que se encuentran la intimidad personal y familiar, y el establecimiento de un sistema de garantías de ésta. Por tanto las normas que regulan esta materia tienen un doble objetivo: Garantizar el respeto de los derechos y libertades de los individuos. Establecer límites y obligaciones a las organizaciones que disponen de los datos personales de los individuos. En cuanto al reconocimiento del derecho a la protección de datos en el marco jurídico español, el mismo se halla contemplado dentro de lo dispuesto por el artículo 18.4 de la Constitución Española, que establece que: "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos". Debemos tener presente, pues, que la protección de datos es un derecho de reconocimiento constitucional al que se le otorga la máxima protección. La importancia de la protección de datos. En cuanto a la responsabilidad de la empresa en la materia, debe tenerse siempre presente que la seguridad de los datos de sus clientes está en manos de todos y cada uno de los miembros de su empresa que hagan uso y

tratamiento [45]

los

mismos. La concienciación y capacitación en materia de Protección de Datos es imprescindible para garantizar una adecuada aplicación de las recomendaciones y pautas de actuación necesarias. La formación es la herramienta clave que permite al personal comprender la importancia de actuar conforme a unas buenas prácticas, así como asumir la responsabilidad de trasladarlas al uso y tratamiento de datos que lleven a cabo en su actividad diaria. Existen, además, poderosos argumentos para que las empresas se adapten a la normativa sobre protección de datos, pudiéndose destacar los siguientes: Mejora de la imagen corporativa. Mejora de la seguridad de los sistemas de trabajo. Mejora de la gestión. Obligatoriedad de su cumplimiento. Evitar sanciones. Recordemos que la media anual de sanciones impuestas por la AEPD (Agencia Española de Protección de Datos) entre 2007 y 2009 fue de 22.333.333 euros, imponiéndose en 2009 sanciones por importe de 24.800.000 euros, con una media de 66.800 euros por sanción. Muchas de las sanciones que viene imponiendo la AEPD se debe a errores cometidos por el personal que maneja las bases de datos de carácter personal debido a la falta de formación en la materia. 2.3.1.2 Ámbito de aplicación de la LOPD Ámbito territorial: En lo relativo al ámbito territorial la LOPD (Ley Orgánica de Protección de Datos), será de aplicación en los siguientes casos:

[46]

Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público. Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos, medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. Ámbito Subjetivo. Los datos de carácter personal: La LOPD establece que será de aplicación a: Los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado. 2.3.1.3 Los datos de carácter personal. Se entiende por datos personales a “cualquier información numérica, alfabética,

gráfica,

fotográfica,

acústica

cualquier

otro

tipo

concerniente a personas físicas identificadas o identificables”. Con esta definición se disipa cualquier posible duda sobre la cualidad de datos personales de, por ejemplo, las fotografías, o las grabaciones de imágenes o sonidos. Asimismo, también son considerados datos personales el número de DNI, el domicilio, dirección de correo postal o electrónico, etc. Igualmente, son datos personales los datos de características personales (nacionalidad, sexo, fecha de nacimiento...); datos académicos, laborales, profesionales y de detalles del empleo; o datos de información comercial, económico-financieros o de transacciones.

[47]

La Ley, además, especifica que estos datos deben ser referidos a: Personas físicas. Se está, por tanto, excluyendo del ámbito de aplicación a cualquier tipo de dato relativo a personas jurídicas. Personas identificadas o identificables. Es decir, que no se considerarán datos personales aquellos que no permitan identificar a los titulares de los mismos ni directa ni indirectamente. Sería lo que se denomina como “datos disociados”. 2.3.1.4 ¿Qué es tratamiento de datos? Se entiende por tratamiento de datos, las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Ficheros a los que No es de aplicación la LOPD. Se excluye del régimen de protección de los datos de carácter personal que se establece en la LOPD a los siguientes ficheros: Ficheros

mantenidos

por

personas

físicas

ejercicio

actividades exclusivamente personales o domésticas (como pueden ser las agendas de teléfonos y direcciones en un ordenador o teléfono móvil). Ficheros sometidos a la normativa sobre protección de materias clasificadas. Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Fuentes legítimas de obtención de datos. Las fuentes legítimas de obtención de datos son:

[48]

Datos

obtenidos

del

propio

interesado

con

consentimiento. El consentimiento legitima el tratamiento de datos para la finalidad para la que fueron recabados. Datos obtenidos de fuentes accesibles al público. Las fuentes accesibles al público son las siguientes: -

El censo promocional.

(las guías telefónicas, como las

populares “páginas amarillas”). -

Listas

personas

pertenecientes

grupos

profesionales. Siempre que contengan sólo los datos de: nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. -

Diarios y boletines oficiales.

Como

BOE,

los

Boletines

Oficiales

las

Comunidades

Autónomas, Diputaciones, Ayuntamientos, etc. -

Medios

comunicación.

(Periódicos,

revistas,

radios,

televisiones, etc.) Recuerde: Internet no es considerada como fuente accesible al público. Por tanto, la información encontrada en una página web, aunque sea de libre acceso, no tiene consideración de datos obtenidos legítimamente y no podrán ser objeto de tratamiento sin consentimiento de su titular.

Datos obtenidos de una cesión amparada por Ley. Cuando los datos hayan sido obtenidos al amparo o por imperativo de una norma con rango de Ley, su tratamiento será legítimo. Responsable y encargado del tratamiento de datos. -

El tratamiento de datos de carácter personal. Cualquier manejo de datos personales durante el desempeño de nuestro trabajo habitual, supone la realización de un tratamiento de datos (la recogida de datos personales del cliente en la hoja de encargo, el archivo de la documentación, enviar al banco los recibos de cobro a los clientes, etc).

[49]

a. El responsable del fichero o tratamiento. Responsable del fichero es la

persona física o jurídica, de naturaleza

pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Lo que define al responsable no es, pues, la realización material del tratamiento sino el poder de decisión que tiene sobre el tratamiento. Ejemplo: Un abogado será responsable del fichero o tratamiento cuando sea el que decida sobre la finalidad para la que se recogen y tratan los datos, cuando decida cuál va a ser el contenido del fichero, de qué datos de carácter personal va a estar compuesto y sobre qué uso se le va a dar a los datos que componen el fichero. Sería el caso de un abogado que ejerce por cuenta propia en su propio despacho y lleva sus propios casos y expedientes. En este caso, además, será el encargado del tratamiento. Si, por el contrario, el abogado trabaja para una firma o despacho de abogados, podrá ser encargado del tratamiento, pero el responsable del fichero sería la firma para quien trabaja.

Diferencias

ente

responsable

del

fichero

responsable del tratamiento: a) Responsable del fichero es quien decide la creación del fichero, su aplicación, finalidad, contenido y uso. b) Responsable del tratamiento es quien adopta decisiones sobre las concretas actividades de un determinado tratamiento de datos. Obligaciones del responsable del fichero: - Declarar

los

ficheros

datos

personales,

tanto

informatizados como manuales, previa identificación e inventario. - Informar de modo expreso, preciso e inequívoco a los interesados que se les soliciten los datos. - Recoger y tratar adecuadamente los datos. La fase de

[50]

recogida y tratamiento debe cumplir con los principios rectores de la protección de datos. El tratamiento debe ser legal y leal. - Facilitar el ejercicio de los derechos ARCO (acceso, rectificación, cancelación y oposición) a los interesados que lo soliciten - Garantizar también estos aspectos, en su caso, cuando el tratamiento de datos personales sea realizado por un tercero. - Garantizar la seguridad en el tratamiento de los datos personales, mediante la elaboración e implementación de documentos de seguridad. - Adoptar las medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología y los riesgos a que están expuestos. b. El encargado del tratamiento. Es la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del fichero, como consecuencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Habitualmente, dicha relación jurídica se formaliza mediante la firma de un contrato de Prestación de Servicios. Cesión de datos y transferencia internacional. -

La cesión de datos.

Se define la cesión o comunicación de datos como el “tratamiento de datos que supone su revelación a una persona distinta del interesado”. En el caso de la cesión de datos rige el principio de consentimiento.

[51]

Así, se establece que los datos de carácter personal únicamente podrán ser objeto

tratamiento

cesión

interesado

hubiera

prestado

previamente su consentimiento para ello. El consentimiento en estos casos será siempre revocable. Aquel a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley. Si la comunicación se efectúa previo procedimiento de disociación, no será aplicable lo establecido en los apartados anteriores. Recordemos que los datos disociados son aquellos que no permiten la identificación de un afectado o interesado. Excepciones al consentimiento: En materia de cesión de datos, se establecen unas excepciones a este principio de consentimiento como por ejemplo, cuando la cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de los datos. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. EJEMPLO: Una agencia de viajes podría realizar una cesión de los datos de un cliente a un hotel con la finalidad de formalizar la reserva. Es evidente que en este caso quien contrata con la agencia de viajes asume que la gestión lleva implícita la cesión de datos, si bien con límites: sólo será legítima la cesión de los datos imprescindibles para la eficacia de la relación jurídica y para la finalidad que los justifica (reserva hotelera).

Derecho de información: Es obligación del responsable del fichero informar a los afectados de la cesión, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.

[52]

La transferencia internacional de datos. Se entiende por transferencia internacional de datos: “tratamiento de datos que supone una transferencia de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español” Como vemos, la transferencia internacional de datos puede referirse a dos supuestos: -

Supuestos de cesión de datos.

Supuestos en que la transferencia se efectúa para el tratamiento de datos por cuenta de terceros.

Además,

en la transferencia de datos debemos tener en cuenta las

definiciones de otros sujetos intervinientes: Exportador de datos: persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero. Importador de datos: persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos. En principio, toda transferencia internacional de datos deberá respetar lo estipulado por la LOPD. A continuación distinguiremos los supuestos en función de que precisen, o no, autorización de la AEPD para su realización. La autorización previa de la AEPD: Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado que existe un nivel adecuado de protección, será necesario recabar la autorización del Director de la AEPD.

[53]

RECUERDE: En todos los casos, las transferencias internacionales de datos deberán ser notificadas al Registro General de Protección de Datos a fin de proceder a su inscripción, precisen autorización o no.

2.3.2. Agencia de protección de datos. Introducción La Agencia Española de Protección de Datos es el organismo público fundamental sobre el que se estructura toda la aplicación del sistema de protección de datos. www.agpd.es Es el máximo garante de su cumplimiento y el intérprete más cualificado del alcance y la correcta aplicación de las disposiciones en materia de protección de datos. ACUDE A LA WEB: www.agpd.es Además, la LOPD estableció que las funciones de la AEPD serán ejercidas, cuando afecten a ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos competentes de cada Comunidad.

RECUERDE: Los ficheros de titularidad privada serán siempre competencia de la AEPD.

Por otra parte,

también se prevé la posibilidad de que las Comunidades

Autónomas creen y mantengan sus propios registros de ficheros para el ejercicio de las competencias que tengan reconocidas. Naturaleza y régimen jurídico. La AEPD es un ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones. [54]

Actuará de conformidad con la Ley 30/1992 (Ley de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común). Funciones de la AEPD. La AEPD tiene asignadas, principalmente, las siguientes funciones:  Como función principal, la AEPD debe velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.  En relación con los afectados, la AEDP tendrá las funciones de: - Atender a sus peticiones y reclamaciones. - Información de los derechos reconocidos en la Ley. - Promover campañas de difusión a través de los medios.  En lo relativo con los encargados y responsables de ficheros y tratamiento, tiene las funciones de: - Emitir autorizaciones previstas en la Ley. - Requerir medidas de corrección. - Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos. - Ejercer la potestad sancionadora. - Recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria. - Autorizar las transferencias internacionales de datos. 2.3.2.2. El registro general de protección de datos. La inscripción de ficheros. -

¿Qué ficheros deben ser inscritos?

