La transparencia sobre la forma en que las grandes sociedades tecnológicas como Google rastrean, comparten y utilizan los datos personales de sus usuarios es de vital importancia y no sólo en la Unión Europea. Cada vez es más evidente que en jurisdicciones como Estados Unidos se le confiere también relevancia singular, que se plantean acciones desde el propio sector público estatal. Aquí se da noticia de unos acuerdos que se han alcanzado con la tecnológica en relación con los datos personales relativos a la localización de los ciudadanos y empresas.
Los consumidores deben poder comprender cómo se utilizarán sus datos de localización antes de tomar la decisión consciente de utilizar servicios y productos. Sobre este sucinto razonamiento se presentaron demandas por parte de los fiscales contra Google. Algunas de las reclamaciones están concluyendo mediante acuerdos.
No Eume- Ponte do Eume
Así, un grupo de 5 fiscales generales de otros tantos Estados de EEUU alcanzaron acuerdo con Google el 30 marzo 2023. La noticia puede ampliarse aquí. En virtud de estos acuerdos, la tecnológica se comprometía a pagar 9 millones de dólares por engañar a los consumidores sobre sus prácticas de seguimiento de localización. De este modo se resolvieron las acusaciones contra Google por violar las leyes estatales de protección al consumidor al engañar a los consumidores sobre sus prácticas de seguimiento de ubicación desde al menos 2014. En concreto, Google causó confusión a los usuarios sobre dos configuraciones que controlan la recopilación de datos de la ubicación de los usuarios – «Historial de ubicaciones» y «Actividad web y de aplicaciones». También resultaba engañosa la medida en que los consumidores que utilizan productos y servicios de Google podían limitar el seguimiento de localización ajustando la configuración de su cuenta y dispositivo.
El acuerdo alcanzado obliga a Google a ser más transparente con los consumidores acerca de sus prácticas, lo que incluye mostrar información adicional a los usuarios cada vez que activen o desactiven un ajuste de la cuenta relacionado con la localización; garantizar que la información sobre el seguimiento de la ubicación esté visible (es decir, que no esté oculta); proporcionar a los usuarios información detallada sobre los tipos de datos de localización que Google recopila y cómo se utilizan. A tales efectos la tecnológica deberá habilitar una página web mejorada de «Tecnologías de localización». También tendrá que ofrecer a los usuarios la posibilidad de inhabilitar una configuración de cuenta relacionada con la ubicación y eliminar la información de ubicación almacenada por dicha configuración sin necesidad de navegar por páginas web independientes. Además, deberá eliminar automáticamente la información de localización recopilada una vez transcurridos 30 días. El acuerdo también limita el uso y la conservación por parte de Google de determinados tipos de información de localización y exige que los controles de las cuentas de Google sean más fáciles de usar.
Según las previsiones de la OMC sobre el crecimiento del comercio mundial en 2023 tal crecimiento será bajo, pese a que se ha producido una ligera mejoría de las previsiones sobre el PIB desde el pasado otoño.
Foto by M.A. Díaz
Así lo ponen de manifiesto los economistas de la OMC en la previsión publicada recientemente, el 5 de abril (Vid. aquí un resumen de la misma). Este menor crecimiento consideran que responde a los efectos derivados de la guerra en Ucrania, una inflación persistentemente elevada, el endurecimiento de la política monetaria y la incertidumbre de los mercados financieros, a resultas de lo cual se prevé que el volumen del comercio mundial de mercancías crezca un 1,7% este año, después de haber aumentado el 2,7% en 2022.
Según las proyecciones del comercio que la OMC presenta en el nuevo informe de las “Perspectivas y estadísticas del comercio mundial”, se estima que el crecimiento del PIB real mundial a tipos de cambio del mercado será del 2,4% en 2023. Señala así que las proyecciones del crecimiento tanto del comercio como de la producción serán inferiores a sus respectivos promedios del 2,6% y el 2,7% de los últimos 12 años.
En relación con este tema, la Directora General de la OMC, Ngozi Okonjo-Iweala, ha puesto de relieve lo siguiente:
“El comercio sigue siendo una fuerza a favor de la resiliencia de la economía mundial, pero seguirá estando sometido a la presión de factores externos en 2023. Por ese motivo, es aún más importante que los Gobiernos eviten la fragmentación del comercio y se abstengan de introducir obstáculos al comercio. Invertir en la cooperación multilateral en el ámbito del comercio, como hicieron los Miembros de la OMC en su Duodécima Conferencia Ministerial el pasado mes de junio, reforzaría el crecimiento económico y el nivel de vida de las personas a largo plazo.”
El aumento del 2,7% del volumen del comercio mundial en 2022 fue inferior al 3,5% indicado en la previsión de octubre de la OMC, debido a que la disminución intertrimestral -más acusada de lo previsto en el cuarto trimestre- arrastró a la baja el crecimiento anual. Entre los factores que coadyuvaron a ese desplome se mencionan los elevados precios mundiales de los productos básicos, el endurecimiento de la política monetaria en respuesta a la inflación y los brotes de COVID-19 que afectaron negativamente a la producción y el comercio en China.
Se recuerda en el Informe que el pasado año se registraron algunas de las tasas de inflación más elevadas desde la década de 1980 y, junto a ello, enormes oscilaciones de los precios de los productos básicos y una apreciación del dólar de los Estados Unidos. En cuanto a los precios de los productos alimenticios , se hace hincapié en la enorme fluctuación de los mismos durante 2022, ya que aumentaron un 19% entre enero y mayo, para disminuir después un 15% entre mayo y diciembre.
Con todo, el crecimiento del comercio el año pasado se situó dentro de la hipótesis de referencia de entre el 2,4% y el 3,0% que figuraba
Foto by M.A. Díaz
en el informe inicial de la OMC de 2022 sobre la crisis en Ucrania y resultó estar muy por encima de la hipótesis más pesimista, que sostenía que el comercio crecería tan solo un 0,5% a medida que los países empezaran a dividirse en bloques comerciales competidores. En un estudio de seguimiento de la OMC publicado el mes pasado se dejó constancia de cómo habían podido las economías vulnerables compensar la falta de suministro de alimentos esenciales provocada por la guerra optando por productos y proveedores alternativos.
Diferenciando el valor de comercio mundial de mercancías y el de servicios comerciales, se señala en el informe que nos ocupa que el valor del comercio mundial de mercancías aumentó un 12%, alcanzando 25,3 billones de dólares EE.UU. en 2022, en parte inflado por los precios elevados de los productos básicos en el mercado mundial. Por su parte, el valor del comercio mundial de servicios comerciales aumentó un 15% en 2022, alcanzando 6,8 billones de dólares EE.UU. Las exportaciones de servicios prestados digitalmente ascendieron a 3,82 billones de dólares EE.UU. ese mismo año.
Mientras tanto, la previsión de un aumento del comercio del 1,7% en 2023 es mayor que la estimación anterior del 1,0% del pasado mes de octubre. Un factor sumamente relevante, a este propósito, es el de la relajación de las medidas de control de la pandemia de COVID-19 en China, que seguramente libere la demanda de bienes de consumo en el país, que supondrá dar un nuevo impulso al comercio internacional.
A este respecto, el Economista Jefe de la OMC, Ralph Ossa: “Los efectos persistentes de la COVID-19 y las crecientes tensiones geopolíticas fueron los principales factores que incidieron en el comercio y la producción en 2022, y es probable que en 2023 ocurra lo mismo. Las subidas de los tipos de interés en las economías avanzadas también han puesto de manifiesto deficiencias en los sistemas bancarios que, de no subsanarse, podrían dar lugar a una mayor inestabilidad financiera. Los Gobiernos y los organismos de reglamentación deben estar alerta frente a estos y otros riesgos financieros en los próximos meses.”
