jueves, 29 de septiembre de 2016

empresario individual con trabajadores

En el post anterior, nos referíamos a los trámites que tenía que seguir el empresario individual para iniciar una actividad empresarial. Si éste va a contratar trabajadores debería realizar, además de los ya indicados, los siguientes:

a) Inscripción de la empresa en el régimen general de la Seguridad Social (modelo TA6). La Tesorería General de la Seguridad Social (TGSS) asigna al empresario un número, el Código de Cuenta de Cotización Principal (CCC). Esta inscripción se efectuará en nombre de la persona natural titular de la empresa, adjuntando su D.N.I., haciendo constar asimismo la Mutualidad que corresponda para cubrir las contingencias de accidentes de trabajo y enfermedades profesionales del personal a su servicio. Se acompañará del modelo 037.

b) Alta en la Mutualidad.

c) Afiliación, si no está afiliado previamente, y alta de los trabajadores al régimen general de la Seguridad Social, en las administraciones de la Seguridad Social (TA1 y TA2)

d) Y la obtención del calendario laboral (por cada centro de trabajo).

e) Comunicación de apertura del centro de trabajo a la Consejería correspondiente de la Comunidad Autónoma (Consejería de Empleo de la Junta de Andalucía) en el plazo de los 30 días siguientes a la apertura del mismo.

martes, 6 de septiembre de 2016

trámites del empresario individual

El empresario individual es la persona física que teniendo capacidad legal ejercita, de forma habitual, en nombre propio, por sí o por medio de representante, una actividad constitutiva de empresa. Se puede ser titular de una actividad empresarial sin alcanzar la mayoría de edad pero no se podrá ejercer plenamente esta actividad hasta los 18 años, siempre y cuando goce de la plena disposición de sus bienes.

La persona física que quiera desarrollar una empresa no necesita aportar capital (va a responder con todo su patrimonio, gran inconveniente de esta forma jurídica) y los trámites son muy sencillos.

No necesita acudir a un notario ni al Registro Mercantil, ya que su inscripción es potestativa, es decir, voluntaria y desde el momento en que presente ante la Agencia Tributaria el modelo 037 (en determinados casos será el modelo 036) podrá iniciar su actividad. Con este impreso se dará de alta en el censo de empresarios y reflejará la fecha de inicio de actividades indicando el epígrafe del Impuesto sobre Actividades Económicas (IAE) correspondiente a dicha actividad. Este impreso también sirve para darse de alta en el IVA (es histórico que se puedan hacer varios trámites en un mismo impreso oficial, jeje).

Una vez que hemos sido "fichados" por Hacienda, la que es de todos según dicen, debemos darnos de alta en el Régimen Especial de Trabajadores Autónomos, el famoso RETA. De aquí viene la general confusión de llamar a los empresarios individuales como autónomos pero aclaremos que es cierto que todos los empresarios individuales son autónomos pero no todos los autónomos son empresarios individuales (por ejemplo, los administradores societarios). En caso de contratar trabajadores, se realizarán algunos trámites más.

Quedarían pendientes algunos trámites a realizar en función de la actividad, básicamente solicitar en el Ayuntamiento de la localidad la correspondiente licencia de apertura (en Sevilla).

Por consiguiente, es una manera sencilla y barata de realizar la actividad empresarial, máxime si sigue en vigor la denominada tarifa plana en el RETA. Aunque lo inicialmente barato puede salir en el futuro muy caro (me refiero a la responsabilidad ilimitada del empresario, que lo dejaré para otro día).

jueves, 30 de junio de 2016

El Delegado de protección de datos

En el nuevo reglamento de protección de datos aparece la obligación de contratar un Delegado de Protección de Datos (DPO) y por tanto, se abre un campo profesional muy interesante para todos los especialistas en protección de datos.

¿Qué es el Delegado de Protección de Datos?

El Delegado de Protección de Datos tiene las siguientes funciones:


  • Informar y asesorar a los responsables y encargados del tratamiento de datos personales y a sus empleados de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
  • Supervisar el cumplimiento de dicha legislación y de la política de protección de datos de una Administración Pública, empresa o entidad privada: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
  • Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas y supervisar luego su aplicación.
  • Actuar como punto de contacto de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales; especialmente, la consulta previa obligatoria en los casos en los que el tratamiento entrañe un alto riesgo.