Podrán crearse ficheros de titularidad privada que contengan datos de carácter personal cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías establecidas en la LOPD.

[55]

Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos. Los ficheros de titularidad privada deberán ser notificados a la AEPD por la persona o entidad privada que pretenda crearlos con carácter previo a su creación.

¿Quién debe inscribir el fichero?

Están obligados a notificar la creación de ficheros para su inscripción en el RGPD, aquellas personas físicas o jurídicas, de naturaleza pública o privada, u órgano administrativo, que procedan a la creación de ficheros que contengan datos de carácter personal. Procedimiento de inscripción. La presentación de las solicitudes de inscripción de ficheros podrá realizarse indistintamente en soporte papel, informático o telemático, aunque en cualquiera de los casos, su cumplimentación debe realizarse a través del formulario electrónico de Notificaciones Telemáticas a la AEPD (sistema NOTA).

Formatos de presentación:

Telemático, a través de Internet, incorporando la posibilidad de utilizar firma electrónica.

formato

papel,

cumplimentada

mediante

formulario

NOTA,

incluyendo un código óptico de lectura para agilizar su inscripción. -

Para aquellos responsables de ficheros que requieran de un sistema más ágil de intercambio de información y quieran cumplir con sus obligaciones mediante sus propias aplicaciones informáticas, así como para aquellos desarrolladores de programas de protección de datos que quieran ofrecer a sus clientes la posibilidad de presentar las notificaciones de sus ficheros, se ha previsto un sistema de comunicación con la AEPD en formato XML a través de Internet con y sin certificado de firma electrónica reconocido.

[56]

EJEMPLO INSCRIPCIÓN FICHERO

[57]

[58]

[59]



DONDE SE PRESENTA LA NOTIFICACION:

Notificaciones realizadas a través de Internet con certificado de firma electrónica. Se remiten al Registro Telemático de la AEPD creado mediante Resolución de la Agencia Española de Protección de Datos de 12 de julio de 2006 (BOE núm. 181 de 31 de julio de 2006). Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, será necesario indicar al formulario que no se van a realizar más cambios mediante el botón «Finalizar formulario» antes de proceder a la firma de la notificación. De esta manera el formulario establecerá el control de la integridad de la notificación que se va a enviar. En este momento aparecerá un icono en el lugar previsto para la firma de la persona que efectúa la notificación. Pulsando el icono que aparece, se firmará la notificación con el certificado de firma reconocido correspondiente a la persona que, con representación suficiente del responsable del fichero, formula la notificación. Su sistema le informará de los certificados de firma de los que dispone, ya sea instalados en su navegador o en su tarjeta criptográfica. Una vez firmada, se enviará la notificación mediante el formulario electrónico al Registro Telemático de la AEPD mediante el [60]

botón «Generar/Enviar». Una vez recibida la notificación en el Registro Telemático de la AEPD, se emitirá por el mismo medio un mensaje de confirmación de la solicitud, en el que constarán los datos proporcionados por el interesado, junto con la acreditación de la fecha y hora en que produjo la recepción y una clave de identificación de la transmisión. El mensaje de confirmación se configurará de forma que pueda ser impreso o archivado informáticamente por el interesado y que garantizará la identidad del registro y tendrá el valor de recibo de presentación a efectos de lo dispuesto en el artículo 6.3 del Real Decreto 772/1999.

Notificaciones realizadas a través de Internet sin firma electrónica. Una vez cumplimentada la notificación y la Hoja de solicitud de forma correcta, deberá ser enviadas mediante el formulario electrónico pulsando el botón «Generar/Enviar» que se encuentra en la Hoja de solicitud. El formulario le indicará que se está conectando con el servidor de la AEPD y, acto seguido, el sistema le enviará la Hoja de solicitud (en formato PDF) que confirma que la notificación ha sido enviada correctamente. Dicha Hoja de solicitud, firmada por la persona que efectúa la notificación, es la que deberá remitir a la AEPD. Las solicitudes por internet (con o sin certificado de firma electrónica) pueden realizarse en las siguientes páginas web:

[61]

ACUDE A LA WEB: Para ficheros de titularidad pública: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros /Notificaciones_tele/obtencion_formulario/common/pdfs/Titularidad_Publica .pdf Para ficheros de titularidad privada: https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros /Notificaciones_tele/obtencion_formulario/common/pdfs/Titularidad_Privada .pdf

Notificaciones en soporte papel. Deben enviarse a la dirección de la AEPD (C/ Jorge Juan 6 28001 Madrid)

RECUERDE: Si se acredita que se ha solicitado la inscripción en el RGDP y que ha transcurrido más de un mes, el fichero se considera legalmente inscrito, aunque no haya habido respuesta a la solicitud y aunque no se haya procedido a su inscripción. En este caso, el responsable no podrá ser sancionado, pues no es el responsable de la no inscripción del fichero.

RECUERDE: La inscripción de los ficheros de titularidad privada debe instarse de forma previa a su creación. No hacerlo así puede constituir una infracción leve del art. 44.2.c) de la LOPD. Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD deberá comunicarse a la AEPD, mediante una solicitud dirigida a la AEPD, solicitando la modificación o supresión de la inscripción.

[62]

2.3.3 Derechos en protección de datos. Los derechos de arco. Los denominados “Derechos ARCO” son el conjunto de derechos a través de los cuales, la legislación vigente en materia de protección de datos de carácter personal- Ley Orgánica 15/1999, reconoce a los titulares de tales datos una serie de derechos, como son el derecho de acceso, rectificación, cancelación y oposición de sus datos personales (derechos ARCO). Aspectos comunes a todos los derechos ARCO: -

Son derechos de carácter personalísimo.

Esto significa: Que son derechos que sólo pueden ser ejercidos por el afectado. Cuando el afectado esté incapacitado o sea menor de edad, podrán ser ejercitados por su representante legal. El interesado podrá designar un representante para el ejercicio de los derechos.

Son derechos independientes.

El ejercicio de un derecho no puede ser condición previa para el ejercicio de otro. No podrá, por ejemplo, denegarse la cancelación de datos porque previamente no se haya ejercido el derecho de acceso.

Obligación de contestar.

El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, figuren o no datos personales del afectado en sus fichero.

Carga de la prueba del cumplimiento del deber de respuesta.

Corresponde al responsable del tratamiento la prueba del cumplimiento del deber de respuesta.

[63]

Subsanación de defectos

En el caso de que la solicitud no reúna los responsable del fichero deberá solicitarse la subsanación de los mismos.

Facilitar el ejercicio de los derechos.

Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos ARCO.

Procedimiento.

El ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:

Nombre y apellidos del interesado;

Fotocopia de DNI, Pasaporte o documento de identidad equivalente (del interesado y en su caso, de la persona que lo represente).

Petición en que se concreta la solicitud.

Dirección a efectos de notificaciones, fecha y firma del solicitante.

Documentos acreditativos de la petición que formula, en su caso.

Fecha y firma.

RECUERDE: Ejercicio de los derechos ante un encargado del tratamiento. Si el derecho se ejercita ante un encargado del tratamiento, el encargado deberá dar traslado al responsable del mismo, para que resuelva. No obstante, puede preverse en la relación existente con el responsable (en un contrato que debe suscribirse) que sea el encargado quien atenderá, por cuenta del responsable, las solicitudes de ejercicio de los derechos ARCO. Derecho de acceso. El Derecho de Acceso es la facultad o capacidad que se reconoce al afectado a obtener información sobre si sus datos de carácter personal: -

Están siendo objeto de tratamiento.

La finalidad del tratamiento, si existe.

La información disponible sobre el origen de dichos datos.

Las comunicaciones realizadas o previstas de dichos datos. [64]

El ejercicio del derecho de acceso se deberá atender tanto si se tienen datos del interesado como si no se tuvieran. Una vez recibida la solicitud, el Responsable del fichero (o, en su caso, el encargado del tratamiento, como vimos anteriormente) dispone de un mes para contestar a la solicitud. (a contar desde el día de recepción de la carta). Si no se contesta en un mes, la solicitud se entenderá desestimada. Denegación del acceso: Podrá denegarse el acceso a los datos en los siguientes casos: - Cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo interés legítimo al efecto. - En los supuestos en que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa. En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la AEPD. Derechos de rectificación y cancelación. -

Disposiciones comunes y disposiciones específicas.

El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos. El derecho de cancelación es el derecho a la supresión de los datos que resulten ser inadecuados o excesivos. Ejercicio de los derechos de rectificación y cancelación: En caso de solicitud de rectificación, la solicitud, además de los datos comunes que vimos anteriormente, deberá especificar: -

A qué datos se refiere.

[65]

La corrección que deba realizarse.

Deberá ir acompañada de la documentación justificativa de lo solicitado.

En la solicitud de cancelación, el interesado deberá indicar a qué datos se refiere, aportando en su caso la documentación que lo justifique. Otorgamiento del derecho de rectificación o cancelación: El responsable del fichero deberá resolver la solicitud formulada en el plazo de 10 días, a contar desde la recepción de la solicitud. Transcurrido el plazo de diez días sin que el Responsable del fichero haya contestado, la solicitud se entenderá desestimada. Cesión de datos: En caso de que los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario. Para ello, tiene el mismo plazo de diez días. El cesionario deberá proceder, igualmente, a rectificar o cancelar los datos en el plazo de diez días desde que reciba la comunicación. Denegación de los derechos de rectificación o cancelación: La rectificación o cancelación podrá ser denegada: -

Cuando así lo establezca una Ley o una norma de Derecho Comunitario.

Cuando la Ley o Norma Comunitaria impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso.

Además, la cancelación podrá ser denegada cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones

aplicables

las

relaciones

[66]

contractuales

entre

responsable del tratamiento y el interesado que justificaron el tratamiento. En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la AEPD. Cancelación, borrado y bloqueo de datos: En principio, como hemos visto, cuando se estima el derecho de cancelación, la consecuencia debe ser el borrado de los datos del fichero o tratamiento. Sin embargo, muchas veces el borrado físico de los datos no será posible, por no permitirlo la ley o disposiciones contractuales aplicables. Por ejemplo, la Administración Tributaria obliga a la conservación de los datos con trascendencia tributaria durante 5 años. En estos casos, lo que se hará es proceder al bloqueo de los datos. El bloqueo de datos supone su conservación, de una forma separada de los demás datos personales con los que cuente la organización y con acceso restringido únicamente a personas debidamente autorizadas y sólo para tareas de mantenimiento o para cumplir las finalidades por la que se ha procedido al bloqueo de los datos. Oposición: El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo. Límites: El RLOPD limita el ejercicio de este derecho a los siguientes supuestos: -

Cuando no sea necesario el consentimiento para el tratamiento y siempre que concurra un motivo legítimo y fundado, referido a su concreta situación personal que lo justifique. Sería el caso, por ejemplo del tratamiento de datos recabados de una fuente accesible al público

[67]

Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial.

Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal destinado a evaluar determinados

aspectos

personalidad,

tales

como

rendimiento laboral, crédito, fiabilidad o conducta. Existen dos excepciones a este apartado: a) Cuando la decisión esté autorizada por una Ley. b) Cuando la decisión se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del interesado. Ejercicio del derecho de oposición: Igual que sucede con los otros derechos ARCO, el derecho de oposición se ejercitará mediante solicitud dirigida al responsable del tratamiento. El responsable del fichero resolverá sobre la solicitud de oposición en el plazo máximo de diez días a contar desde la recepción de la solicitud. Transcurrido el plazo de diez días sin que el Responsable del fichero haya contestado, la solicitud se entenderá desestimada. La tutela de los derechos. Como hemos visto, las personas que han ejercido sus derechos ARCO ante un responsable de un tratamiento, pueden solicitar la tutela de la AEPD cuando: -

Se ha denegado el derecho (denegación expresa).