En cuanto al 2024, el crecimiento del comercio debería llegar al 3,2%, al tiempo que el PIB remonta al 2,6%, si bien esta estimación es más incierta de lo habitual, al existir importantes riesgos a la baja, incluidas las tensiones geopolíticas, las perturbaciones en el suministro de alimentos y la posibilidad de que el endurecimiento de la política monetaria dé lugar a consecuencias imprevistas.
Este Informe de la OMC “Perspectivas del comercio mundial y estadísticas” puede verse aquí
El Real Decreto 2/2021, de 12 de enero, por el que se aprueba el Reglamento de desarrollo de la Ley 22/2015 de Auditoría de Cuentas, refuerza, en su Disposición Adicional Undécima (DA 11ª), el régimen sancionador relacionado con el incumplimiento del deber de depósito anual de cuentas, (régimen sancionador del artículo 283 del la Ley de Sociedades de Capital). Contribuye a definir ese procedimiento sancionador y los criterios para la imposición de las sanciones correspondientes.
El artículo 279 de la Ley de Sociedades de Capital establece la obligación de los administradores de depositar en el Registro Mercantil las cuentas anuales de la sociedad, acompañada de la certificación de los acuerdos de la junta general de accionistas que aprueben dichas cuentas.
Azalea rosa
Los principales aspectos del régimen sancionador son los siguientes:
Los registradores mercantiles del domicilio de la sociedad que incumpla a obligación de depósito de las cuentas anuales son los encargados de gestionar y tramitar los procedimientos sancionadores correspondientes.
El plazo para resolver y notificar la resolución del procedimiento sancionador es de seis meses a partir de la adopción del acuerdo para iniciar el procedimiento. Ello sin perjuicio de la posibilidad de suspensión del mismo; así como de la posibilidad de prórrogas de acuerdo con la legislación administrativa aplicable.
Los criterios para establecer el monto de la sanción en caso de incumplimiento son los siguientes:
La sanción será de 0.5 por mil del monto total de los bienes, más 0.5 por mil de las ventas incluidas en la última declaración tributaria presentada ante las Autoridades Tributarias (la Última Declaración Tributaria), que deberá ser aportada.
En caso de no presentarse la Última Declaración Tributaria, la sanción se fijará en el 2% del capital social según los datos inscritos en el Registro Mercantil.
En el caso de que se aporte la Última Declaración y el resultado de aplicar los porcentajes antes mencionados a la suma de las partidas de activos y ventas sea mayor al 2% del capital social, la sanción se calcula reduciendo el monto del capital social en 10%.
Según establece el artículo 283.1 del texto refundido de la Ley de Sociedades de Capital, la sanción pecuniaria debe ser de entre 1.200 y 60.000 € y, en el caso de que la sociedad tenga una facturación anual superior a 6 millones de euros. El límite máximo de la La multa por cada año de retraso aumentará en 300.000 €.
Así lo ha declarado la Sentencia del Tribunal de Justicia (Sala Segunda), de 16 de marzo de 2023 en el asunto C-449/21, Towercast.
Foto by M.A. Díaz
Veamos los hechos que dieron lugar a la cuestión prejudicial planteada y a la Sentencia del Tribunal de Justicia:
A partir de 2005 se desplegó en Francia la plataforma de Televisión Digital Terrestre (TDT). El principal operador de la red de TDT es la sociedad TDF, que hasta entonces venía disfrutando de un monopolio estatal sobre el mercado francés de la teledifusión por vía hertziana.
Al liberalizarse el espacio audiovisual francés permitió el acceso al mercado de la difusión de otros operadores competidores de TDF, como Towercast e Itas. En 2016, TDF adquirió el control exclusivo de Itas mediante una operación de adquisición que quedaba por debajo de los umbrales fijados en el Reglamento comunitario de concentraciones y en el Código de Comercio francés, razón por la cual no fue objeto de notificación ni de un control previo de la concentración. Por lo demás, dicha operación tampoco se sujetó al procedimiento de remisión del expediente a la Comisión previsto en el artículo 22 del Reglamento.
En opinión de Towercast la toma de control de Itas por TDF infringe la prohibición de abuso de posición dominante impuesta por el Derecho primario de la Unión (artículo 102 TFUE). Y ello porque, según Towercast, TDF obstaculiza la competencia en los mercados mayoristas, de producción y de distribución, de difusión de los servicios de TDT, habida cuenta que su posición ya de por sí dominante en esos mercados ha quedado significativamente reforzada.
La Autoridad de Competencia francesa desestimó la denuncia presentada por Towercast, de modo que ésta recurrió ante la cour d’appel de Paris (el Tribunal de Apelación de París) (Francia).
El Tribunal de Apelación de París decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«Debe interpretarse el artículo 21, apartado 1, del Reglamento [n.º 139/2004] en el sentido de que se opone a que una operación de concentración carente de dimensión comunitaria a efectos del artículo 1 del [Reglamento citado], que no alcanza los umbrales de control ex ante obligatorio establecidos por el Derecho nacional y que no ha dado lugar a un procedimiento de remisión a la Comisión Europea con arreglo al artículo 22 de dicho Reglamento, sea considerada por una autoridad nacional de competencia como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE, a la luz de la estructura de la competencia en un mercado de dimensión nacional?»
Este órgano jurisdiccional lo que, en definitiva, plantea al Tribunal de Justicia es si una autoridad nacional de competencia puede examinar ulteriormente, a la vista de la prohibición de abuso de posición dominante establecida por el Derecho de la Unión, una operación de concentración llevada a cabo por una empresa que goza de posición dominante, cuando tal concentración se sitúa por debajo de los umbrales de volumen de negocios fijados en el Reglamento (CE) núm. 139/2004 del Consejo, de 20 de enero de 2004, sobre el control de las concentraciones entre empresas («Reglamento comunitario de concentraciones») (DO 2004, L 24, p. 1) y en la normativa nacional sobre control de concentraciones y, por tanto, no haya sido objeto de un control previo en este sentido.
Foto by M.A. Díaz
En su Sentencia, el Tribunal de Justicia reconoce que una operación de concentración de dimensión no comunitaria puede ser objeto de control por las autoridades nacionales de defensa de la competencia y por los tribunales nacionales en virtud del efecto directo de la prohibición de abuso de posición dominante contemplada por el Derecho de la Unión, basándose en sus propias normas de procedimiento.
El Tribunal de Justicia subraya, en este sentido, que, no obstante el principio de aplicación exclusiva del Reglamento a las operaciones de concentración, es el Derecho en materia de procedimiento de los Estados miembros el que se aplica a las concentraciones de dimensión no comunitaria.
A este propósito, el Tribunal pone de relieve que el sistema de «ventanilla única» previsto por el Reglamento constituye un instrumento procedimental específico, encaminado a ser aplicado con carácter exclusivo a las concentraciones de empresas que impliquen modificaciones estructurales importantes cuyo efecto en el mercado alcance más allá de las fronteras nacionales de un Estado miembro. Con todo, añade, de ello no se desprende que el legislador de la Unión haya querido dejar sin objeto el control realizado a escala nacional de una operación de concentración basada en la prohibición de abuso de posición dominante impuesta por el Derecho primario.
Así las cosas, manifiesta el Tribunal de Justicia que el control previo de las operaciones de dimensión comunitaria establecido por el Reglamento no excluye un control ulterior de las operaciones de concentración que no alcancen dicho umbral, toda vez que determinadas concentraciones que pueden quedar libres de un control previo, sin embargo pueden ser objeto de un control posterior.