Este DPO deberá ser nombrado en base a sus “cualidades profesionales y, en particular, su conocimiento” en la materia de la protección de datos, que le capacite para cumplir las tareas que le atribuye el Reglamento. Esas competencias o capacidades acreditadas se obtendrán a través de estudios reglados y oficiales. Queda pendiente que cada Estado miembro legisle sobre los estudios que facultan para ejercer como DPO.

Con la incorporación del delegado de protección de datos, se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la LOPD.

Están obligados a nombrar un Delegado de Protección de Datos:


  • Las Administraciones Públicas, excepto Tribunales.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares.
  • Empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas y de datos relativos a condenas e infracciones penales.

En cambio, no están obligados a tener delegado de Protección de Datos, pero es conveniente, aquellas empresas (normalmente PYMEs) y otras entidades cuya actividad principal NO consista en el tratamiento masivo de datos personales que estén especialmente protegidos o que requieran una observación a gran escala de sus titulares.

jueves, 23 de junio de 2016

Otras novedades

El Reglamento UE de protección de datos crea una Autoridad de control única de protección de datos, el denominado Consejo Europeo de Protección de Datos. Este Consejo estará formado por los representantes de cada una de las 28 autoridades de control independientes y sustituirá al actual Comité del artículo 29.

Es importante destacar como novedad, que todo interesado tendrá derecho  a presentar una reclamación ante una autoridad de control única si considera que se vulneran sus derechos  o en caso de que la autoridad de control nacional no responda a una reclamación, rechace o desestime total o parcialmente una reclamación o no actúe cuando sea necesario para proteger los derechos del interesado. La investigación a raíz de una reclamación debe llevarse a cabo, bajo control judicial, si procede en el caso concreto.

Para garantizar la supervisión y ejecución coherentes de nuevo reglamento, las autoridades de control deben tener en todos los Estados miembros las mismas funciones y poderes efectivos, incluidos poderes de investigación, correctivos y sancionadores además de los poderes de autorización y consultivos.

Por cierto, los miembros de la autoridad de control deben establecerse por ley en cada Estado miembro y disponer, en particular, que dichos miembros han de ser nombrados, por un procedimiento transparente, por el Parlamento, el Gobierno o el jefe de Estado del Estado miembro. 

Posibilidad de interponer denuncias a través de asociaciones

He aquí otra gran novedad del nuevo reglamento de protección de datos que propone la posibilidad de que el interesado que considere vulnerados los derechos, pueda conferir mandato a una entidad, organización o asociación sin ánimo de lucro  para que presente en su nombre una reclamación ante la autoridad de control, ejerza el derecho a la tutela judicial en nombre de los interesados.

Posibilidad de exigir indemnizaciones

El nuevo reglamento de protección de datos contempla que el responsable o el encargado del tratamiento, deba indemnizar cualesquiera daños y perjuicios que pueda sufrir una persona como consecuencia de un tratamiento en infracción del Reglamento.

Esta sí que es una novedad llamativa puesto que en España la normativa de protección de datos no preveía indemnización para los damnificados sino sólo sanción para los responsables. No sé si aumentarán las reclamaciones en este ámbito como consecuencia de esta posibilidad legal (aunque conociendo a mis compatriotas no me extrañaría).

Pero también señala que el responsable o el encargado deben quedar exentos de responsabilidad si se demuestra que en modo alguno son responsables de los daños y perjuicios.

Certificación de cumplimiento

Otra novedad que no se sabe cómo se ejecutará, consiste en la creación de organismos de certificación oficial en materia de protección de datos, algo que no existe en la actual LOPD y que permitiría acreditar el cumplimiento normativo.

El nuevo reglamento de protección de datos se propone el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.

Esta certificación aún está por determinar y esperemos que se eliminen determinadas prácticas que no ayudan ni al cliente ni a los verdaderos profesionales en materia de protección de datos.

jueves, 16 de junio de 2016

derechos ARCO

Otras novedades importantes introducidas por el Reglamento UE son:


  • Información sobre tiempo de conservación de datos


Desde ahora se exige al responsable del tratamiento la obligación de informar sobre el tiempo de conservación de datos, de forma que se debe garantizar que el tratamiento se limite a un plazo mínimo estricto de conservación de datos personales.

Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica. Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos. 


  • Ejercicios de derecho más claros y accesibles

Aquí tampoco se producen grandes novedades en el nuevo reglamento de protección de datos.

Se especifica que los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento.

Al igual que la actual LOPD, deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición.

Atento si tienes una web, porque como responsable del tratamiento, también debes proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos.


  • Plazos para el ejercicio de derechos

Además, se amplía a un mes desde la recepción de la solicitud el plazo para ejercer los denominados derechos ARCO cuando en la LOPD, este plazo es de 10 días.

Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable deberá informar al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.

En los supuestos de solicitudes manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:


  1. Cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o
  2.  Negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud. 

miércoles, 8 de junio de 2016

transferencias internacionales de datos

Seguimos con el nuevo Reglamento UE sobre protección de datos y ahora nos centramos en:

Transferencias a terceros países

El nuevo reglamento de protección de datos también abarca la transferencia de datos personales a terceros países u organizaciones internacionales.
Si los datos personales se transfieren de la Unión Europea  a responsables, encargados u otros destinatarios en terceros países o a organizaciones internacionales, esto no debe menoscabar el nivel de protección de las personas físicas garantizado en la Unión Europea por el nuevo reglamento de protección de datos, ni siquiera en las transferencias ulteriores de datos personales desde el tercer país u organización internacional a responsables y encargados en el mismo u otro tercer país u organización internacional. Con este fin, se encomienda a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país.

Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas (cláusulas tipo de protección de datos, normas corporativas vinculantes, cláusulas contractuales).

Por tanto, en ausencia de una decisión por la que se constate la adecuación de la protección de los datos, el responsable o el encargado del tratamiento deben tomar medidas para compensar la falta de protección de datos en un tercer país mediante garantías adecuadas para el interesado.

Comunicación de brechas de seguridad a las autoridades y a los afectados

Esta es una de grandes novedades que introduce el nuevo reglamento de protección de datos.

Hasta ahora no era obligatorio informar a las autoridades cuando se producía una brecha, pero con la entrada en vigor del reglamento las empresas deben comunicar a las autoridades nacionales competentes lo antes posible cualquier violación de las reglas sobre protección de datos. Y, además, han de informar al interesado sin dilación indebida la violación de la seguridad de los datos personales en caso de que puede entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias. Es una consecuencia del principio de privacy by design establecido en la nueva normativa.

La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación.

miércoles, 1 de junio de 2016

dos nuevos derechos: olvido y portabilidad

El Reglamento UE introduce dos nuevos derechos:

Derecho al olvido

Era una de las novedades que presentaba el borrador del nuevo reglamento de protección de datos, ya reconocido por el Tribunal de Justicia de la UE, que permitirá bajo determinadas condiciones la supresión de datos personales e información.

Los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen.

Por tanto, cuando nos demos de baja en un servicio podremos solicitar la eliminación definitiva de nuestros datos personales, excepto que exista alguna otra normativa que lo impida, también podremos solicitar a una página de Internet que elimine totalmente los datos que aparecen en su web sobre nuestra persona. Supone el borrado de nuestra huella o rastro digital ya que el responsable del tratamiento que haya hecho públicos datos personales está obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Los medios de comunicación pueden estar exentos de esta obligación en determinadas circunstancias.

Para esto, el responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales. 

Derecho a la portabilidad de los datos

Cualquier persona tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Esto es muy práctico en el caso de cambio de compañías de servicio similares y nos ahorraría tener que facilitar todos nuestros datos personales nuevamente.


Como titulares, tendremos el derecho a que nuestros datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.


miércoles, 25 de mayo de 2016

La seguridad y los menores de edad según el nuevo Reglamento UE

Continuamos con las novedades del nuevo Reglamento UE sobre protección de datos en tres aspectos muy importantes:

Seguridad en la red y de la información obtenida

El nuevo reglamento de Protección de Datos recoge la capacidad de prevenir y minimizar riesgos derivados del tratamiento de la información al afirmarse que: “Constituye un interés legítimo del responsable del tratamiento en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información” de forma que se garanticen la “disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos”. Por consiguiente, el responsable debería ser capaz de impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

Menores de edad

Aquí se produce otra novedad en el nuevo reglamento de protección de datos en relación con la oferta directa a niños de servicios de la sociedad de la información.