No se ha contestado la solicitud en el período de tiempo legalmente establecido para ello (denegación presunta).

Por tanto, resulta requisito imprescindible el que los derechos ARCO hayan sido previamente ejercidos ante el titular del fichero. Sólo en caso de denegación (expresa o presunta) a dicha solicitud, cabrá solicitar la tutela de la AEPD.

[68]

RECUERDE: En la reclamación presentada ante la AEPD el afectado debe acreditar que había ejercido el derecho ante el responsable del fichero y la solicitud fue denegada o no fue contestada en el plazo legal establecido.

El plazo máximo para dictar y notificar resolución en el procedimiento de tutela de derechos será de seis meses, a contar desde la fecha de entrada de la reclamación en la AEPD. Si en dicho plazo no se ha dictado y notificado resolución expresa, se aplica el silencio administrativo positivo, por lo que el afectado podrá considerar legalmente estimada su reclamación. Si la resolución de tutela fuese estimatoria (sea por resolución expresa o presunta), se requerirá al responsable del fichero, quien dispondrá de diez días (a contar desde el día siguiente a la notificación) para hacer efectivo el ejercicio del derecho (o derechos) objeto de la tutela. El responsable del fichero deberá dar cuenta por escrito de dicho cumplimiento a la Agencia Española de Protección de Datos en idéntico plazo.

2.3.4. La seguridad en la protección de datos. El documento de seguridad -

Obligación de elaborar el documento de seguridad.

El responsable del fichero o tratamiento debe elaborar un documento de seguridad que será de obligado cumplimiento y recogerá las medidas de seguridad de índole técnica y organizativas que aplicará de acuerdo con el nivel de medidas de seguridad correspondiente (básico, medio o alto) y las que considere necesarias para garantizar la seguridad de los datos. El Documento de Seguridad deberá describir las medidas de seguridad adoptadas para el tratamiento de sus ficheros de datos de carácter personal.

[69]

IMPORTANTE: El Documento de Seguridad no debe ser registrado ni comunicado a la AEPD, pero deberá estar a disposición de la Agencia Española de Protección de Datos en caso de que la misma lo solicite; en ese caso, la Agencia comprobará que lo establecido y recogido en el Documento de Seguridad responde con veracidad a las medidas efectivamente adoptadas.

Contenido mínimo del documento de seguridad.

El documento deberá contener, como mínimo, los siguientes aspectos:  Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.  Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.  Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.  Estructura de

los

ficheros

con datos de

carácter personal y

descripción de los sistemas de información que los tratan. Se deberá incorporar una relación de campos identificativos que conforman el fichero. Se especificará también el nombre de la aplicación informática (programa) que se utiliza para el tratamiento de los datos.  Procedimiento incidencias.

Una

notificación, incidencia

gestión es

cualquier

respuesta evento

ante

que

las

pueda

producirse esporádicamente y que pueda suponer un peligro para la seguridad

del

Fichero,

entendida

bajo

sus

tres

vertientes

confidencialidad, integridad y disponibilidad de los datos  Los procedimientos de realización de copias de respaldo y de

[70]

recuperación

los

datos

los

ficheros

tratamientos

automatizados.  Las medidas que sea necesario adoptar para el transporte de soportes

documentos,

así como

para

destrucción

los

documentos y soportes, o en su caso, la reutilización de estos últimos.  Si las medidas son de aplicación a los niveles de seguridad medio o alto, el documento deberá contener, además: -

La identificación del responsable o responsables de seguridad.

Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

 Cuando exista un tratamiento de datos por cuenta de terceros, el documento de seguridad deberá contener la identificación de los ficheros o tratamientos que se traten en concepto de encargado con referencia expresa al contrato o documento que regule las condiciones del encargo, así como de la identificación del responsable y del período de vigencia del encargo. El

documento

seguridad

deberá

mantenerse

todo

momento

actualizado y será revisado siempre que se produzcan cambios relevantes en el sistema de información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. Los niveles de seguridad. -

Nivel básico.

Por tanto, se aplica el nivel básico a todos los datos de carácter personal a los que no les sea aplicable el nivel medio o alto de seguridad.

[71]

Nivel medio. Deberán implantarse las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos:



Los relativos a la comisión de infracciones administrativas o penales.



Servicios de información sobre solvencia patrimonial y crédito.



Aquellos de los que sean responsables Administraciones tributarias.



Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.



Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y en relación con sus competencias.



Datos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.



Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.

Por ejemplo, los datos obtenidos de un test psicotécnico por parte del departamento de recursos humanos obtenidos en procesos de selección de personal.

Nivel alto.

Las medidas de nivel alto (además de las de nivel básico y medio, como hemos visto) se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: 

Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Son datos de este tipo, por ejemplo la asignación tributaria a la Iglesia Católica en la declaración anual del IRPF o la retención de la cuota sindical en la nómina de un trabajador. Datos relativos a la salud pueden ser los relativos a la minusvalía de un trabajador y las bajas por enfermedad.



Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.

[72]



Aquellos que contengan datos derivados de actos de violencia de género.

RECUERDE: Las medidas de seguridad son acumulativas. Es decir, para los datos de nivel alto se deberán aplicar las medidas de nivel básico, medio y alto y para los datos de nivel medio las medidas de nivel básico y medio.

Medidas de seguridad ESQUEMA CONCEPTUAL:

Medidas de seguridad de nivel básico NIVEL BÁSICO

Medidas de seguridad de nivel básico + NIVEL MEDIO

medidas de seguridad de nivel medio.

Medidas de seguridad de nivel básico + medidas de seguridad de nivel medio + NIVEL ALTO



medidas de seguridad de nivel alto

Medidas de seguridad de nivel básico. FUNCIONES Y OBLIGACIONES DEL PERSONAL

Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad. También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento. El responsable del fichero o tratamiento adoptará las medidas necesarias

[73]

para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. 

Registro de incidencias.

Deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar: -

el tipo de incidencia,

el momento en que se ha producido, o en su caso, detectado,



la persona que realiza la notificación,

a quién se le comunica,

los efectos que se hubieran derivado de la misma

las medidas correctoras aplicadas.

Control de acceso:

Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio.



GESTION DE SOPORTES Y DOCUMENTOS:

Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para

[74]

ello en el documento de seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte

imposibiliten

cumplimiento,

debiendo

quedar

constancia

motivada de ello en el documento de seguridad. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado. La identificación de los soportes que contengan datos de carácter personal que la organización considerase especialmente sensibles se podrá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.



IDENTIFICACIÓN Y AUTENTICACION:

El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

[75]

Cuando el mecanismo de autenticación se base en la existencia de contraseñas

existirá

procedimiento

asignación,

distribución

almacenamiento que garantice su confidencialidad e integridad. Cambio de contraseñas: El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible. COPIAS DE RESPALDO Y RECUPERACION:



Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. Asimismo, se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.  En

Medidas de seguridad de nivel medio. RESPONSABLE DE SEGURIDAD:

documento

seguridad

deberán

designarse

uno

varios

responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. RECUERDE:

[76]

designación

responsable

seguridad

supone

una

exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.



AUDITORIA:

A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría extraordinaria reiniciaría el cómputo de dos años señalado en el párrafo anterior. 

GESTION DE SOPORTES Y DOCUMENTOS:

Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer -

el tipo de documento o soporte,

la fecha y hora,

el emisor,

el número de documentos o soportes incluidos en el envío,

el tipo de información que contienen,

la forma de envío

- la persona responsable de la recepción que deberá estar debidamente autorizada.

[77]

Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer - el tipo de documento o soporte, - la fecha y hora, - el destinatario, - el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, - la forma de envío - la persona responsable de la entrega, que deberá estar debidamente autorizada. IDENTIFICACIÓN Y AUTENTICACION:



El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. CONTROL DE ACCESO FISICO:



Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información. REGISTRO DE INCIDENCIAS:



En el registro de incidencias deberán consignarse, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación.



Medidas de seguridad de nivel alto. GESTION Y DISTRIBUCIÓN DE SOPORTES:

La identificación de los soportes se deberá realizar utilizando sistemas de etiquetado comprensibles y con significado que permitan a los usuarios con acceso autorizado a los citados soportes y documentos identificar su contenido, y que dificulten la identificación para el resto de personas.

[78]

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando otro mecanismo que garantice que dicha información no sea accesible o manipulada durante su transporte. Asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando éstos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero. Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado.



COPIAS DE RESPALDO Y RECUPERACION:

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación. RECUERDE: Aunque el RLOPD no lo especifica, se entiende que por lugar diferente debe entenderse una ubicación diferente, no otro lugar dentro del mismo edificio u oficina, pues la finalidad de esta medida es evitar la destrucción de la información en caso de desastre (incendio, inundación, etc).



Registro de accesos:

De cada intento de acceso se guardarán, como mínimo, -

la identificación del usuario,

la fecha y hora en que se realizó,

el fichero accedido,

el tipo de acceso

si ha sido autorizado o denegado.

[79]

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos. El período mínimo de conservación de los datos registrados será de dos años. El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados. No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias: -

Que el responsable del fichero o del tratamiento sea una persona física.

Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad.



TELECOMUNICACIONES:

Cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

[80]

RESUMEN: MEDIDAS DE SEGURIDAD

NIVEL DE SEGURIDAD BASICO

MEDIO

ALTO

CONTROL DE ACCESO

GESTION DE SOPORTES

RESPONSABLE DE SEGURIDAD

CONTROL DE ACCESO FISICO

AUDITORIA

PRUEBAS CON DATOS REALES

DOCUMENTO DE SEGURIDAD FUNCIONES Y OBLIGACIONES DEL PERSONAL REGISTRO DE INCIDENCIAS IDENTIFICACIÓN Y AUTENTICACIÓN

COPIAS DE RESPALDO Y RECUPERACIÓN

DISTRIBUCIÓN DE SOPORTES

REGISTRO DE ACCESOS

TELECOMUNICACIONES

2.3.5. Infracciones y sanciones. 2.3.5.1. Infracciones y sanciones. Se dividen las infracciones en tres categorías: leves, graves y muy graves.  o

Infracciones leves:

No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda.

No proporcionar la información que solicite la Agencia de Protección de Datos en el ejercicio de las competencias que tiene legalmente atribuidas, en relación con aspectos no sustantivos de la protección de datos. [81]

No solicitar la inscripción del fichero de datos de carácter personal en el Registro

General de

Protección de Datos, cuando

no sea

constitutivo de infracción grave. o

Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.

Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave.

 o

Infracciones graves:

Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el «Boletín Oficial del Estado» o Diario oficial correspondiente.

Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.

Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible.

Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada.

Mantener datos de carácter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de las personas que la presente Ley ampara.

La vulneración del deber de guardar secreto sobre los datos de

[82]

carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. o

Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

No remitir a la Agencia de Protección de Datos las notificaciones previstas en esta Ley o en sus disposiciones de desarrollo, así como no proporcionar en plazo a la misma cuantos documentos e informaciones deba recibir o sean requeridos por aquél a tales efectos.

La obstrucción al ejercicio de la función inspectora.

No inscribir el fichero de datos de carácter personal en el Registro General de Protección Datos, cuando haya sido requerido para ello por el Director de la Agencia de Protección de Datos.

Incumplir el deber de información que se establece en los artículos 5, 28 y 29 de la LOPD, cuando los datos hayan sido recabados de persona distinta del afectado.