Precisamente, conforme a la Sentencia, habrá de tenerse en cuenta que al realizar el control ulterior basado en la prohibición del abuso de posición dominante, la autoridad nacional que conoce del asunto habrá de comprobar si el adquirente, con posición dominante en un mercado determinado y que ha adquirido el control de otra empresa en dicho mercado, ha obstaculizado sustancialmente la competencia en ese mercado, a resultas de ese comportamiento
Considerado lo anterior, el Tribunal de Justicia declara:
“El artículo 21, apartado 1, del Reglamento (CE) n.º 139/2004 del Consejo, de 20 de enero de 2004, sobre el control de las concentraciones entre empresas, debe interpretarse en el sentido de que
no se opone a que una operación de concentración de empresas carente de dimensión comunitaria a efectos del artículo 1 de dicho Reglamento, que no alcanza los umbrales de control ex ante obligatorio previstos por el Derecho nacional y que no ha dado lugar a un procedimiento de remisión a la Comisión con arreglo al artículo 22 de dicho Reglamento, sea considerada por una autoridad de competencia de un Estado miembro como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE, a la luz de la estructura de la competencia en un mercado de dimensión nacional”.
Como es sabido, los datos de ubicación, pueden servir para inferir y conocer diversa información personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios
En EEUU se han ido conociendo reclamaciones frente a grandes compañías de servicios digitales, con base en prácticas de geolocalización irrespetuosas con el ordenamiento.
Invierno. By M.A. Díaz
En noviembre 2022, un grupo de 40 Attorney General (fiscales generales) de Minesota en EEUU llegó a un acuerdo con Google LLC, a raíz de una sobre la presunta violación por parte de la compañía de las correspondientes normativas estatales de protección del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalización. Poco antes, se había alcanzado un acuerdo similar en Arizona. Según ha trascendido, Google habría trasmitido la errónea impresión de que cuando los usuarios desactivaban los servicios de seguimiento de localización la compañía dejaría de recopilar datos de geolocalización sobre ellos. En realidad, Google seguía acumulando estos datos y luego los ofrecía a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de dólares, así como facilitar a los usuarios información adicional al activar o desactivar un determinado ajuste relacionado con la localización; y tiene que asegurar que la obtención de información clave sobre el seguimiento de la localización sea «insoslayable» para los usuarios , así como proporcionar información detallada sobre los tipos de datos de localización que recopila y utiliza. Más aquí
En la UE, dado que los sistemas de geolocalización capturan, almacenan y analizan la información geográfica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicación el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimación. Cuando el dispositivo sea propiedad de una persona física será necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalización se instale en un dispositivo responsabilidad de una empresa, se podrá legitimar por interés legítimo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recuérdese que el art. 20.3 del Estatuto de los Trabajadores permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constitución Española, en coherencia además con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibición del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopción de la medida. La noción de “fines” del art. 5.1.c RGPD, relativo al principio de minimización, excluye todo intento de aprovecharse de los datos de carácter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Además, los datos de localización se deben conservar exclusivamente durante el tiempo oportuno en función de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localización deberá restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma legítima en función de sus finalidades. Por consiguiente, los empresarios deberán adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducción de medidas de verificación e identificación.
Además de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalización estarán sujetos a obligaciones del GDPR:
El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habrán de llevar un registro de las actividades de tratamiento que efectúen bajo su responsabilidad (art. 30 RGPD).
El análisis de riesgos con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
Medidas de seguridad. En este documento se van a recoger las medidas técnicas y organizativas de seguridad que garanticen la protección de los datos personales, y que demuestren la adecuación con el GDPR, teniendo en consideración los derechos e intereses legítimos de las personas físicas propietarias de los datos personales y de cualquier otra persona afectada.
La evaluación de impacto (DPIA) en el caso el tratamiento se realice a gran escala e implique la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público (art. 35.4 RGPD).
En España, en enero de 2023, Audiencia Nacional anuló una decisión de la AEPD en la que sostuvo que la empresa Virgin telco había actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalización. El asunto había sido planteado por una ONG especializada: NOYB.
Noyb, cuyas siglas proceden de la expresión inglesa None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relación con los acuerdos de trasmisión de datos a EEUU). La ONG especializada en protección de datos recurrió una decisión de la AEPD. NOYB sostenía que la información sobre geolocalización es un dato personal y debe facilitarse al amparo del derecho de datos personales.
Un cliente de Virgin telco en España solicitó acceder a sus datos de geolocalización. Le fueron denegados por lo que reclamó ante la AEPD. La agencia dio la razón a la empresa por lo que Noyb recurrió esa decisión en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en España están obligados a almacenar datos de geolocalización de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa información a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado sólo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anuló la decisión inicial de la AEPD. Ver aquí la web de esta ONG
El 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea («TJUE») dictó sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisión, el TJUE aclaró los criterios para evaluar si existe un conflicto de intereses entre la función de Delegado de Protección de Datos («DPD/DPO») y otras tareas o funciones asignadas al mismo DPD/DPO.
Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislación sobre protección de datos y las políticas adoptadas en cada organización, y actuar como punto de contacto con las autoridades de control.
En esta sentencia, el TJUE hizo hincapié en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecución de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en función de otro cargo que compatibilice) determinar los objetivos y métodos del tratamiento de datos personales.
Ahora bien, a efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluación casuística, para determinar si existe un conflicto de intereses. En esta evaluación se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, así como las políticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este último aspecto, se planteó la cuestión de si esta prohibición se opone a una legislación nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal únicamente cuando exista una causa justificada, aunque el despido no esté relacionado con el ejercicio de las tareas del DPD/DPO. Para llegar a esta conclusión, el Tribunal reiteró que los conceptos de «destituir» y «sancionar» deben interpretarse con arreglo al lenguaje corriente (véase también la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra «cualquier decisión que ponga fin a sus funciones, por la que se le coloque en una situación de desventaja o que constituya una sanción». El Tribunal confirmó que una medida de despido por parte de un empleador puede constituir una decisión de este tipo.
El Tribunal también reiteró que la prohibición de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relación con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo sólo cuando los motivos subyacentes a la decisión se refieren al desempeño de sus funciones. El Tribunal consideró que cada Estado miembro es libre de establecer disposiciones específicas más protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protección no menoscabe la consecución de los objetivos del RGPD. Tal menoscabo podría producirse, por ejemplo, cuando la legislación nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.
En cuanto al conflicto de intereses, el TJUE señala que el artículo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el artículo 39 del RGPD), pero impone la obligación de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
Sobre las circunstancias podrían suponer tal conflicto de intereses, el Tribunal respondió de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan «menoscabar la ejecución de las funciones desempeñadas por el DPD/DPO». Más concretamente, el Tribunal confirmó que se produciría un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinación de los objetivos y métodos de tratamiento de datos personales por su parte. Evidentemente, la determinación de objetivos o métodos de tratamiento de datos chocaría con el requisito de poder revisar de forma independiente dichos objetivos y métodos. La evaluación de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y políticas aplicables).
Fallo:
1) El artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.
2) El artículo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.
El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protección de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protección de datos («RGPD») relativos al nombramiento de un responsable de la protección de datos («DPD»).
Tras la notificación de una violación de datos, la APD belga inició una investigación sobre las prácticas de protección de datos y el programa de privacidad de la empresa y su investigación se centró en tres supuestas infracciones del RGPD,
Canaval_Omaña (León)
el deber de cooperar con la APD;
las obligaciones de rendición de cuentas (evaluaciones de riesgo y violación de datos); y
los requisitos relacionados con el cargo de DPD de la sociedad.
En su decisión, la Sala de lo Contencioso de la APD belga solo confirmó la infracción de los requisitos del DPD del RGPD (artículo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gestión de Riesgos y Auditoría a ese DPD, la sociedad había incumplido su obligación de garantizar que su DPD esté libre de cualquier conflicto de intereses.
En particular, la Sala de lo Contencioso de la APD belga indicó en su decisión que:
Si el DPO, como Jefe del departamento de Auditoría Interna, tiene poder de decisión con respecto al despido de empleados, no es compatible con la función del DPO.
El que los departamentos que dirige la persona que actúa como DPO de la sociedad cumplan una función independiente y consultiva en relación con los demás departamentos de la empresa y, como tales, no tengan poder de decisión con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gestión de Riesgos y Auditoría, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.