El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años y haya prestado su consentimiento. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento se presta por parte del titular de la patria potestad o tutela sobre el niño, y sólo en la medida en que se dio o autorizó.

Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que ésta no sea inferior a 13 años.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible.

Régimen sancionador

En el nuevo reglamento de protección de datos se modifica de sustancialmente el régimen sancionador de la actual LOPD. Dispone sanciones muy severas contra los responsables o encargados del tratamiento que infrinjan las normas de protección de datos, imponiendo multas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual.

Las autoridades de protección de datos nacionales serán las que impongan estas sanciones administrativas.

Si las sanciones administrativas se imponen a personas que no son una empresa, la autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la sanción el nivel general de ingresos prevaleciente en el Estado miembro así como la situación económica de la persona.

Recordemos que la LOPD la cuantía de las sanciones obedecían solo a la tipificación de la sanción y no contemplaba la situación económica del sancionado aunque se tenía en cuenta una cierta graduación introducida por la Ley de Economía Sostenible de 2011.

Y ojo, ya que la responsabilidad empresarial afecta a todas las que usen datos de terceros y, por tanto, la responsabilidad se amplía a todas las compañías que usan datos de terceras personas, lo que implica que afecta también a los modelos de negocio basados en la nube.

miércoles, 18 de mayo de 2016

transparencia y consentimiento

Seguimos comentando el Reglamento UE sobre protección de datos

Lo más destacable respecto a la licitud en el tratamiento de datos personales es que se exige mayor claridad en las cláusulas informativas de los servicios digitales y en las políticas de privacidad, en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Si tienes una web, debes de tener en cuenta que se exige máxima transparencia de cara al usuario.

En cambio sí es importante destacar la necesidad de “consentimiento claro y afirmativo”. En el nuevo reglamento de protección de datos, se refuerza la necesidad del consentimiento de la persona concernida al tratamiento de sus datos personales, algo que ya recoge la actual LOPD, pero que el nuevo reglamento subraya.

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.

Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Además, se insiste en la necesidad de acreditar tal consentimiento por parte del responsable del fichero/tratamiento.

Todo ello en detrimento del consentimiento tácito tan habitual en España pero que en el resto de países europeos no entienden que se convierta en regla general. No basta el silencio ni la omisión.

miércoles, 11 de mayo de 2016

Privacy by design

Una de las características más relevantes del nuevo Reglamento de protección de datos es la privacidad por diseño.

Por este principio se exige que el responsable lleve a cabo, antes del tratamiento, una evaluación de impacto relativa a la protección de datos. Esta evaluación debe valorar la particular gravedad y probabilidad del alto riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo.

El responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.

Dichas medidas podrían consistir, entre otras en:

  • Reducir al máximo el tratamiento de datos personales.
  • Aplicar procedimiento de disociación a los datos personales lo antes posible.
  • Dar transparencia a las funciones y el tratamiento de datos personales.
  • Permitir a los interesados supervisar el tratamiento de datos.
  • Crear y mejorar elementos de seguridad.
Se debe tener en cuenta especialmente el derecho a la protección de datos cuando se desarrollan y diseñen productos, servicios y aplicaciones, de manera que los responsables y los encargados del tratamiento se aseguren de estar en condiciones de cumplir sus obligaciones en materia de protección de datos.

En paralelo con este principio de privacy by design se suprime la obligación de notificar ficheros a la AEPD.

La Directiva 95/46/CE había establecido la obligación general de notificar el tratamiento de datos personales a las autoridades de control, sin embargo, esta obligación no contribuyó en todos los casos a mejorar la protección de los datos personales ya que la notificación creaba la falsa creencia de cumplimiento y muchas empresas se limitaron a realizar un simple trámite, sin mejorar en nada sus medidas de seguridad.

Por tanto, en el nuevo reglamento de protección de datos, estas obligaciones generales de notificación indiscriminada deben eliminarse y sustituirse por procedimientos y mecanismos eficaces que se centren, en su lugar, en los tipos de operaciones de tratamiento que entrañen probablemente un alto riesgo para los derechos y libertades de las personas físicas.