Infracciones muy graves:

La recogida de datos en forma engañosa y fraudulenta.

La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

Recabar y tratar los datos de carácter personal a los que se refiere el apartado 2 del artículo 7 cuando no medie el consentimiento expreso del afectado; recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una ley o el afectado no haya consentido expresamente, o violentar la prohibición contenida en el apartado 4 del artículo 7.

No cesar en el uso ilegítimo de los tratamientos de datos de carácter personal cuando sea requerido para ello por el Director de la Agencia

[83]

de Protección de Datos o por las personas titulares del derecho de acceso. o

La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la Agencia de Protección de Datos.

Tratar los datos de carácter personal de forma ilegítima o con menosprecio de los principios y garantías que les sean de aplicación, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales.

La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

No atender, u obstaculizar de forma sistemática el ejercicio de los derechos de acceso, rectificación, cancelación u oposición.

No atender de forma sistemática el deber legal de notificación de la inclusión de datos de carácter personal en un fichero. Sanciones de la LOPD.

En el siguiente cuadro vemos cuales son las sanciones que pueden llegarse a imponer. INFRACCIONES

SANCIONES

LEVES

Entre 900 € y 40.000 €

GRAVES

Entre 40.001 € y 300.000 €

MUY GRAVES

Entre 300.000 € y 600.000 €

[84]

2.3.5.2. Procedimiento sancionador. Prescripción de infracciones y sanciones.

son

Prescripción de las infracciones:

Los plazos de prescripción de las infracciones tipificadas en la LOPD Infracciones leves: Un año. Infracciones graves: Dos años. Infracciones muy graves: Tres años

RECUERDE: El plazo de prescripción comienza a contarse desde el día en que la infracción se haya cometido. En caso de infracciones que se prolonguen en el tiempo, el plazo de prescripción no comenzaría a contar hasta el último día en que se haya cometido la infracción. RECUERDE: La incoación de un procedimiento sancionador interrumpe el plazo de prescripción. Sin embargo, si el expediente estuviera paralizado más de seis meses por causas no imputables al presunto infractor, el plazo de prescripción se reanudaría. EJEMPLO: Si una compañía telefónica inscribe a una persona de forma indebida en un fichero de solvencia patrimonial el

día 25/01/2010 y le da de baja el

25/11/2010, el plazo de prescripción comenzaría a computar desde esta segunda fecha, pues la infracción se ha seguido cometiendo hasta ese día. Al tratarse de una infracción grave, la infracción no prescribiría hasta el 25/11/2012.

[85]

Prescripción de las sanciones:

Los plazos de prescripción de las sanciones son de o

Sanciones impuestas por faltas leves: Un año.

Sanciones impuestas por faltas graves: Dos años.

Sanciones impuestas por faltas muy graves: Tres años.

2.4. PROPIEDAD INTELECTUAL. 2.4.1. Páginas Web. Alcance - LA PÁGINA WEB COMO OBJETO DE PROPIEDAD INTELECTUAL - ¿QUÉ ES UNA PÁGINA WEB? o La página web no está regulada de forma explícita dentro del conjunto de obras definidas en el TRLPI, a diferencia de las obras audiovisuales,

literarias,

bases

datos,

programas

ordenador, etc. o ¿Es la suma de varias obras (audiovisuales, fotográficas, literarias, software, base de datos,...)? o ¿Es una obra multimedia? o ¿Es en programa de ordenador + obra de diseño o gráfica? o ¿Es una base de datos? o ¿Es una obra audiovisual? - CONTENIDOS DE UNA PÁGINA WEB o Código fuente (Html, xml, vrml, Java,...). o Diseño gráfico. o Textos: Obra literaria. o Gifs animados y vídeos: Obra audiovisual. o Fotografías. o Sonidos y música: Obras musicales. o Programas de ordenador, Bases de Datos: Obras jurídicamente protegidas por la Propiedad Intelectual. - LA PÁGINA WEB COMO OBRA MULTIMEDIA. Posición doctrinal dominante. [86]

- Creación única expresada en un mismo soporte digital compuesta de diferentes obras (programas de ordenador, diseño gráfico, textos, fotografías, música, bases de datos, gifs animados y vídeos) cuya estructura y acceso están regidos por un programa de ordenador que permite la interactividad. PLURALIDAD DE AUTORES Y MULTIPLICIDAD DE CONTENIDOS o En todo caso, si consideramos que una página web es original (en tanto que nueva e inexistente hasta el momento de su creación), al estar siempre expresada en un medio o soporte (servidor en el que está alojada, CD, papel), no habrá ningún inconveniente

para

que

fuera

protegible

por

Propiedad

Intelectual. o Reglamento del Registro General de la Propiedad Intelectual: Se introduce, por primera vez en nuestra legislación, referencia expresa a la posibilidad de inscribir obras multimedia y páginas web. 2.4.2. Páginas Web. Medios de protección LA PROTECCIÓN MEDIANTE EL SÍMBOLO © o El símbolo de copyright

es un medio preventivo de mostrar

de forma clara que los derechos de explotación sobre una obra o producción están reservados al titular o cesionario de la misma. o Supone una especie de publicidad posesoria que puede ser valiosa para intentar demostrar la mala fe del posible imitador, plagiador o, en definitiva, infractor de derechos de Propiedad Intelectual. o Dicho símbolo se antepondrá al nombre del titular de los derechos de explotación sobre una obra y deberá ir acompañado del lugar y año de divulgación de la misma (Art. 146 TRLPI). o Además, dicho símbolo junto con el año y el lugar han de estar colocados de manera tal que puedan mostrar de forma clara e

[87]

inequívoca que tales derechos están reservados (art. 146 in fine TRLPI).

De este modo, la inserción del símbolo de copyright

quedaría de la siguiente manera: Copyright © _______ 2012. España. Todos los derechos reservados. LA PROTECCIÓN DEL AVISO LEGAL o Texto en el que se explica la titularidad o licencia de los derechos de Propiedad Intelectual de todos los elementos integrantes de la página web, así como de las prohibiciones de uso de los mismos. o Este texto se suele poner a disposición del tercero a través de un link titulado “Propiedad Intelectual” o “Copyright”, o bien como un apartado dentro del propio “Aviso legal”. o La inscripción en el RPI es voluntaria. El sólo hecho de la creación

una

obra

genera

los

derechos

Propiedad

Intelectual, independientemente de que se lleve a cabo o no su inscripción (Art. 1 TRLPI). o El RPI es declarativo, no constitutivo de derechos. o Reglamento del Registro General de la Propiedad Intelectual (Real Decreto 281/2003, de 7 de marzo) introduce, por primer vez, referencia expresa a la posibilidad de inscribir las obras o producciones

multimedia

las

páginas

web,

como

tales,

habilitando una sección concreta para ello, y no como una conjunción de elementos separados, susceptibles cada uno de ellos de ser encuadrados dentro de una categoría. o Por lo tanto, hay dos posibilidades de inscripción de las páginas web: 

Inscripción de cada una de las obras que integran la página web en la sección que les corresponda: Texto, fotografía, música, bases de datos, código fuente, etc.



Inscripción de la página web como unidad en la sección del RPI para páginas web.

[88]



Art. 14 Reglamento RPI se establecen los requisitos específicos de las solicitudes de inscripción de las páginas web:



Descripción

por

escrito

que

relacione

forma

individualizada cada creación para la que se solicita el registro,

identificada

con

nombre

del

fichero

informático que la contiene y nombre y apellidos de su autor. 

Requisitos específicos, de conformidad con lo establecido en este artículo, para la identificación y descripción de las obras, actuaciones o producciones con tenidas en la página electrónica o multimedia.



Copia de la página web o multimedia en soporte cuyo contenido pueda ser examinado por el registro (Memoria en soporte papel y la totalidad de las pantallas de la página web en papel o, si fuera muy extenso, en soporte CD-ROM o disquete).



En su caso, número de depósito legal.

DEPÓSITO NOTARIAL o Depósito ante un Notario de los contenidos de la página web, el diseño gráfico, el código fuente, así como cualquier elemento identificativo de la misma. o Objetivo: De cara a futuros conflictos o reclamaciones, probar, con el respaldo de un fedatario público, que en un determinado día esos contenidos o la página web ya existían y que fueron depositados por una determinada persona o entidad. o Problema: Dinamismo de las páginas web y modificaciones de contenidos. 

Solución: Realizar un depósito notarial cada vez que se ponen a disposición de los usuarios un contenido innovador o de forma periódica, cada 15 o 30 días.

[89]

MUESCAS NOTARIALES o Introducción de errores intencionadamente en obras cuyos derechos de propiedad intelectual se ostenta, con el objeto de poder probar en el futuro que un tercero las ha copiado. o Sistema de protección utilizado, con carácter general, en programas de ordenador y bases de datos (Sentencia caso Aranzadi). o Requisitos básicos para su plena operabilidad: 

Los errores introducidos no deben causar ningún tipo de disfunción o daño en la obra en la que se implantan.



Los errores introducidos no deben influir, de ninguna forma, en la funcionalidad del programa o base de datos.



Las muecas se deben protocolarizar ante Notario, haciendo constar dónde se han introducido los errores y la fecha.

LA PROTECCIÓN CONTRACTUAL CONTRATO DE SUMINISTRO DE CONTENIDOS: En virtud del contrato de suministro de contenidos, el suministrador (creador o titular de derechos de explotación sobre unos determinados contenidos) pone a disposición del titular de la página web determinados contenidos y cede los correspondientes derechos de explotación para que puedan ser incluidos y explotados a través de su página web (en todo caso, reproducción y comunicación pública). De este modo, el proveedor garantiza la plena titularidad de los correspondientes derechos de Propiedad Intelectual relativos a los contenidos y, por tanto, la posesión pacífica de los mismos frente a posibles reclamaciones de terceros.

[90]

2.4.3. Afectación de derechos de terceros en contenidos de una Página Web. o Es lícito “bajarse” la fotografía de un futbolista en Internet, guardarla en el disco duro y posteriormente publicarla en otra página web? o ¿Es lícita la difusión de fotografías de personas que han sido escaneadas de una revista y posteriormente publicadas en un página web? o ¿Es necesaria la autorización? o ¿Qué ocurre con los personajes famosos? NORMATIVA: o Art. 18 CE: “se garantiza el derecho al honor, a la intimidad personal

familiar

propia

imagen”

DERECHO

FUNDAMENTAL o Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. o Sólo corresponde a las personas físicas como un derecho inherente a su personalidad = No son titulares de este derecho los animales, dibujos animados, bienes muebles o inmuebles. o Representación gráfica de la figura humana, mediante un procedimiento mecánico o técnico de reproducción. o Derecho a impedir a un tercero la captación, reproducción y publicación de la propia imagen sin tener el consentimiento del afectado = Intromisión ilegítima. o Contenido moral: Derecho irrenunciable, imprescriptible e inalienable. o Contenido patrimonial: Derecho transmisible y objeto de negocio = derechos de imagen o La cesión de la imagen de una persona a otra se permite cuando el titular del derecho lo consiente expresamente (Art. 2.2 Ley 1/1982), normalmente por contrato.