En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la función de jefe de departamento de Cumplimiento Normativo, Gestión de Riesgos y Auditoría la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinación de funciones, existe una falta total de supervisión independiente del DPO en relación con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gestión de Riesgos y Auditoría. Además, la APD belga indica que, debido a su doble función, el DPO puede no ser capaz de ofrecer suficientes garantías a los empleados afectados en términos de confidencialidad y secreto.
En vista de lo anterior, la Sala de lo Contencioso ordenó modificar la situación e impuso una multa administrativa de 50.000 euros. (recurrible)
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
El llamado Digital Services Act, DSA, fue publicado en el DOUE el día 27 octubre 2022. Se trata del Reglamento (UE) 2022/2065 del Parlamento europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales)
Obrigado
El principal objetivo del DSA es mejorar el control de los contenidos ilícitos en las plataformas y redes sociales. Conforme a su Art 1: “contribuir al correcto funcionamiento del mercado interior de servicios intermediarios estableciendo normas armonizadas para crear un entorno en línea seguro, predecible y fiable que facilite la innovación y en el que se protejan efectivamente los derechos fundamentales amparados por la Carta, incluido el principio de protección de los consumidores”.
Se articula en torno a 5 capítulos. Entre ellos destacan por su contenido sustantivo el relativo a la responsabilidad (y a la exención de responsabilidad) de los intermediarios (capítulo 2), las obligaciones de los intermediarios (capítulo 3) y la supervisión y control por parte de las autoridades nacionales y de la comisión, entre las que se establecerán cooperaciones
Valporquero en León
I Entidades a las que se aplica:
El DSA se aplica a los proveedores de servicios intermediarios con establecimiento o con residencia en la UE, en la medida que ofrezcan servicios en la UE. Es decir, se aplica a entidades que ofrecen servicios de intermediación a destinatarios o usuarios finales ubicados en la UE (Art 2 DSA), sin perjuicio de la aplicación de otras normas sectoriales a esos mismos intermediarios, cuando resulte procedente (Art 2-4 DSA)
Dentro de los intermediarios que quedan sujetos al DMA distinguimos:
Servicios de intermediación: Ponen a disposición de los usuarios las infraestructuras de red. Son proveedores de acceso a Internet y entidades de registro de nombres de dominio, entre otros.
Servicios de alojamiento de datos: Almacenan información proporcionada por los destinatarios o clientes de su servicio. Incluyen, entre otros, servicios de computación en nube o de alojamiento web.
Plataformas en línea: Redes sociales, mercados en línea, prestadores de servicios de alojamiento de datos, entre otros.
Motores de búsqueda
Plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño. Determinados prestadores serán calificados así, y se les impondrán obligaciones adicionales (más estrictas). Su designación por parte de la Comisión se basa en que el umbral de usuarios supere el 10% de la población de la UE (45 millones). Dicho umbral podrá ser ajustado por la Comisión. //// La DSA clasifica plataformas o motores de búsqueda que tienen más de 45 millones de usuarios al mes en la UE como plataformas en línea de muy gran tamaño (VLOP) o motores de búsqueda en línea de muy gran tamaño (VLOSEs).Para ello, estas entidades, las plataformas y los motores de búsqueda, estaban obligados a publicar datos antes del 17 de febrero de 2023. Y, deberán actualizar estas cifras al menos cada 6 meses (DSA: Orientación sobre el requisito de publicar números de usuario). Una vez designadas, la entidad tiene cuatro meses para cumplir con las normas de la DSA que abordan los riesgos particulares que representan para los europeos y la sociedad tales grandes servicios en lo que respecta a los contenidos ilícitos, y su impacto en los derechos fundamentales, la seguridad pública y el bienestar.La Comisión revocará su decisión si la plataforma o el motor de búsqueda ya no alcanzan el umbral de 45 millones de usuarios mensuales durante un año completo.
Quedan fuera del ámbito de aplicación de la DSA los servicios de comunicaciones interpersonales, contemplados en la Directiva (UE) 2018/1972 del Parlamento Europeo y el Consejo (como los servicios de correos electrónicos y los servicios de mensajería privada). Sin embargo, es decir incluso en esos casos mencionados, las obligaciones de la DSA se podrían exigir a los prestadores de servicios que permitan poner información a disposición de un número potencialmente ilimitado de destinatarios, no determinado por el remitente de la comunicación.(considerando, 14)
II Obligaciones y responsabilidad de los prestadores intermediarios de servicios digitales
Visión general y relación con el régimen anterior
Hasta ahora, con la Directiva 2000/31/CE, Directiva de Comercio Electrónico, la responsabilidad de los prestadores de servicios digitales se asentaba en dos principios fundamentales. El primero, la ausencia de responsabilidad por los contenidos ilícitos que alojaban o transmitían siempre que no tuviesen conocimiento efectivo de los mismos. El segundo, la inexistencia de una obligación general de realizar seguimientos para impedir la publicación o transmisión de estos contenidos.
El DSA mantiene ambos principios (Art 4-mera trasmisión-; Art 5 -memoria caché; Art 6 -alojamiento de datos; Art 8- inexistencia de obligación general de monitorización).En suma, el DSA mantiene en buena medida el régimen de responsabilidad de los prestadores intermediarios, en tanto que conserva el régimen de exclusión de responsabilidad de los prestadores de servicios intermediarios de la Directiva 2000/31/CE, del Comercio Electrónico (safe harbour). Sigue impidiendo imponer a las plataformas una obligación general de supervisión de los contenidos subidos por los usuarios, es decir, no impone una obligación de verificar ex ante la legalidad de los contenidos subidos por los usuarios. En consecuencia, no impone responsabilidad directa respecto de estos contenidos. Las exenciones de responsabilidad de la DSA se aplican a cualquier tipo de responsabilidad, sea cual sea la materia o naturaleza precisa de las disposiciones legales, por ejemplo, derecho de marcas, patentes, publicidad, imagen, honor…
Por tanto, estos prestadores de estos servicios, cuando actúen como meros intermediarios, no serán responsables del contenido subido por los usuarios, si en el momento en el que tienen conocimiento efectivo del contenido ilícito, actúan de manera diligente para su retirada o inhabilitan el acceso. El prestador puede obtener dicho conocimiento efectivo a través de órdenes de los organismos competentes,investigaciones realizadas por iniciativa propia o notificaciones de los afectados, en la medida en que sean suficientemente precisas y estén bien fundamentadas.
Este régimen especial de exención de responsabilidad no será aplicable en ningún caso a la información generada por la propia plataforma, respecto de la cual los prestadores tendrán responsabilidad directa.
Además, los intermediarios deben presentar la información de manera que no induzca a los consumidores a creer que ha sido facilitada por las propias plataformas y no por sus usuarios (por ejemplo, los mercados en lineadeberán aclarar qué servicios son prestados por terceros a través de sus plataformas).
Aunque, no afecta a la aplicación de la legislación europea que regula determinados aspectos sobre la prestación de servicios de la sociedad de la información, que tiene carácter de lex specialis como, por ejemplo, el artículo 17 de la Directiva 2019/790, sobre los derechos de autor y derechos afines en el mercado único digital (DMUD); la Directiva (UE) 2018/1808, sobre los prestadores de plataformas de intercambio de vídeos (DSCA 2018); el Reglamento (UE) 2019/1150, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (Reglamento B2B2C) o el Reglamento (UE) 2016/679 de Protección de Datos (RGPD). Ciertamente, la interrelación de la DSA con otras normas del entorno online plantea cuestiones complejas
Nuevas obligaciones
El DSA introduce novedades importantes, en forma de obligaciones de los intermediarios. El Reglamento identifica las siguientes obligaciones aplicables a todos los servicios intermediarios:
Establecer puntos de contacto que permitan la comunicación directa con los Estados miembros, la Comisión .
Designar un punto de contacto único para los destinatarios de los servicios que permita una comunicación rápida, directa y eficiente.
Designar a una persona para actuar como representante legal en un Estado miembro, cuando esos prestadores estén están establecidos en un tercer país.