Estos tipos de operaciones de tratamiento pueden ser, en particular, las que implican el uso de nuevas tecnologías, o son de una nueva clase y el responsable del tratamiento no ha realizado previamente una evaluación de impacto relativa a la protección de datos, o si resultan necesarias visto el tiempo transcurrido desde el tratamiento inicial.

miércoles, 4 de mayo de 2016

Aspectos más significativos del Reglamento UE

Tras años de espera, ya tenemos Reglamento Europeo de Protección de Datos. Esta nueva normativa será de aplicación a todos los estados miembros y entrará en vigor en un plazo de dos años, esto es, en abril de 2018. Por primera vez habrá un marco homogéneo de seguridad jurídica en todo el continente y, por tanto, contaremos con una norma común a todos los Estados miembro.

Los aspectos más significativos que destaco de la nueva norma comunitaria son:

  • Se garantiza el derecho al “olvido”, mediante la rectificación o supresión de datos personales, ya reconocido por el TJUE pero que encuentra así acomodo legislativo. 
  • Se deberá contar con consentimiento claro y afirmativo de la persona concernida al tratamiento de sus datos personales, bien mediante cláusula contractual en contrato de servicios, bien mediante documento de consentimiento para el tratamiento de sus datos.
  • Derecho a trasladar los datos personales a otro proveedor de servicios o derecho a la portabilidad de datos. 
  • Una mayor protección a los menores –será potestad de cada Estado fijar la edad límite entre 13 y 16 años–, al exigir la autorización de padres o tutores para poder utilizar servicios telemáticos, debiendo las empresas establecer mecanismos técnicos para verificación de la edad real de cada usuario. 
  • Derecho a ser informado si los datos personales han sido pirateados o sustraídos por ciberdelincuentes. 
  • Lenguaje claro y comprensible sobre las cláusulas de privacidad. 
  • Se impone la privacidad a medida –privacy by design–, es decir, tener en cuenta el impacto en la privacidad de los usuarios desde el primer momento en que se realiza el tratamiento, de cara a ofrecer siempre garantías de protección de los derechos de los usuarios implementando las medidas adecuadas en cada caso. 
  • Multas de hasta el 4% de la facturación global de las empresas en caso de infracción. 
  • Se introduce la figura del Delegado de Protección de Datos. 
  • La nueva normativa agilizará considerablemente la carga burocrática, reduciendo los trámites a los que se enfrentan las empresas, sobre todo los autónomos y pymes. Además, unificará las normativas actuales que hay en cada país miembro, lo que mejorará el tráfico transfronterizo de productos y servicios en el Mercado UE.
Desarrollaremos algo estos puntos en sucesivos posts.

lunes, 18 de abril de 2016

Libro blanco emprendimiento

Hace unos meses tuve el honor de participar en el I Foro Internacional de Emprendimiento de Andalucía Emprende. Uno de los resultados de dicho foro ha sido la edición del Libro Blanco del Emprendimiento cuyas principales conclusiones paso a comentar. Estas conclusiones se agrupan por temáticas y desde aquí vamos a tratar de sintetizar.

Los principales errores de nuestro sistema son:


  • Sistema educativo que no favorece la iniciativa empresarial ni la implantación de la cultura emprendedora debido a la falta de un plan estratégico estructurado, la escasa formación del profesorado para el desarrollo de habilidades emprendedoras y, además, alejada de la realidad y la falta de reconocimiento social del emprendimiento (penalización del fracaso).
  • Descoordinación de los organismos competentes y falta de colaboración público-privada en la materia.
  • Financiación insuficiente e inadecuada, muy conservadora.
  • Falta de estímulos a la investigación y, por tanto, a la innovación.
  • Barreras al emprendimiento tanto legales (impuestos, cotizaciones, licencias...) como burocráticas (papeleo, plazos largos, desconfianza...)

Para solucionar estos problemas hay que empezar por las escuelas. El sistema educativo, desde edades bien tempranas, ha de fomentar la cultura emprendedora y empresarial. Pero sin un profesorado adecuadamente formado y que utilice metodologías activas será imposible fomentar el espíritu emprendedor en los alumnos. Por eso son necesarias herramientas que permitan generar entornos reales de aprendizaje (contacto con emprendedores) y la creación de un plan estratégico consensuado de fomento de la cultura emprendedora de largo recorrido que, a su vez, potencie la creación de redes ente centros educativos para compartir buenas prácticas sin olvidarnos de la colaboración e implicación de los agentes intervinientes: dirección de los centros, familias y la inspección académica.