[91]

o Excepciones: No necesidad de consentimiento en los siguientes supuestos: o Existencia

interés

histórico,

científico

cultural

relevante. o Captación,

reproducción

publicación

imagen

personas famosas o notorias, en lugares públicos o abiertos al público, si existe un interés informativo. o El

titular

podrá

revocar,

cualquier

momento,

consentimiento otorgado, sin perjuicio de las indemnizaciones por daños y perjuicios a que pudiera dar lugar. o El consentimiento puede limitarse en el tiempo o cederse para un momento concreto, transcurrido el cual se extinguirá. o Problemática de Internet: Cesión derecho de imagen para un caso y medio de difusión concreto distinto de Internet (p.e. una revista). Posteriormente, el que reprodujo la fotografía, la “sube” (Uploading) a Internet. ¿Quién es el responsable, el que la publica en Internet o el portal de Internet? o “Principio del conocimiento efectivo” (Art. 14 y 16 LSSI): El Portal es responsable si tiene conocimiento efectivo de la existencia de esa fotografía alojada en su web, o hubiera debido tenerlo con el ejercicio de una diligencia media y no hubiera hecho nada para eliminarla o suprimirla. o El “Principio del conocimiento efectivo” también se aplica en aquellos

casos

que

incluyan

imágenes,

aunque

sean

suministradas por terceros, que atenten contra la dignidad de la persona, los derechos humanos o tengan un carácter ilícito o delictivo (p.e. pornografía infantil). o No existe una definición expresa de lo que se entiende por protección al derecho al honor. Entre la intromisiones ilegítimas se

encuentran:

“la

divulgación

expresiones

hechos

concernientes a una persona cuando la difame, o la haga desmerecer en la consideración ajena” (art. 7.7 L.O. 1/1982). o No sólo se encuentran protegidas las personas físicas sino que también se extiende a las personas jurídicas.

[92]

o Importante cuestión, son las entidades titulares de páginas web que den opción a los usuarios de las mismas a dejar opiniones o informaciones que puedan atentar contra el derecho al honor de las personas. Relevancia extrema alcanzan los foros y chats. o Por lo tanto, habrá de atenderse a la colisión de los derechos al honor y a la libertad de información, es decir, a recibir y trasmitir la misma. o Si la información se basa en hechos veraces prima esta sobre el derecho al honor, pero la veracidad no ha de ser absoluta, basta con que sea comprobable. En este sentido se han manifestado diversas sentencias del TS y del TC. o Asimismo

inclusión

opiniones

juicios

valor

amparados por el derecho fundamental de libertad de expresión han de reunir dos requisitos:

o El



Veracidad.



No inclusión de expresiones injuriosas.

prestador

servicios

deberá

informaciones seas: 

Veraces.



No injuriosas.



Interés general.

2.5. PUBLICIDAD. Formatos o BANNER. o BANNER ANIMADO. o INFOBANNER. o BANNER EXTENSIBLE. o BOTÓN. o ENLACE (LINK) DE HIPERTEXTO. o POP-UP. o BANNER-MICROSITE. o CURSOR ANIMADO. o [93]

atender

que

las

o ESCAPARATE. o INTERSTITIAL. o PATROCINIO. o NEWS LETTER. o PALABRAS CLAVE. Sistema Ad Server o Un sistema ad server es el que permite la inserción de publicidad

espacio

Web

con

todos

los

criterios

seleccionados según las necesidades de una campaña. o También

responsable

obtención

completa

información y estadística en tiempo real que aseguran un mayor control de las inserciones. o Gracias a este sistema la configuración de una campaña puede verse modificada durante el transcurso de la misma para obtener los mejores resultados. o Objetivo de Publicidad ------------------- Captar Clientes o Siguiente Paso ----------------------- Fidelizados o Técnicas: 

Marketing directo: Las comunicaciones se dirigen a personas concretas, con nombre y apellidos.



Marketing One to One: Persigue, fundamentalmente, la satisfacción y crecimiento de determinados segmentos de clientes, en lugar de captar nuevos.

o Los “cookies” son pequeños ficheros de datos que se generan a través de las instrucciones que los servidores web envían a los programas navegadores, y que se guardan en un directorio específico del ordenador del usuario. o Poderoso instrumento de obtención de información. Pueden obtener datos personales. o Artículo 3 a) Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) define datos de carácter personal: cualquier

[94]

información

concerniente

personas

físicas

identificadas

identificables. o Los datos se obtienen sin el consentimiento del usuario. o CONFLICTO: Los datos obtenidos pueden servir para elaborar el perfil de los usuarios, pudiendo personalizar la oferta, y ello puede vulnerar la intimidad de las personas. o CONCLUSIÓN: Declarar ilícitas las cookies activas. Contrato Publicitario o Artículo 15 a 18 de la Ley 34/1988, de 11 de noviembre, General de Publicidad: 

Por este contrato un anunciante encarga a una agencia de publicidad, mediante un contrato de prestación, la ejecución de publicidad y la creación, preparación o programación de la misma.

o Cláusulas Relevantes: 

Facultad de las partes respecto de la publicidad ya realizada.



Objeto.



Duración.



Contraprestación.

Contratos CONTRATO DE DIFUSIÓN PUBLICITARIA o Artículo 19 a 21 LGP: 

Aquel por el que, a cambio de una contraprestación fijada en tarifas preestablecidas, un medio se obliga a favor de un anunciante o agencia a permitir la utilización publicitaria

unidades

espacio

tiempo

disponibles y a desarrollar la actividad técnica necesaria para lograr el resultado publicitario.

[95]

CONTRATO DE CREACIÓN PUBLICITARIA o Artículos 22 y 23 LGP: 

Aquel por el que, a cambio de una contraprestación, una persona física o jurídica se obliga a favor de un anunciante o agencia a idear y elaborar un proyecto de campaña publicitaria, una parte de la misma o cualquier otro elemento publicitario.

CONTRATO DE PATROCINIO

o Artículo 24 LGP: 

Aquel por el que le patrocinado, a cambio de una ayuda económica para la realización de su actividad deportiva, benéfica, cultural o de otra índole, se compromete a colaborar en la publicidad del patrocinador.

Cláusulas Relevantes: 

Objeto.



Duración y renovación.



Obligaciones de las partes.



Precio y forma de pago.



Confidencialidad.

CONTRATO DE CO-BRANDED DEFINICIÓN 

Contrato mediante el cual se establece un acuerdo de colaboración entre dos empresas de Internet, que deriva en la elaboración de una página web conjunta.

ASPECTOS A TENER EN CUENTA 

El co-branded implica el mutuo aprovechamiento de las respectivas marcas y del tráfico de internautas que generan sus páginas web.



En la página común aparecerán los logos y marcas de ambas empresas, y estará directamente [96]

enlazada con las páginas web de cada una de ellas. 

La gestión y explotación de dicha página de manera conjunta también ha de ser regulada en el contrato.

Contratos en Internet CLÁUSULAS ESPECÍFICAS o Características de la colaboración 

Determinar quien se encarga del diseño y el coste que conlleva.



La dirección URL en que estará integrada y ubicada la página.



La publicidad que se va a insertar y las tarifas aplicables.



Cómo se establecen los enlaces a las secciones de las respectivas páginas web de las partes.

o Derechos y obligaciones de las partes 

Gestión y explotación página web.



Mantenimiento.



Gastos.

o Publicidad y Contabilización de visitas 

Es necesario determinar el porcentaje que una parte abonará a la otra sobre el beneficio que se obtenga de la publicidad insertada en la página, así como del beneficio que se obtenga de cada venta, en caso de que se realicen transacciones económicas a través de la web.



Es necesario determinar el método de contabilización de las visitas que realicen los usuarios de la página, a efectos de estadísticas de entrada por ambas partes.

o Datos personales 

Intercambio de informes sobre operaciones efectuadas en la página co-branded.

o Propiedad Industrial e Intelectual. o Garantías e indemnización.

[97]

CONTRATO DE FRAMING o DEFINICIÓN



Contrato que permite exhibir simultáneamente dos o más páginas web en la misma pantalla, permitiendo que la página web inicial permanezca en el “marco” de la pantalla, mientras se exhibe el contenido de otra página web.

o ASPECTOS A TENER EN CUENTA 

El usuario puede no ser consciente de que el contenido al que está accediendo proviene de otra página web.



El framing causa confusión respecto de la titularidad de la página web.



La dirección de la página web no varía.



Se puede generar un conflicto respecto de la fuente de la que proviene la información o sobre la existencia de una relación entre las páginas web.



Toda esta problemática hace recomendable solicitar una licencia o permiso por parte del titular de un sitio en Internet, a favor del propietario de otro sitio, para que lleve a cabo una derivación hacia la página del primero.

CLÁUSULAS ESPECÍFICAS o Propiedad Industrial e Intelectual o Contenidos 

Mantener los contenidos y estructuras existentes en el momento de la firma del contrato y comunicar cualquier modificación sustancial.



Derecho control periódico sobre dichos elementos.

o Garantías 

Garantizar que las páginas webs no violan la Ley ni derechos de terceros.

[98]



El uso que se haga del gráfico/texto que acciona el enlace,

implicará

violación

derechos

web

material

terceros. 

incorporación

dañoso,

pornográfico, abusivo, que incite a realizar actividades racistas o ilegítimas... o Indemnización 

El “framer” indemnizará y mantendrá indemne a la otra parte del contrato frente a todas las reclamaciones de terceros derivadas de las actividades del “framer” o de su página web.

CONTRATO DE LINKING o DEFINICIÓN 

Contrato por el que un sitio web y un anunciante de una marca comercial acuerdan la inclusión de publicidad del anunciante en el sitio web, mediante el alquiler del espacio en dicho sitio web.

o ASPECTOS A TENER EN CUENTA 

Ventajas del Banner:



Resulta económico y es aceptado en todas las páginas web.



Sencillo de producir su tamaño es reducido y su descarga es rápida.

o Desventajas del Banner: 

Puede ser molesto para el internauta.



El índice de clics ha descendido y el internauta puede fugarse a través del Banner.

o Se trata de un contrato de difusión publicitaria sometido a la LGP (artículo 19 a 21).

[99]

CLÁUSULAS ESPECÍFICAS o Especificaciones técnicas 

Dimensión del banner (en pixels).



Tamaño máximo del banner (en kilobytes).



Formatos

permitidos:

GIF

estático,

GIF

animado,

formulario HTML, JavaScript, Flash, etc. 

Restricciones al diseño del banner.



Página de inserción y lugar dentro de la página.



Velocidad de descarga y enlace con el sitio web del anunciante.



Fechas límites para su envío.



Número máximo de banners a enviar (si has contratado la fórmula de rotar varios banners).

o Garantía e indemnización 

Se deberá reducir el precio pactado e indemnizar por daños y perjuicios: En caso de falta de accesibilidad o disponibilidad de la web en que se inserte el Banner. En caso de defectos y alteraciones en el Banner contratado.



Derechos de Propiedad Intelectual e Industrial



Suspensión y cancelación del Banner Porque los contenidos a los que se accede son ilícitos, inmorales... Porque el Banner se refiere a actividades que no interesan al gestor de la web donde se inserta el Banner, entre otras.



Condiciones económicas Retribución variable vs. Retribución fija.

CONTRATO DE CLICK-THROUGH o DEFINICIÓN

[100]



Contrato publicitario mediante el cual, un sitio web y el anunciante acuerdan la inserción de un banner, en el que la contraprestación pactada estará basada en función de las pulsaciones que recibe el banner insertado en la página web, es decir, las veces que se enlazan las páginas de dicho anunciante a través de la pancarta publicitaria.

o ASPECTOS A TENER EN CUENTA 

Establecer observar

estadísticas, la

ratio

cada

cierto

pulsaciones

tiempo, las

para

ganancias

obtenidas. 

Limitar las ganancias bajo la ratio de banners que la página web muestre y el número de click-through que se produzcan.



Establecimiento de la ratio de visualización respecto del pinchado del banner.



Facilidad de inserción y de descarga.



Molesto para el internauta.

CLÁUSULAS ESPECÍFICAS o Especificaciones técnicas 

Dimensión del banner (en pixels).



Tamaño máximo del banner (en kilobytes).