Indicar y actualizar en sus condiciones la información relativa a las medidas por las que pueden restringir la prestación de sus servicios.
Indicar y actualizar en sus condiciones las normas del procedimiento de su sistema interno de tramitación de reclamaciones.
Diversas obligaciones de transparencia informativa; incluyendo la publicación de informes sobre su actividad de moderación de contenidos (al menos, una vez al año) en un formato legible por máquina.
Colaborar con las autoridades: Informar a las autoridades policiales de sospechas sobre la posible comisión de un delito por un destinatario.
Obligaciones adicionales aplicables a los prestadores de servicios de alojamiento, incluidas las plataformas en línea.
Moderación de contenidos.
Establecimiento de mecanismos (NTDs) que permitan notificar la presencia de contenidos y productos presuntamente ilícitos (incluyendo productos falsificados). Salvo que se trate de una notificación de un delito, las plataformas deberán pedir al notificante que revele su identidad.
Suspensiones de cuentas. En determinadas condiciones, las plataformas en línea deberán suspender temporalmente sus actividades a la persona que muestre comportamientos abusivos. Se consideran comportamientos abusivos la publicación frecuente de contenidos manifiestamente ilícitos y el envío frecuente de avisos o reclamaciones manifiestamente infundados a través de los mecanismos y sistemas, respectivamente. La información debe tener la consideración de contenido manifiestamente ilícito cuando sea evidente para una persona lega en la materia, sin un análisis de fondo, que dicho contenido es ilícito o que los avisos o reclamaciones son infundados.
Establecer procesos específicos para permitir solicitar la retirada de contenidos ilícitos,
Establecer un sistema interno de tramitación de reclamaciones con respecto a las decisiones adoptadas por estas plataformas, con mecanismos para permitir que los usuarios puedan defenderse en caso de que entiendan que sus contenidos han sido retirados sin justificación infringiendo, por ejemplo, sus libertades de expresión e información
Transparencia informativa de los prestadores de servicios intermediarios y publicación de informes sobre cualquier actividad de moderación de contenidos.
Trasparencia en la publicidad que se aloje en los intermediarios (Art 26).
Los destinatarios del servicio deben tener información sobre los principales parámetros utilizados para determinar la presentación de la publicidad. Además, deberán ofrecer explicaciones de la lógica utilizada con ese fin. Los prestadores de estos servicios se asegurarán de que los destinatarios puedan conocer, por cada anuncio publicitario, de manera clara e inequívoca y en tiempo real:
a) que la información presentada es un anuncio publicitario;
b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario;
c) información significativa acerca de los principales parámetros utilizados para determinar el destinatario al que se presenta el anuncio publicitario.
En relación con la publicidad, los destinatarios deben poder acceder directamente desde la interfaz donde se presente el anuncio a información sobre los principales parámetros utilizados, ofreciendo explicaciones útiles de la lógica utilizada con ese fin, también cuando se base en la elaboración de perfiles.
Transparencia en las recomendaciones (Art 27)
Protección de menores (Art 28)
Obligaciones especiales para las plataformas que permitan a los consumidores concluir contratos a distancia, (y que no sean PYMES) (Arts 29 yss). : Incluyen la trazabilidad de comerciantes; el disponer las interfaces para facilitar que los comerciantes puedan cumplir sus obligaciones (el llamado cumplimiento desde el diseño, Art 31 ), así como a los consumidores, ejercer sus derechos de información (Art 32)
Cooperación con las autoridades de los Estados Miembros tanto en la retirada de contenidos ilícitos como en la identificación de determinados usuario
Obligaciones de las plataformas y motores en línea de gran tamaño
La DSA impone obligaciones específicas a las grandes plataformas con el fin de evaluar los riesgos sistémicos que entraña el funcionamiento y uso de su servicio, así como los posibles usos indebidos por parte de los destinatarios (Arts 33 y ss).
Los principales riesgos sistémicos identificados por el DSA son los riesgos asociados al uso indebido de su servicio mediante la difusión de contenidos ilícitos, como la difusión de materiales de abuso sexual de menores o delitos de incitación al odio, y la realización de actividades ilícitas como la venta de productos o servicios prohibidos. También los efectos del servicio para el ejercicio de los derechos protegidos por la Carta de los Derechos Fundamentales, incluida la libertad de expresión e información, el derecho a la vida privada, el derecho a la no discriminación y los derechos del niño. Además, la manipulación deliberada con efectos para la salud, el discurso cívico, los procesos electorales, la seguridad pública y la protección de los menores. Por ejemplo, por la creación de cuentas falsas, el uso de bots y otros comportamientos total o parcialmente automatizados.
Adicionalmente, deben asumir la adaptación de los sistemas de moderación de contenidos o de recomendación, sus procesos decisorios, las características o el funcionamiento de sus servicios, o sus condiciones.
También han de detectar, analizar y evaluar con diligencia cualquier riesgo sistémico que se derive de su diseño, incluidos los sistemas algorítmicos, el funcionamiento y el uso que se haga de sus servicios.
Así mismo, tienen que establecer medidas selectivas dirigidas a limitar la presentación de anuncios publicitarios. En este sentido el art 39 exige trasparencia especial.
Art 99.1 : Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño que presenten anuncios publicitarios en sus interfaces en línea recopilarán y harán público, en una sección específica de su interfaz en línea, a través de una herramienta de búsqueda fiable que permita realizar consultas en función de múltiples criterios, y mediante interfaces de programación de aplicaciones, un repositorio que contenga la información a que se refiere el apartado 2, durante todo el tiempo en el que presenten un anuncio y hasta un año después de la última vez que se presente el anuncio en sus interfaces en línea. Se asegurarán de que el repositorio no contenga ningún dato personal de los destinatarios del servicio a quienes se haya o se pueda haber presentado el anuncio y harán todos los esfuerzos que resulten razonables para garantizar que la información sea exacta y completa.
Estas grandes plataformas también deben reforzar los procesos internos o la supervisión de cualquiera de sus actividades, en particular en lo que respecta a la detección de riesgos sistémicos.
También deben ocuparse de la puesta en marcha o el ajuste de la cooperación con los llamados alertadores fiables; así como de la puesta en marcha o el ajuste de la cooperación con otras plataformas en línea mediante los códigos de conducta y los protocolos de crisis. Finalmente, dada la necesidad de garantizar la verificación por expertos independientes, las plataformas en línea y los motores de búsqueda de muy gran tamaño deben rendir cuentas, mediante auditorías independientes.
Sin perjuicio de todo ello, el DSA contempla también posibles medidas voluntarias a adoptar por los proveedores de servicios, entre las que se encuentra la elaboración de un código de conducta relativo a materias concretas: publicidad, accesibilidad y protocolos de crisis.
III Otras cuestiones
A) Doctrina del Buen Samaritano
La DSA reconoce expresamente la aplicación de la doctrina anglosajona del “Buen Samaritano” con el fin de no desincentivar las actividades destinadas a detectar, identificar y actuar contra contenidos ilícitos que se puedan llevar a cabo de forma voluntaria. Es decir, las plataformas no perderán las ventajas del régimen de exclusión de responsabilidad por actuar proactivamente en la lucha contra contenidos ilícitos.
B) Trazabilidad: nuevos requisitos de información de los usuarios
Una importante novedad es que las plataformas en línea que permitan formalizar contratos a distancia deberán asegurarse de que los vendedores sean localizables. Para ello, deberán recabar información sobre los comerciantes y hacer esfuerzos razonables para verificar su fiabilidad, por ejemplo, mediante el uso de bases de datos, registros mercantiles y el sistema de intercambio de información sobre el IVA.
Esta información puede permitir a los titulares de derechos identificar al infractor, responsable directo del ilícito, y, por tanto, facilita el ejercicio de acciones legales contra el responsable principal de la infracción.