Es primordial facilitar la conexión Universidad-empresa que, por un lado, potencie la transferencia de tecnología y conocimiento y, por el otro lado, estimule la investigación y, por tanto, la innovación.

Pero por muy buenas ideas que tengamos y mucho espíritu emprendedor que fomentemos, la realidad choca contra el muro de la financiación. Muchos expertos abogaban por la implementación de políticas de ayudas al emprendimiento. 

Yo, personalmente, prefiero que se eliminen las trabas burocráticas a la creación y consolidación de empresas de manera que se facilite su rápida creación y que no se penalice se desarrollo y expansión internacional ya que la actual regulación española es una auténtica barrera al emprendimiento. Creo, sinceramente, que esa es la dirección de la mejor política de ayuda a los emprendedores. Y si, además, se lleva a cabo una profunda reforma fiscal que reduzca considerablemente los impuestos y cotizaciones sociales que han de pagar los emprenedores en sus primeros años de funcionamiento, seguro que nos irá a todos un poco mejor.

Sólo mediante la colaboración público-privada basada en la confianza mutua y el intercambio de información que permita la coordinación de actuaciones entre los distintos agentes y organismos relacionados con este mundo conseguiremos el gran objetivo de crear un ecosistema emprendedor. 

viernes, 15 de abril de 2016

Habemus reglamento europeo de protección de datos

En el día de ayer se aprobó el Reglamento europeo de protección de datos que entrará en vigor veinte días después de su publicación en el DOCE. Es de aplicación directa en lo Estados miembros por lo que la LOPD tendrá que ser modificada para adaptarse al texto comunitario. Trae novedades que comentaremos una vez analice el texto publicado.

Más información en la nota de prensa.

miércoles, 6 de abril de 2016

STC de 3 de marzo de 2016 (y III)

A esta sentencia que venimos comentando en posts anteriores, se acompañan dos votos particulares.

Empecemos por el voto particular del magistrado Valdés al que se adhiere la magistrada Asua.

Este magistrado niega el conflicto de derechos al entender que la protección constitucional del contenido esencial de los derechos fundamentales de los trabajadores supera el derecho empresarial de vigilar el cumplimiento de la relación laboral basado en el Estatuto de los Trabajadores por lo que no cabría juicio de ponderación y más si el empresario actúa de manera ilegal al no haber informado debidamente de la finalidad de tales cámaras. En definitiva, entiende que los derechos fundamentales de los trabajadores están por encima de los intereses de los empleadores.

Realmente la base jurídica de su voto es que los límites a los derechos fundamentales se han de establecer por ley y no, en este caso, por una Instrucción de la AEPD, la 1/2006, de 8 de noviembre, de manera que si bien se cumple formalmente con la legalidad vigente al colocar un cartel informativo de la existencia de las cámaras no se puede amparar tal hecho puesto que no se informa de su verdadera finalidad, obtener pruebas de las irregularidades. En atención a lo razonado, este magistrado entiende que el despido debió calificarse como nulo, por no haberse cumplido el deber de información que impone al empresario el art. 18.4 CE.

El otro voto particular es del magistrado Xiol.

En líneas generales comparte el voto particular del magistrado Valdés con algunas matizaciones:

Considera que la omisión de toda información a los trabajadores sobre la existencia de cámaras específicamente orientadas a sus posiciones plantea un supuesto enteramente diferente: supone una lesión del derecho fundamental que afecta a su contenido esencial, cualquiera que sea el método esencialista o de ponderación que se utilice para determinar su contenido y la concepción, conflictivista o armonizadora, que se abrigue sobre la relación de trabajo. Se debería haber informado expresamente a los trabajadores porque el deber de información a los interesados, en este caso los trabajadores y no el público, forma parte del contenido esencial del derecho fundamental a la protección de datos.

También entiende que se debería haber estimado el amparo.

martes, 5 de abril de 2016

STC 3 de marzo de 2016 (II)

Continuamos con la STC de 3 de marzo de 2016.