Formatos

permitidos:

GIF

estático,

GIF

animado,

formulario HTML, JavaScript, Flash, etc. 

Restricciones al diseño del banner.



Página de inserción y lugar dentro de la página.



Velocidad de descarga y enlace con el sitio web del anunciante.



Fechas límites para su envío.



Número máximo de banners a enviar (si has contratado la fórmula de rotar varios banners).

[101]

CLÁUSULAS ESPECÍFICAS o Garantía e indemnización 



Derechos de Propiedad Intelectual e Industrial



Condiciones Económicas En función de la ratio de visualización y pinchado del banner.

CLÁUSULAS ESPECÍFICAS 

Contraprestación Por clic. Por impresión. Por

lead:

Por

objetivo

cumplido,

como

por

ejemplo el rellenar un formulario. Por venta. 

La Ratio Establecer un sistema capaz de medir las veces que un banner es pinchado respecto a las veces que es visualizado. CTR (Click Through Ratio) es uno de los sistemas encargados de la medición.

[102]

2.6. PROPIEDAD INDUSTRIAL. LEY DE PATENTES Y MARCAS. Definición: Se entiende por Propiedad Industrial el conjunto de derechos exclusivos que protegen tanto la actividad innovadora manifestada en nuevos productos, nuevos procedimientos o nuevos diseños, como la actividad mercantil, mediante la identificación en exclusiva de productos y servicios ofrecidos en el mercado.

La protección de la propiedad industrial es un elemento de vital importancia en la actividad de cualquier empresa. No obstante, en el caso de pequeñas y medianas empresas, no es extraño que, si bien se comprende el interés que reviste el uso de las marcas para diferenciar sus productos de los de sus competidores, no todas son conscientes de lo importante que es la protección de dichas marcas a través del registro de las mismas. Y ello a pesar del auge de la piratería y falsificación, que alcanzan cada día mayor sofisticación y extensión, gracias al desarrollo de las nuevas tecnologías. Baste mencionar que en 2009, los objetos incautados en operaciones policiales contra la piratería industrial alcanzaron el valor de 438 millones de euros. Por ello, las marcas, nombres comerciales y demás propiedad industrial necesitan ser protegidas por ser elementos que pueden aportar un valor añadido y es esencial para ello tanto la concienciación de los ciudadanos sobre los peligros del mismo, como la formación y la difusión acerca de la importancia del respeto de estos derechos, y el ejercicio de los derechos de propiedad industrial por parte de los titulares de los mismos. Los derechos de propiedad industrial que pueden ser protegidos son los relativos a: Marcas y nombres comerciales

[103]

Invenciones Industriales Diseños Industriales Topografías de Productos Semiconductores En esta unidad nos centraremos en el primer punto (marcas y nombre comerciales) por entender que son las que pueden resultar de interés para el objetivo y destinatarios del mismo. ACUDE A LA WEB:

www.oepm.es (Oficina Española de Patentes y Marcas) Como elementos que hacen necesario proteger tanto las marcas como las invenciones y diseños industriales podríamos mencionar: Las marcas diferencian el producto de una empresa y garantizan que los consumidores distingan los productos existentes. Son un instrumento de comercialización que permite proyectar la imagen y la reputación de una empresa. Pueden tener por sí mismas un valor económico, al ser objeto de concesión de licencias (franquicias) proporcionando una fuente directa de ingresos. Pueden ser útiles para obtener financiamiento o inversiones para el mantenimiento y mejora de la calidad del producto. Fortalecer la posición competitiva, pues al registrar un diseño se adquiere el derecho de impedir su reproducción o imitación por parte de la competencia. Los diseños industriales son activos empresariales que pueden incrementar el valor comercial de una empresa y sus productos. Cuanto más éxito tiene un diseño, mayor es su valor comercial para la empresa.

[104]

Un diseño protegido puede también cederse (o venderse) a otros mediante la concesión de una licencia y el pago de un cantidad determinada, lo que puede permitir acceder a mercados inabordables de otra manera. Reducción de los riesgos de infracción. Al obtener la protección por patente, podrá impedir que otros patenten la misma invención, y reducirá también los riesgos de infringir los derechos de otros al comercializar sus productos. Aumento de la capacidad de obtener financiación a un tipo de interés razonable. La titularidad de patentes (o la licencia para utilizar las patentes detentadas por otros) puede aumentar su capacidad para obtener capital para poner un producto en el mercado. 2.6.1. Definiciones y conceptos básicos MARCA. Es todo signo o denominación que sirve para distinguir en el mercado "productos o servicios" de distintas personas



Una Marca es un título que concede el derecho exclusivo a la utilización de un signo para la identificación de un producto o un servicio en el mercado.



Pueden ser Marcas las palabras o combinaciones de palabras, imágenes,

figuras,

símbolos,

gráficos,

letras,

cifras,

formas

tridimensionales (envoltorios, envases, formas del producto o su representación),

los

sonidos,

cualquier

combinación

los

anteriores elementos. 

Si bien no es obligatorio registrar la marca, el hacerlo es una garantía de que nadie más pueda apropiarse de la misma en un futuro.

¿Dónde y cómo se registra una marca? Ante los órganos competentes de las siguientes Comunidades Autónomas: -

Donde tenga su domicilio

[105]

Donde tenga un establecimiento industrial o comercial serio y

efectivo Donde el representante designado por el solicitante, tenga su

domicilio Donde el representante designado tenga una sucursal seria y efectiva

Ante el órgano competente, por correo o en registro autorizado (ventanilla única) Régimen Transitorio: Ante la OEPM Ámbito de protección: la Marca internacional y Marca comunitaria La marca se concede por diez años desde la fecha de solicitud y puede renovarse indefinidamente por períodos sucesivos de diez años La protección obtenida con el registro de la marca se extiende a todo el territorio nacional. Es

posible obtener una protección internacional de la marca a nivel

comunitario y/o internacional, solicitando el procedimiento de registro de MARCA INTERNACIONAL o MARCA COMUNITARIA NOMBRE COMERCIAL. Es el signo o denominación que identifica a una empresa en el tráfico mercantil y que sirve para distinguirla de las demás empresas que desarrollan actividades similares



Un Nombre Comercial es un título que concede el derecho exclusivo a la utilización de cualquier signo o denominación como identificador de una empresa en el tráfico mercantil. Los nombres comerciales, como títulos de propiedad industrial, son independientes de los nombres de las sociedades inscritos en los Registros Mercantiles.



La duración de la protección conferida por los Signos Distintivos es de diez años a partir de la fecha del depósito de la solicitud y pueden ser renovados indefinidamente.



Mientras que la marca hace referencia a los productos o servicios, el nombre comercial identifica a la empresa en el tráfico económico y

[106]

comercial (publicidad, tarjetas de visita, membrete en papel de la empresa, etc). No deben confundirse estos conceptos con el tercer elemento identificador de una empresa: la denominación social. La denominación social sería el elemento identificador en el tráfico jurídico (firma de contratos, facturas, CIF, etc). La marca, el nombre comercial y la denominación social pueden o no coincidir. Incluso podría ocurrir que una misma empresa (con una única denominación social) utilice varias marcas o nombre comerciales en diferentes sectores de actividad. RESUMEN: La marca: hace referencia a los productos o servicios y se puede registrar en la Oficina Española de Patentes y Marcas. Pueden coexistir registralmente marcas idénticos o similares, pertenecientes a

titulares

diferentes,

pero

destinados

ámbitos

mercantiles

distintos, que excluyan el riesgo de error o confusión El nombre comercial: hace referencia a la empresa y también se puede registrar en la Oficina Española de Patentes y Marcas. También

pueden

coexistir

registralmente

nombres

comerciales

idénticos o similares, pertenecientes a titulares diferentes, pero destinados a ámbitos mercantiles distintos, que excluyan el riesgo de error o confusión La denominación social: es el nombre de la sociedad y se registra en el Registro Mercantil Central. Es el único obligatorio si se va a constituir una sociedad (no es necesario en el caso de autónomos). No es posible la inscripción de una denominación social idéntica a otra anteriormente inscrita, aunque sus actividades mercantiles sean distintas.

[107]

PATENTE 

Una Patente es un título que reconoce el derecho de explotar en exclusiva la invención patentada, impidiendo a otros su fabricación, venta o utilización sin consentimiento del titular. Como contrapartida, la

Patente

pone

disposición

del

público

para

general

conocimiento. 

El derecho otorgado por una Patente no es tanto el de la fabricación, el ofrecimiento en el mercado y la utilización del objeto de la Patente, que siempre tiene y puede ejercitar el titular, sino, sobre todo y singularmente, "el derecho de excluir a otros" de la fabricación, utilización o introducción del producto o procedimiento patentado en el comercio.



La Patente puede referirse a un procedimiento nuevo, un aparato nuevo, un producto nuevo o un perfeccionamiento o mejora de los mismos.



La duración de la Patente es de veinte años a contar desde la fecha de presentación de la solicitud. Para mantenerla en vigor es preciso pagar tasas anuales a partir de su concesión.

MODELO DE UTILIDAD. 

El Modelo de Utilidad protege invenciones con menor rango inventivo que las protegidas por Patentes, consistentes, por ejemplo, en dar a un objeto una configuración o estructura de la que se derive alguna utilidad o ventaja práctica.



El dispositivo, instrumento o herramienta protegible por el Modelo de Utilidad se caracteriza por su "utilidad" y "practicidad" y no por su "estética" como ocurre en el diseño industrial.



El alcance de la protección de un Modelo de Utilidad es similar al conferido por la Patente.



La duración del Modelo de Utilidad es de diez años desde la presentación de la solicitud. Para el mantenimiento del derecho es preciso el pago de tasas anuales.

[108]

DISEÑO INDUSTRIAL. Un Diseño Industrial otorga a su titular un derecho exclusivo (a



utilizarlo

prohibir

utilización

por

terceros

sin

consentimiento), sobre la apariencia de la totalidad o de una parte de un producto, que se derive de las características de, en particular, las líneas, contornos, colores, forma, textura o materiales del producto en sí o de su ornamentación. Los diseños podrán ser bidimensionales o tridimensionales. La duración de la protección conferida por los Diseños Industriales es



de cinco años contados desde la fecha de presentación de la solicitud de registro, y podrá renovarse por uno o más períodos sucesivos de cinco años hasta un máximo de veinticinco años computados desde dicha fecha. 2.7. TRIBUTACIÓN Y FISCALIDAD. 2.7.1. ¿Qué se entiende por comercio electrónico? Se consideran servicios prestados por vía electrónica aquellos servicios que consistan en la transmisión enviada inicialmente y recibida en destino por medio de equipos de procesamiento, incluida la comprensión numérica y el almacenamiento de datos, y enteramente transmitida, transportada y recibida por cable, radio, sistema óptico u otros medios electrónicos. Entre otros, son servicios prestados por vía electrónica, los siguientes: 

suministro y alojamiento de sitios informáticos.



mantenimiento a distancia de programas y equipos.



suministro de programas y su actualización



suministro

imágenes,

texto,

información

puesta

disposición de bases de datos 

suministro de música, películas, juegos, incluidos los de azar o de dinero y de emisiones y manifestaciones políticas, culturales, artísticas, deportivas, científicas o de ocio



suministro de enseñanza a distancia

[109]

RECUERDE: El hecho de que el prestador de un servicio y su destinatario se comuniquen por correo electrónico no implica, que el servicio prestado tenga la consideración de servicio prestado por vía electrónica. La contratación por vía telemática no es lo mismo que la transmisión del bien o servicio a través de la Red, siendo esto último lo que confiere el carácter de servicio prestado por vía electrónica.

2.7.2.