No obstante, las plataformas no estarán obligadas a realizar actividades excesivas o costosas de búsqueda de hechos, ni tampoco a realizar verificaciones sobre el terreno, si bien deberán hacer todo lo posible para evaluar la fiabilidad de la información.
C) Alertadores o informadores fiables
Se crea la figura de los “alertadores fiables”, que permiten una especie de “fast track” a sus reclamaciones de infracciones en las plataformas. Dicha condición se otorgará solo a entidades que acrediten conocimientos para luchar contra los contenidos ilícitos, que representan intereses colectivos y que trabajan de manera diligente y objetiva.
Esta condición será otorgada por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido y debe ser reconocida por todos los prestadores de plataformas en línea incluidos en el ámbito de aplicación del DSA.
D) Resolución de conflictos
La DSA contempla la vía de resolución extrajudicial de litigios por organismos certificados que posean la independencia, los medios y los conocimientos necesarios para desarrollar sus actividades con equidad, rapidez y eficacia en términos de costes. Además, deben ser complementarias a la posibilidad de recurso judicial. Por otra parte, los consumidores podrán retirarse del procedimiento en cualquier momento si no están satisfechos con el funcionamiento o la tramitación del procedimiento.
Los destinatarios del servicio podrán elegir entre el mecanismo interno de reclamación, la resolución extrajudicial de litigios y la posibilidad de iniciar, en cualquier momento, un procedimiento judicial.
ACTUALIZACIÓN:
Primera designación de Plataformas y Motores de Gran Tamaño Plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño designados con arreglo al artículo 33, apartado 4, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Ley de servicios digitales) (Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).) 2023/C 249/02
En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunció sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminación del empleo de un responsable de la protección de datos (DPO) de conformidad con el artículo 38 (2) y el artículo 6 (4) frase 2 de la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG).
No Eume- Ponte do Eume
Antecedentes
La decisión del TJUE se basa en la petición de decisión prejudicial del Tribunal Federal de Trabajo alemán (Bundesarbeitsgericht, BAG) formulada mediante la decisión de 30 de julio de 2020 (2 AZR 225/20). El BAG debía pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.
El empleador, una sociedad de Derecho privado que, con arreglo a la legislación alemana, está obligada a nombrar a un DPO, había puesto fin a la relación laboral de la DPO con la debida antelación debido a una medida de reestructuración. Los tribunales de primera instancia consideraron que la rescisión no era válida porque eran aplicables las disposiciones que regulan la rescisión de la relación laboral de un DPO con arreglo al artículo 38, apartado 2, y al artículo 6, apartado 4, segunda frase, de la BDSG, por lo que la relación laboral sólo podía haberse rescindido por “causa justificada”, en el sentido de la BDSG y el RGPD.
El artículo 6 (4) de la BDSG, establece:…No se pondrá fin a la relación laboral del responsable de la protección de datos a menos que existan hechos que den al organismo …. una causa justa para poner fin a la relación laboral sin previo aviso. […]»
El BAG tenía dudas sobre la compatibilidad de esta disposición (artículo 6 (4) de la BDSG) con el artículo 38, apartado 3, frase 2, del RGPD («El responsable del tratamiento o el encargado del tratamiento no podrá despedirlo ni sancionarlo por el desempeño de sus funciones«), ya que las disposiciones alemanas imponen requisitos más estrictos al cese del empleo de un DPO que la disposición de la legislación de la UE. En este contexto, el BAG planteó la siguiente pregunta al TJCE*:
«¿Debe interpretarse el artículo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposición de Derecho nacional, como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisión ordinaria del contrato de trabajo del delegado de protección de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempeño de sus funciones?».
En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y que el l artículo 37 del RGPD, titulado «Designación del delegado de protección de datos», tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. El artículo 38 del RGPD, titulado «Posición del delegado de protección de datos», establece, en sus apartados 3 y 5: «3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.[…] 5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.» El artículo 39 del RGPD, titulado «Funciones del delegado de protección de datos», dispone, en su apartado 1, letra b): «El delegado de protección de datos tendrá como mínimo las siguientes funciones:…, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;…..
Merindades burgalesas
La respuesta del TJUE a la pregunta del BAG es que la segunda frase del artículo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislación nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protección de datos, que es miembro de su personal, únicamente con justa causa, aunque la rescisión contractual no esté relacionada con el desempeño de las tareas de dicho delegado, en la medida en que dicha legislación no menoscabe la consecución de los objetivos del RGPD. Según el TJCE, las disposiciones alemanas, en virtud de las cuales la relación laboral de un DPO sólo puede rescindirse por causa justificada, aunque la rescisión no esté relacionada con el desempeño de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicación tradicional de la legislación alemana de protección del empleo favorable a los trabajadores.
El TJUE justificó su decisión afirmando que el artículo 38, apartado 3, frase 2, del RGPD sirve únicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relación laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero sólo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijación de normas sobre la protección de los DPD/DPO frente a la terminación de su relación laboral es fundamentalmente una cuestión de política social, ámbito en el que los Estados miembros de la UE pueden establecer disposiciones más tuitivas y estrictas que el legislador de la UE, siempre dentro de unos límites. Así, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE señala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podrían impedir la rescisión del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempeñar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD
Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerarán estos dos casos como «causas justas» para el despido en futuras decisiones y/o si desarrollarán otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuestión de si existe una causa justa para el despido aún debe determinarse caso por caso, si bien los efectos de una rescisión sobre las obligaciones derivadas del RGPD desempeñarán un papel importante a la hora de determinar si existe una causa justa para la rescisión.
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
Con el sugerente título de este año “EL CONTRATO DE SOCIEDAD”, el Congreso Nacional de Derecho de Sociedades de 2023 está abierto a MATRÍCULA (inscripciones aquí).
Sus Directores, los Profesores Juan Ignacio Peinado y Belén González abren -una vez más en la UNIVERSIDAD de MÁLAGA– las puertas a este encuentro anual de generación de conocimiento en torno al derecho privado especial de sociedades. En esta ocasión, el Congreso Nacional se celebra los días 2 y 3 de febrero de 2022. Y los debates que acoge girarán en torno a la configuración estatutaria de la sociedad, el Objeto Social, los Pactos Parasociales, la Transmisión de las acciones y participaciones y las Alteraciones que experimenta el contrato en las situaciones de crisis.
El programa científico completo se puede descargaraquí
Sin ánimo de exhaustividad, intervendrán en las distintas Mesas algunos de los más brillantes profesores y expertos del panorama societario actual. Manuel Pizarro Moreno, Fernando Sacristán Bergia, Nuria Fernández Pérez, Juan Bataller Grau, Javier Juste Mencía, Jesús Alfaro, Cándido Paz-Ares, Carmen Alonso o Manuel Conthe, entre otros.
Sobre el prestigio de este Congreso no cabe añadir demasiado. A impulso del equipo de mercantilistas de la Universidad de Málaga generado en torno al Catedrático Juan Ignacio Peinado Gracia, es éste su Director junto con la Profesora María Belén González Fernández. En sus anteriores ediciones ya ha contado con la participación de los principales maestros académicos y grandes especialistas prácticos en DERECHO DE SOCIEDADES. Y, con la asistencia activa de buena parte de los compañeros de asignatura, y de otros reconocidísimos juristas. Es un referente principal en el calendario del mercantilismo español. Ineludible en DERECHO SOCIETARIO. También la ocasión perfecta, entre cuatrimestres docentes, para retomar el contacto entre compañeros y amigos en torno a la ciencia, a la hospitalidad y al saber hacer malagueños.
Los sistemas de IA escriben, pintan, componen música. Y plantean problemas de calado en el ámbito de la Propiedad y Tutela intelectual sobre las obras así generadas. ¿deberían estar protegidas por derechos de autor? ¿quién sería el autor y el titular de los derechos? La obra comentada aporta 25 factores clave sobre la Propiedad Intelectual de las obras generadas con inteligencia artificial, distinguiendo entre las creadas de forma principalmente autónoma por máquinas inteligentes de aquellas en las que ha existido, dentro del proceso creativo, una contribución humana relevante y verificada.