¿Cómo

tributan

los

servicios

prestados

por

vía

electrónica? 1. Si el prestador del servicio está establecido en España (Península e Islas Baleares) o en algún otro estado miembro de la Unión Europea. a) Si el prestador del servicio está establecido en España (Península y Baleares) y presta el servicio desde la sede de dicho establecimiento. Ejemplo: Una empresa de suministros de imágenes ubicada en Barcelona, presta servicios a sus clientes a través de internet. a) - aplicará el régimen general de tributación del IVA. b) - si el destinatario del servicio prestado por vía electrónica es: b-I) - la sede, establecimiento permanente o domicilio de un empresario o profesional establecido en el territorio español de aplicación del Impuesto (Península y Baleares). el lugar de realización de estas prestaciones de servicios es el territorio español de aplicación del Impuesto (artículo 70.Uno.4º. A) a) Ley 37/1992. Debe repercutir el IVA al destinatario aplicando el tipo general del Impuesto en España, el 18 por ciento en la actualidad. Ejemplo: Esta empresa establecida en Barcelona suministra imágenes a su principal cliente establecido en Madrid. La empresa debe repercutir el

[110]

IVA del 18% (tipo general establecido en España). b-II) - un empresario o profesional establecido en un Estado miembro de la Unión Europea distinto de España: el lugar de realización de estas prestaciones de servicios es el Estado miembro donde esté establecido el destinatario (artículo 9.2 e) Sexta Directiva 77/388/CEE. No debe repercutir el IVA español. El sujeto pasivo del IVA en el Estado de destino, en estos casos, es el empresario o profesional destinatario del servicio (21.1.b) Sexta Directiva 77/388/CEE. Ejemplo: Esta empresa establecida en Barcelona suministra imágenes a un profesional establecido en Francia.Este servicio tributa en Francia. (la empresa española no debe repercutir el IVA español). b-III) - un empresario o profesional establecido fuera de la Unión Europea (salvo Canarias, Ceuta y Melilla) El lugar de realización de estas prestaciones de servicios es el Estado del destinatario. No debe repercutir el IVA. NO OBSTANTE, si la utilización o explotación efectivos de estos servicios se realiza en España (Península e Islas Baleares): o

el lugar de realización es el territorio español de aplicación del Impuesto.

Sí debe repercutir el IVA aplicando el tipo general, 18 por ciento (artículo 70.Dos Ley 37/1992, artículo 9.3 Sexta Directiva).

Ejemplo: Además del suministro de imágenes, esta empresa también se dedica a la actualización de software a través de Internet. El pasado mes, realizó varias actualizaciones de un software cuyo profesional está establecido en Andorra. Esta venta se realizó fuera de la Unión Europea, por lo que la empresa no debe repercutir el IVA Español.

[111]

b-IV) - un empresario o profesional establecido en Canarias, Ceuta o Melilla: El lugar de realización NUNCA es el territorio español de aplicación del Impuesto. La operación se gravará en el territorio del destinatario (Canarias, Ceuta o Melilla, que no son territorio de aplicación del IVA). No debe repercutir el IVA. Ejemplo: Esta empresa realiza una venta de imágenes a un empresario establecido en Ceuta. b- V) - un particular (no empresario ni profesional) establecido o domiciliado en España (Península y Baleares) o en algún otro Estado de la Unión Europea: El lugar de realización de estas prestaciones de servicios es el territorio español de aplicación del Impuesto (artículo 70.Uno.4º A) b) Ley 37/1992). Debe repercutir el IVA al destinatario aplicando el tipo general del Impuesto en España, el 18 por ciento. el sujeto pasivo es Ud, prestador del servicio. Ejemplo: Un particular domiciliado en Sevilla y otro ubicado en Inglaterra compran varias imágenes a esta empresa. La empresa debe repercutir el IVA del 18% establecido en España.

b-VI) - un particular establecido fuera de la Comunidad: El lugar de realización de estas prestaciones de servicios es el Estado del destinatario. No debe repercutir el IVA en ningún caso. Ejemplo: Esta empresa dedicada al suministro de imágenes y actualización de software, realiza a un cliente particular ubicado en Suiza una actualización de un software a través de Internet.

[112]

El lugar de realización es el estado destinatario, por lo que la empresa no debe repercutir el IVA Español. B) Si el prestador del servicio está establecido en un estado miembro de la Unión Europea, distinto de España. Ejemplo: Una empresa

establecida

Francia

presta

sus

servicios

actualización de base de datos a través de Internet. .a) - Aplicará el régimen general de tributación del IVA. es:

b) - Si el destinatario del servicio prestado por vía electrónica

b-I) - un empresario o profesional establecido en el mismo Estado miembro en el que Ud. está establecido. el lugar de realización será dicho Estado miembro. Debe repercutir el IVA aplicando el tipo general vigente en dicho Estado. Ejemplo: Esta empresa

ubicada

Francia

presta

sus

servicios

empresario establecido en Francia. La empresa debe repercutir el IVA de tipo general vigente en este Estado. b-II) - un empresario o profesional establecido en un Estado miembro distinto de aquél en que Ud está establecido. El lugar de realización de estas prestaciones de servicios es el Estado miembro donde está establecido el destinatario. No debe repercutir el IVA del Estado en el que está establecido. El sujeto pasivo, en estos casos, es el empresario o profesional destinatario del servicio (21.1.b) Sexta Directiva). Ejemplo: Esta empresa ubicada en Francia presta sus servicios a un profesional ubicado en Italia. La empresa no debe repercutir el IVA ya que el sujeto pasivo de esta operación es el empresario de Italia.

[113]

b-III) - un empresario o profesional establecido fuera de la Unión Europea El lugar de realización de estas prestaciones de servicios es el Estado del destinatario. No debe repercutir el IVA comunitario. No obstante, si la utilización o explotación efectiva de estos servicios se realiza en el interior del Estado miembro en el que el prestador esté establecido, es posible que dicho Estado haya optado por localizar tales servicios en el mismo Estado, en cuyo caso: deberá repercutir el IVA aplicando el tipo general vigente en el Estado en que Ud. esté establecido Ejemplo: Esta empresa ubicada en Francia presta sus servicios a un profesional ubicado en Noruega. La empresa no debe repercutir el IVA ya que el sujeto pasivo de esta operación es el empresario de Noruega. b-IV) - un particular (no empresario ni establecido o domiciliado en la Unión Europea:

profesional)

el lugar de realización de estas prestaciones de servicios es el Estado miembro en el que Ud., prestador, esté establecido. Debe repercutir el IVA aplicando el tipo general vigente en dicho Estado. Ejemplo: La empresa cuya actividad es la actualización de bases de datos, presta sus servicios a un particular establecido en España. Este servicio puede tributar conforme al Régimen Especial. La empresa deberá percutir el IVA al cliente

español aplicando

el 18%,

entregándole factura.

b-V) - un particular establecido fuera de la Unión Europea: el lugar de realización de estas prestaciones de servicios es el Estado del destinatario. No debe repercutir el IVA comunitario en ningún caso.

[114]

Ejemplo: La empresa también realiza una venta a un particular establecido en Suiza. Esta operación se realiza en el estado del particular suizo. El lugar de realiación de este servicio es el estado del destinatario. 2.7.3. Régimen especial de tributación del comercio electrónico. La persona física o jurídica debe identificarse en un solo estado miembro, en el que, no obstante, debe declarar todos los servicios prestados por vía electrónica, a particulares, en todos y cada uno de los estados miembros. En el caso de que opte por identificarse en España, tiene derecho a pedir la devolución de las cuotas del IVA que haya soportado en España (península y Baleares) por la adquisición o importación de

bienes y

servicios que se destinen a prestar servicios por vía electrónica. Para ello debe presentar el modelo 361 que encontrará en el apartado “Modelos tributarios”, “IVA” desde la página www.aeat.es y cumplir con las siguientes obligaciones formales: 

Declarar, vía electrónica, el inicio, la modificación y el cese de las operaciones incluidas en este régimen especial. Para darse de alta en dicho régimen, se debe remitir, vía electrónica, el formulario que se le facilite a través de www.aeat.es, sin que sea necesario disponer de certificado de firma electrónica.



Presentar, vía electrónica, una declaración-liquidación trimestral del IVA, aun cuando en el correspondiente período trimestral (trimestre natural) no se hayan prestado servicios por vía electrónica. El plazo para presentar esta declaración-liquidación es de 20 días a partir del final del período a que se refiere la declaración, es decir, hasta el 20 de abril, 20 de julio, 20 de octubre y 20 de enero.



Ingresar el IVA en el momento de presentar la declaraciónliquidación. El ingreso se hará en euros en la cuenta bancaria que designe la Agencia Tributaria.



Mantener un registro de las operaciones incluidas en este régimen especial. Este registro debe estar a disposición tanto del Estado miembro de identificación [115]

(España, en este caso) como de los Estados de consumo (aquellos en los que están establecidos los particulares que sean destinatarios de los servicios). 

Expedir y entregar factura por las operaciones, acogidas a este régimen especial, que tengan por destinatarios a particulares establecidos o domiciliados en España (Península y Baleares). Esta obligación debe ser cumplida incluso cuando Ud, prestador del servicio, haya optado por identificarse en otro Estado miembro distinto de España.

Para obtener esta devolución: - NO ES NECESARIO acreditar la reciprocidad de trato en su país a favor de empresarios o profesionales establecidos en España - NO ES NECESARIO nombrar representante ante nuestra Administración Por tanto, recuerde que si presta servicios por vía electrónica a particulares establecidos en la unión europea: 

Y dispone de un establecimiento en España (península y baleares) sólo deberá repercutir el IVA español (18 por ciento) sea cual sea el estado miembro en el que esté domiciliado o establecido el particular, destinatario de los servicios.



Y no dispone de un establecimiento en España (península y baleares) o en algún otro estado miembro, es susceptible de tributar conforme al régimen especial, optando por identificarse, a estos efectos, en algún estado miembro y repercutiendo el iva que esté vigente, no en el estado miembro de identificación sino el que esté vigente en los estados miembros en los que estén domiciliados o establecidos los particulares que sean destinatarios de estos servicios

[116]

2.8. ANEXO 2.8.1. Guía de aspectos a tener en cuenta ante la puesta en marcha de una actividad de comercio electrónico. A continuación expondremos en forma esquemática, para su mejor comprensión, un resumen de los puntos que deberemos tener en cuenta a la hora de iniciar una actividad de comercio electrónico en los cuatro ámbitos que hemos estudiado. LOPD En lo relativo a la protección de datos personales, no deberemos olvidarnos de revisar el cumplimiento de los siguientes puntos: Inscripción del fichero. Recordemos que dicha inscripción debe realizarse de forma previa a la existencia del fichero. Elaborar un documento de seguridad. Determinar, en función de los datos que estemos tratando, cual es el nivel de seguridad de nuestro fichero. Aplicar las medidas de seguridad correspondientes al nivel de seguridad que hayamos determinado. Realizar, al menos, las auditorias de seguridad obligatorias por ley. Establecer registros de entradas y salidas de soportes cuando sean necesarios. Establecer un registro de incidencias cuando sea necesario. Determinar los controles de acceso a los datos personales (contraseñas, llaves, etc) Asegurarse de que se incluyen las preceptivas cláusulas informativas en los documentos o notificaciones que se realizan. Firma de un contrato de prestación de servicios en caso de existir un encargado del tratamiento. Disponer de formularios para contestar las solicitudes de derechos ARCO. Si existe transferencia internacional de datos, solicitud de autorización a la AEPD cuando sea necesaria. [117]

LSSI En lo relativo a la LSSI deberemos revisar los siguientes puntos para adecuar nuestra actividad a la ley: Comprobar si en nuestra actividad es de aplicación la LSSI o es de las excluidas de su aplicación. Cumplimiento del deber de información general (aviso legal). Cumplimiento,

cuando

sea

necesario,

del

deber

información sobre seguridad (aviso legal). Comunicaciones comerciales: aviso sobre su naturaleza y procedimiento para oponerse a su recepción. Evitar el SPAM. En caso de que se produzca contratación electrónica, incluir condiciones generales de contratación. Asegurar el cumplimiento de obligaciones previas a la contratación. Asegurar el cumplimiento de obligaciones posteriores a la contratación. PATENTES Y MARCAS En esta materia habrá que: Registrar la denominación social, si no se había hecho previamente (obligatorio). Registrar el nombre comercial (recomendable). Registrar las marcas o modelos de utilidad que pensemos usar y

que

puedan

diferenciar

producto

que

ofrecemos

(recomendable). A efectos fiscales, lo determinante en materia de comercio electrónico será: Factura electrónica. Si tenemos intención de emitirlas, solicitar autorización a la AEAT. Determinar cuál es el establecimiento del prestador del servicio. Determinar el lugar de residencia de quien recibe el servicio.