Este trabajo del Profesor Fernández Carballo-Calero, mercantilista de la Universidad de Vigo contribuye a encontrar respuestas a las preguntas formuladas. Escrita en inglés, se divide en VI partes (25 capítulos). Ofrece un completo análisis basado en derecho comparado, europeo y nacional sobre la relación de las creaciones y resultados surgidos total o parcialmente de la Inteligencia Artificial, y los derechos de autor
Artificial intelligence, art and copyright, la parte Iª, sitúa el conjunto de fenómenos que se conocen o identifican en torno a la denominada Inteligencia Artificial (A). En esta sección se da cuenta de las imprescindibles delimitaciones conceptuales y económicas necesarias para abordar el libro en su conjunto. El retrato Edmond Belamy creado por IA y subastado en Sotherby’s, o la generación algorítmica de melodías con Magenta son algunos de los ejemplos escogidos por el autor para acercarnos una representación clara de los debates jurídicos que se están desarrollando en torno a la protección de creaciones realizadas o apoyadas en IA (capítulo 4). Las nuevas realidades han exigido adaptar las normas de derecho de autor y continuarán demandando flexibilidad, o nuevas reglas. Resultan especialmente acertadas las reflexiones del autor sobre la evolución doctrinal en parte amparada por la OMPI/WIPO, evolución que no ha terminado. Incorpora concepciones donde la creación basada en máquinas seria obra que quien la utiliza y permite prever nuevas formulaciones para la protección de las obras generadas mediante IA
La IIª parte del libro se titula The typology of artificial intelligence artwork: a first assessment in the light of copyright fundamentals. Aquí se formulan cuestiones clave en torno a la creación mediante inteligencia artificial Recuerda Fernández Carballo-Calero que cabría que la IA esté protegida como programa de ordenador cuando se dan los requisitos al efecto (capitulo 8). También aborda la distinción entre obras generadas mediante IA y obras generadas con la asistencia de IA (capitulo 9, capítulo 10). A continuación, el autor reconduce el hilo de su trabajo retomando la clásica dicotomía entre las ideas utilitaristas (que priorizan el valor de la obra, en sí misma, y que han gozado de algún predicamento en el mundo anglosajón) y las teorías de la personalidad (que reconocen especialmente la relevancia del impacto del autor sobre las obras). Este marco permite asentar con rigor el debate sobre a definición de políticas futuras.
The protection of AI generaled works es el título de la IIIª parte. En ella se delimitan las creaciones sin intervención humana y se plantean vías por las que se iría formulando su tutela. Ello, sin perjuicio de que el reconocimiento clásico de derechos de autor se apoya en la concepción de la creatividad como un talento exclusivamente humano, que excluiría la protección de las obras en las que no hay intervención humana. Posición en la que la doctrina y la jurisprudencia ya aportan matices (capítulo 11).
En Europa, el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado en varias ocasiones, como en su histórica sentencia Infopaq (C-5/08 Infopaq International A/S contra Danske Dagbaldes Forening), que los derechos de autor sólo se aplican a las obras originales, y que la originalidad debe reflejar la «propia creación intelectual del autor». De alguna manera, esto reflejaría que la obra original está impregnada y manifiesta la personalidad del autor, y se vincularía a la necesidad de que exista un autor humano como requisito para la protección de derechos de autor. Y, por ello, en la mayor parte de los ordenamientos las obras generadas por IA no gozarían de la protección de los derechos de autor.
Sin embargo, ciertos sistemas jurídicos – y sus tribunales- como los de Hong Kong, India Irlanda, Nueva Zelanda o Reino Unido habrían optado por introducir alguna tutela a las creaciones de IA. No se trata por el momento de un reconocimiento absoluto, ni autónomo, sino de atribuir derechos a quien realiza la programación que permite la creación (o a quien utiliza el programa). Es decir, se trata de proteger la participación humana (aunque sea mínima) en la creación. Este planteamiento se recoge claramente en la vigente legislación británica sobre derechos de autor: el artículo 9(3) de la Ley británica de Derechos de Autor, Diseños y Patentes (CDPA) , que establece: «En el caso de una obra literaria, dramática, musical o artística generada por ordenador, se considerará autor a la persona que haya tomado las medidas necesarias para la creación de la obra». Y, el artículo 178 de la CDPA define una obra generada por ordenador como aquella que «se genera por ordenador en circunstancias tales que no hay autor humano de la obra». La idea que subyace a esta disposición es crear una excepción a todos los requisitos de autoría humana, reconociendo el trabajo que conlleva la creación de un programa capaz de generar obras, aunque la tarea creativa recaiga en la máquina.
Con todo queda abierta otra pregunta fundamental consistente en la cuestión de a quién debe considerar la ley como la persona que realiza las acciones para generar la obra. En especial si la tutela y reconocimiento la merecería el programador o el usuario del programa que da lugar a la creación
Las posibles vías de tutela de las creaciones generadas por IA dan lugar a interesantes reflexiones.
Cabría, por ejemplo, una asimilación -o adaptación- de la protección de obras generadas por ordenador (capítulo 12). Aunque ello no evita reconocer dificultades hermenéuticas, por ejemplo, en torno a la originalidad del resultado. Y tampoco conduce a soluciones uniformes en todos los ordenamientos (como el inglés, el estadounidense, el español a la luz de la jurisprudencia de nuestro TS) ni conforme a la doctrina del Tribunal de Internet de Pekín.
Otra posible vía de tutela se apoyaría en la técnica jurídica de protección de obras efectuadas en el marco de trabajos, encargos de terceros (capítulo 13), respecto de la que el autor se muestra crítico. Esta técnica tiene base en derecho positivo escrito, y conforme a ella (si) una obra se realiza por encargo, el empresario es tutelado como autor, sin serlo materialmente. Se ha formulado la posibilidad de que sirva en la búsqueda de soluciones para las creaciones generadas por IA .
O la futura tutela podría venir de la mano de la técnica de los derechos sui generis del productor de una base de datos (capítulo 14) , aunque tampoco parece la vía óptima. O en el reconocimiento de un nuevo derecho sui generis (capítulo 15).
Las maquinas no siempre serán meros instrumentos al servicio de los humanos. Ni son de momento mecanismos autónomos capaces de generar resultados con una intervención humana irrelevante (o inexistente). En muchos casos, y al menos hoy por hoy, la intervención de la IA ocupa un campo intermedio y difícil de definir. Y en el camino hacia la clarificación del marco de tutela de estas creaciones es fundamental establecer los criterios para distinguir el nivel de contribución humana sobre los resultados creativos finales. Y es que si existe intervención humana, aunque sea pequeña, habrá lugar para activar la tutela del derecho de autor al creador personificado
La parte IVª se dedica a The protection of AI assisted Works. El autor ofrece una crítica ilustrada sobre la Resolución de 12 de febrero de 2019 del Parlamento Europeo sobre IA y Robótica. Y además, apunta al carácter incompleto de la Directiva UE 2019/790, que no llega a establecer un marco satisfactorio para la IA. Nos encontramos ante una realidad difícil de precisar, en la que a menudo resulta difícil identificar la persona o la tecnología que soporta las creaciones.
Muy enriquecedora resulta la Vª parteAuthorship and ownership of rights in relation to AI assisted works, donde se ofrecen perspectivas para delimitar la autoría conjunta de obras, frente a la generación exclusivamente apoyada en IA. La distinción no es homogénea ni en la doctrina , ni en el plano comparado. Ni es sencilla. Ocurrirá a menudo que las contribuciones automatizadas o apoyadas en IA a una creación no son susceptibles de tutela en el sentido clásico del derecho de autor. O que quien diseño el programa y quien lo utiliza ni siquiera se conocen, con lo cual no podría hablarse de una obra en colaboración en sentido propio.