[118]

Casos Prácticos FORMACION EN COMERCIO ELECTRONICO CASOS PRACTICOS 1. LOPD a) ¿Puedo tratar sin necesidad de consentimiento o autorización del interesado una fotografía de una persona obtenida por internet? b) Nuestra empresa (agencia de viajes) decide, dentro de su plan de formación, grabar las llamadas telefónicas de clientes que solicitan información sobre ciertos destinos. En dichas llamadas, la empresa se limita a facilitar la información solicitada. ¿Se consideran dichas grabaciones como datos personales de los protegidos por la LOPD? ¿Habría que inscribir el fichero en la AEPD? c) La matrícula de un vehículo particular ¿podría considerarse un dato disociado? ¿Puede realizarse un fichero de matrículas sin necesidad de consentimiento? d) Si el encargado del tratamiento de datos no ha suscrito un contrato con el responsable del fichero ¿tiene alguna responsabilidad en caso de incumplimiento? e) Un videoclub tiene un fichero de clientes. Dado que entre las películas que

alquilan

encuentran

películas

pornográficas,

¿se

considerarían dichos datos como especialmente protegidos? f) Nuestra empresa ha recibido devueltos dos cargos correspondientes telefonía móvil al consumo de teléfono de nuestro cliente BB durante esos dos meses. Se ha intentado contactar telefónicamente con el cliente pero no ha sido posible. ¿Podríamos incluir a B en un fichero de incumplimiento de obligaciones dinerarias (“fichero de morosos”)?

[119]

g) Sospechamos que una de nuestras trabajadoras está sustrayendo dinero de la caja registradora. Decidimos colocar una cámara de vigilancia oculta sin informar de ello a los trabajadores, mediante la cual obtiene pruebas de la conducta de la trabajadora. ¿Habríamos vulnerado la LOPD con dicha actuación? h) Nuestra empresa recibe una solicitud de un particular pidiendo información sobre los datos personales suyos de que dispone la empresa. Consultando los ficheros, se comprueba que no se dispone de dato alguno de esta persona. ¿Qué deberíamos responder al interesado? i) CCC ha pasado unos días de vacaciones en un hotel. Al abandonar el hotel, le dan a firmar un documento en el que le informan que sus datos van a ser cedidos a la policía. ¿Es legal este proceder? j) Nuestra empresa recibe un solicitud de ejercicio del derecho de acceso sin firmar y sin copia del DNI del solicitante. ¿Cuál debe ser nuestra actuación? k) En caso de no querer que mis datos consten en un directorio telefónico ¿puedo solicitar el ejercicio de mi derecho de oposición directamente ante la AEPD? l) Nuestra empresa solicita la inscripción de un fichero de datos personales en la AEPD. Pasados dos meses todavía no hemos recibido respuesta, por lo que decidimos,

por ser necesario para nuestra

actividad, crear de todas formas el fichero. ¿Estaríamos infringiendo la LOPD?

[120]

m) El Ayuntamiento “A” encomienda a nuestra empresa la tarea de gestión del polideportivo municipal. Para ello nuestra empresa gestionará durante un año las altas y bajas de usuarios y organizará actividades por nombre y cuenta del Ayuntamiento. ¿Quién

responsable

del

tratamiento

datos

quien

encargado? n) Recibimos un currículum por correo ordinario, de una persona interesada en prestar sus servicios en nuestra empresa como auxiliar administrativo. Nuestra empresa” lleva guardando durante años los currículos de aquellas personas que le interesan, destruyendo el resto. A) ¿Existe

alguna

responsabilidad

nuestra

empresa

respecto? B) En caso afirmativo ¿qué obligaciones tenemos? o) Nuestra empresa quiere hacer un estudio de mercado en una provincia para la eventual apertura de un centro comercial. Para ello adquiere una base de datos de la empresa “B” en la que se incluyen los siguientes datos de personas físicas: � Edad � Estado civil � Aficiones (a elegir entre un numero tasado) � Salario � Nivel de estudios � Sexo. � Propiedad o no de un automóvil. ¿Tiene nuestra empresa alguna responsabilidad respecto a esta cesión conforme a la LOPD? 2. LSSI a) ¿Qué información general debería incluir en su web un despacho de abogados que preste asesoramiento personalizado on-line en diferentes materias.

[121]

b) ¿Se aplica la LSSI a un blog personal que incluya publicidad? c) ¿Se aplica la LSSI a un blog de un arquitecto que no incluya publicidad? d) Estoy desarrollando una página comercial en varios idiomas, con alojamiento en un servidor de España. ¿Tiene repercusiones legales el que esté en varios idiomas? ¿Hay que incluir algo en especial en el aviso legal? e) Un particular va a crear una web. No tiene empresa registrada, y en principio no sería una página web propia, sino un alojamiento ofrecido por una empresa, ¿Es necesario que ponga los datos del hosting, (Nif, nombre, Dirección, etc) o basta con incluir los datos del particular? f) Una web se dedica a organizar concursos gastronómicos, por lo que no percibe contraprestación alguna, ni existe cuota para inscribirse en los concursos. Tiene alojada publicidad de diferentes marcas y entidades. ¿Tiene la obligación de incluir algún aviso legal en su página? g) ¿Podemos enviar publicidad de un nuevo vehículo a una persona que figuraba como cliente en nuestro fichero como comprador de un vehículo del mismo tipo? ¿Qué requisitos tendríamos que cumplir para poder realizar este tipo de envíos? 3. PATENTES Y MARCAS a) ¿Una fotografía de internet de libre acceso puede tener derechos de propiedad? ¿Puedo usarla libremente para la web de un negocio? ¿Y para una web de una asociación sin ánimo de lucro? b) ¿Puedo registrar mi nombre más una frase como una marca o diseño de utilidad? (Ej: Pepe Pérez... ¡todo melones¡) c) ¿Puedo registrar una combinación de colores como elemento

[122]

distintivo de mi actividad? ¿En qué concepto? d) ¿Un empresario autónomo debe inscribirse en el Registro Mercantil para asegurar que su nombre no es utilizado por la competencia? e) Decido abrir un blog sin ánimo de lucro en el que compartir ideas para decorar muebles de la conocida marca NIKEA. El blog se llamara www.piratasdenikea.com. No he solicitado permiso a dicha marca para ello. ¿Estoy vulnerando los derechos de marca de dicha empresa? 4. FISCALIDAD a) Una empresa establecida en Madrid y dedicada al mantenimiento de programas y equipos informáticos presta los siguientes servicios a través de Internet: -

Actualiza las bases de datos de un abogado alemán establecido en Berlín, el cual no dispone de establecimiento permanente en España aunque sí presta servicios de abogacía a clientes domiciliados en España.

Actualiza

las

bases

datos

abogado

español

establecido en Murcia -

Vende un programa informático a un empresario establecido en Suiza

Actualiza una base de datos de un particular domiciliado en Moscú

Vende un programa informático a particulares domiciliado en Madrid y París

¿Cómo tributará cada operación? ¿Cuándo debe repercutir el IVA?

[123]

b) Una empresa establecida exclusivamente en Canadá presta los siguientes servicios a través de Internet: -

Vende programas informáticos de enseñanza de idiomas a una empresa establecida en Madrid, a otra establecida en Roma y a particulares domiciliados en Barcelona y en Viena.

¿Cómo tributará cada operación? ¿En qué casos debe repercutir el IVA? Anexo Cláusulas CLÁUSULA INFORMATIVA PARA INCORPORAR EN LOS CONTRATOS DE TRABAJO, En ____________, a _________ de ___________de 20_____ En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos, le informamos de que sus datos personales recogidos con ocasión de la relación laboral que le une con la Empresa ______________, han pasado a formar parte del fichero de Personal de la empresa con la finalidad de gestionar correctamente la relación laboral existente, siendo cedidos, en su caso, a la correspondiente Mutua

accidentes

trabajo

enfermedades

profesionales

(______________ ) y a las Administraciones públicas, en cumplimiento de la normativa laboral, de seguridad social y tributaria. En este sentido, usted autoriza a ______________ , SL a conservar dichos datos incluso después de finalizar, en su caso, la relación existente, con la finalidad de poder ofrecer futuras oportunidades laborales. De acuerdo con la precitada Ley Orgánica 15/1999, Vd. tiene derecho en cualquier momento a acceder, rectificar o cancelar los datos referentes a su persona incluidos en nuestro fichero en la siguiente dirección: C/ ______________ Nombre y firma del trabajador.

[124]

CLÁUSULA PARA INCLUIR EN PRESUPUESTOS O FACTURAS En virtud de lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos usted autoriza a _____________ , SL a tratar los datos personales contenidos en este presupuesto/factura con la finalidad de mantener la relación negocial y a cederlos a la empresa ______________ , SL (dirección ______________ ) con la finalidad de ______________ , entendiendo prestado su consentimiento a no ser que en el plazo de treinta días se oponga por escrito. Le informamos, además, de la posibilidad de acceder a los datos facilitados, así como a solicitar, en su caso, su rectificación, cancelación u oposición a los tratamientos descritos,

comunicación

los

términos

escrita

establecidos

indicando

tal

por

Ley,

circunstancia

mediante y

una

acreditando

fehacientemente su identidad a la dirección: _______________________ CLAÚSULA PARA INCLUIR EN CADA COMUNICACION AL INTERESADO CUANDO SUS DATOS SE OBTUVIERON DE UNA FUENTE DE ACCESO PÚBLICO (Listados de colegios profesionales, “páginas amarillas”, BOE, et

Los datos utilizados para esta promoción/comunicación provienen de fuentes

consideradas

acceso

público,

concretamente

__________________, según autoriza la Ley Orgánica 15/1999, de 13 de diciembre, y su Reglamento de desarrollo. Puede ejercer sus derechos de acceso, rectificación, cancelación u oposición dirigiéndose por escrito ante el responsable del fichero: _________________ SL, con dirección en __________________

[125]

CLÁUSULA INFORMATIVA CUANDO LOS DATOS NO SE OBTUVIERON DEL INTERESADO Los datos utilizados para esta promoción han sido comunicados o cedidos por ____________________ SL, con su consentimiento, revocable en todo momento, según lo autoriza la Ley Orgánica 15/1999, de Protección de Datos, de 13 de diciembre, y su Reglamento de desarrollo, con las finalidades de mantenimiento de la relación negocial y comercial. Puede usted ejercer sus derechos de acceso, rectificación, cancelación u oposición,

dirigiéndose

por

escrito

____________________,

dirección _______________________________

[126]

con