En los anexos se recogen debates sobre la relación entre la Propiedad Intelectual y la Inteligencia Artificial, auspiciados por la WIPO. También de gran utilidad el Anexo relativo a la reglamentación de los trabajos generados por ordenadores. Y la útil bibliografía con referencias que completan el rigor científico de este libro.
Prologado por el catedrático Anxo Tato, en Navidad y desde la ribera del Ulla, los agradecimientos que el autor dedica a los colegas mercantilistas de la Universidad forman parte de un trabajo bien resuelto que aporta a la escuela gallega de Propiedad Industrial, y Derecho Mercantil del siglo XXI
Esta entrada ha sido elaborada con el apoyo del Proyecto de investigación «Los remedios restaurativos en el Derecho de la competencia: una respuesta a los retos que plantea la economía digital -RETOS 2020». PID2020-116217RB-I00. Conv. 2020 de «Proyectos I+D+i» en el marco del Programa Estatal de Generación de conocimiento y fortalecimiento científico y tecnológico del sistema de I+D+i y del Programa estatal de I+D+i orientada a los retos de la sociedad».
Actualización en los instrumentos de constitución electrónica de la SL: La Ley Crea y Crece de 2022
La llamada Ley «Crea y Crece», Ley 18/2022 ha operado una serie de cambios en Derecho Societario. En particular en relación con la Sociedad de Responsabilidad Limitada.
Son reseñables las siguientes Modificaciones del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital (“LSC”). Se modifica el artículo 4 de la LSC, fijando el capital social mínimo para la constitución de sociedades de responsabilidad limitada en un euro y, por lo tanto, suprimiendo la exigencia de 3.000 euros de capital social mínimo vigente anteriormente. Completando la supresión de la exigencia de 3.000 euros de capital social mínimo para sociedades limitadas, se establecen medidas para la protección de los acreedores y terceros, hasta que se alcancen los 3000€:
Por un lado, las SL que no alcancen ese mínimo deberán destinar a reserva legal al menos el 20% del beneficio anual hasta que la suma de la reserva legal y el capital social alcance la cifra de 3.000 euros.
Por otro lado, en caso de liquidación, si el patrimonio de la sociedad fuera insuficiente para atender el pago de las obligaciones sociales, los socios responderán solidariamente de la diferencia entre el importe de 3.000 euros y la cifra de capital asumida.
Coherentemente, se suprime el artículo 4 bis que era relativo a la sociedad limitada de formación sucesiva. También, se modifica el artículo 5 LSC, referente a la prohibición de tener un capital social inferior al mínimo legal y se adapta el artículo 23 de la LSC, relativo a los estatutos sociales. También se deroga el título XII y las disposiciones adicionales cuarta, quinta y sexta de la LSC relativas a la sociedad limitada de nueva empresa, de forma que desaparece esta figura. Las SLNE que existan pasarán a regirse por las leyes de las Sociedades Limitadas y deberán utilizar la denominación S.R.L.
Por otro lado, la Ley 18/2022 incentiva la utilización del sistema de tramitación telemática que facilita la constitución de empresas a través del Centro de Información y Red de Creación de Empresas (CIRCE) a los efectos de conseguir una reducción de los plazos y costes para su constitución. Para ello, modifica el artículo 15 de la Ley Emprendedores, y se establecen nuevas medidas para la constitución de sociedades de responsabilidad limitada mediante CIRCE y el Documento Único Electrónico (DUE) con escritura estandarizada y estatutos tipo
Sanabria
Documento Único Electrónico (DUE).
DA3º LSC- modificada por disposición final 6 de la Ley 14/2013, de 27 de septiembre
1. El Documento Único Electrónico (DUE) es aquel en el que se incluyen todos los datos referentes que, de acuerdo con la legislación aplicable, deben remitirse a los registros jurídicos y las Administraciones Públicas competentes para: a) La constitución de sociedades de responsabilidad limitada. b) La inscripción en el Registro Mercantil de los emprendedores de responsabilidad limitada. c) El cumplimiento de las obligaciones en materia tributaria y de Seguridad Social asociadas al inicio de la actividad de empresarios individuales y sociedades mercantiles. d) La realización de cualquier otro trámite ante autoridades estatales, autonómicas y locales asociadas al inicio o ejercicio de la actividad, … (excluyendo trámites de cumplimiento de obligaciones fiscales y de la Seguridad Social durante el ejercicio de la actividad, así como los trámites asociados a los procedimientos de contratación pública y de solicitud de subvenciones y ayudas). …
3. La remisión del DUE se hará mediante el empleo de técnicas electrónicas, informáticas y telemáticas de acuerdo con lo dispuesto por las normas aplicables al empleo de tales técnicas, teniendo en cuenta lo previsto en las legislaciones específicas.
4. Los socios fundadores de la sociedad de responsabilidad limitada podrán manifestar al notario, previamente al otorgamiento de la escritura de constitución, su interés en realizar por sí mismos los trámites y la comunicación de los datos incluidos en el DUE o designar un representante para que lo lleve a efecto, en cuyo caso no será de aplicación lo establecido en la presente disposición adicional en lo relativo a la constitución de la sociedad.
DA3º LSC- modificada por disposición final 6 de la Ley 14/2013, de 27 de septiembre
6. Los Puntos de Atención al Emprendedor (PAE) serán oficinas pertenecientes a organismos públicos y privados, así como puntos virtuales de información y tramitación telemática de solicitudes. Los PAE se encargarán de facilitar la creación de nuevas empresas, el inicio efectivo de su actividad y su desarrollo, a través de la prestación de servicios de información, tramitación de documentación, asesoramiento, formación y apoyo a la financiación empresarial, según se establezca en los oportunos convenios, y en ellos se deberá iniciar la tramitación del DUE.
Estatutos tipo y escritura pública estandarizada, Agenda Electrónica Notarial, Bolsa de Denominaciones
Ley 18/2022 (Articulo 4: Agenda Electrónica Notarial.: 1. Todos los notarios deben estar disponibles en la Agenda Electrónica Notarial y en disposición de llevar a cabo la constitución de sociedades a través de CIRCE. 2. El notario no podrá rechazar ningún trámite de constitución iniciado a través del sistema CIRCE y el Documento Único Electrónico. En el caso de que hubiese una causa justificada para el rechazo deberá comunicárselo a CIRCE y al Consejo General del Notariado a través del propio sistema CIRCE, de forma que resulte probada la notificación. 3. Lo dispuesto en este artículo debe entenderse sin perjuicio de la posibilidad de constituir sociedades mediante documento público extranjero extrajudicial, de conformidad con la legislación de cooperación jurídica internacional. Tales documentos podrán ser inscritos en los registros públicos españoles si cumplen los requisitos establecidos en la legislación hipotecaria y en la legislación de cooperación jurídica internacional.)
Obligaciones de información
Ley 18/2022: (Artículo 3. Obligaciones de información por parte de quienes intervengan en la constitución de sociedades de responsabilidad limitada).
1. Los notarios y los intermediarios que participen en la creación de las sociedades de responsabilidad limitada deberán informar a los fundadores de las ventajas de emplear los Puntos de Atención al Emprendedor (PAE) y el Centro de Información y Red de Creación de Empresas (CIRCE), para su constitución y la realización de otros trámites ligados al inicio de su actividad. En particular, deberán informar como mínimo de las siguientes ventajas: a) Coste y plazos de constitución. b) Prestación de servicios de información y asesoramiento (incluidas las medidas de apoyo financiero estatales, autonómicas y locales). c) Cumplimentación automática de las obligaciones en materia tributaria y de Seguridad Social asociadas al inicio de la actividad. d) Posibilidad de realizar trámites asociados al inicio de la actividad ante autoridades estatales, autonómicas y locales asociadas, mediante la presentación de comunicaciones y declaraciones responsables. e) Seguimiento del estado de la tramitación ante los organismos competentes. 2. Estas obligaciones de información se completarán mediante desarrollo reglamentario.