La no exigencia de consentimiento en determinados supuestos tiene también repercusión en otro de los principios de la protección de datos, el denominado por el art. 4 LOPD, calidad de los datos. De manera que la utilización de un fichero para finalidades incompatibles representa una vulneración del principio de calidad, así como del principio de consentimiento e información. Por lo tanto, sólo cuando la finalidad del tratamiento de datos no sea el mantenimiento, desarrollo y control de la relación contractual se necesita consentimiento del afectado.

En consecuencia, el Tribunal considera que el empresario no necesita el consentimiento expreso del trabajador para el tratamiento de las imágenes que han sido obtenidas a través de las cámaras instaladas en la empresa con la finalidad de seguridad o control laboral, ya que se trata de una medida dirigida a controlar el cumplimiento de la relación laboral y es conforme con el art. 20.3 TRLET, que establece que “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana” siempre que esas facultades se ejerzan dentro de su ámbito legal y no lesionen los derechos fundamentales del trabajador.

Señalemos que la cámara estaba situada en el lugar donde se desarrollaba la prestación laboral, enfocando directamente a la caja, y en el escaparate del establecimiento, en un lugar visible, se colocó el distintivo informativo exigido por la normativa, por lo que la trabajadora podía conocer la existencia de las cámaras y la finalidad para la que habían sido instaladas. El Tribunal entiende que se ha cumplido en este caso con la obligación de información previa.

En consecuencia, teniendo la trabajadora información previa de la instalación de las cámaras de videovigilancia a través del correspondiente distintivo informativo, y habiendo sido tratadas las imágenes captadas para el control de la relación laboral, no puede entenderse vulnerado el art. 18.4 CE. Por ello, el Tribunal analiza si el órgano jurisdiccional ha ponderado adecuadamente que la instalación y empleo de medios de captación y grabación de imágenes por la empresa ha respetado el derecho a la intimidad personal de la solicitante de amparo, de conformidad, nuevamente, con las exigencias del principio de proporcionalidad (SSTC 186/2000, de 10 de julio, FJ 6, y 98/2000, de 10 de abril, FJ 8).

Pues bien, la conclusión a la que se llega es que la medida de instalación de cámaras de seguridad que controlaban la zona de caja donde la demandante de amparo desempeñaba su actividad laboral era una medida justificada (ya que existían razonables sospechas de que alguno de los trabajadores que prestaban servicios en dicha caja se estaba apropiando de dinero); idónea para la finalidad pretendida por la empresa (verificar si algunos de los trabajadores cometía efectivamente las irregularidades sospechadas y en tal caso adoptar las medidas disciplinarias correspondientes); necesaria (ya que la grabación serviría de prueba de tales irregularidades); y equilibrada (pues la grabación de imágenes se limitó a la zona de la caja), por lo que debe descartarse que se haya producido lesión alguna del derecho a la intimidad personal consagrado en el art. 18.1 CE.

Por lo que se desestima el recurso de amparo.

(Continuará)

lunes, 4 de abril de 2016

Sentencia TC 3 de marzo de 2016 (I)

Recientemente se ha publicado una sentencia del Tribunal Constitucional que no resisto la oportunidad de comentar.

Trata del caso de una trabajadora del grupo Inditex que fue despedida tras utilizarse por parte de la empresa de una grabación de cámaras de seguridad que acreditan una apropiación indebida (robaba dinero de la caja). Fue causa de despido disciplinario.

Dichas cámaras fueron instaladas sin comunicación explícita a los trabajadores pero sí se instalan los carteles informativos del tipo que vemos por doquier.

La trabajadora despedida alega incumplimiento de la normativa de protección de datos en cuanto a instalación de cámaras de videovigilancia y vulneración de su derecho a la intimidad como motivos de nulidad del despido.

El juzgado de 1ª instancia da la razón a la empresa, por un lado, porque la empleada firma el finiquito y reconoce los hechos y, por otro lado, la empresa cumplió la normativa ya que la instalación de las cámaras fue una medida de control oculto como único medio posible ante lo delicado del hecho delictivo.
También fue desestimado en apelación al entender el tribunal superado el juicio de proporcionalidad en el conflicto entre los derechos fundamentales del trabajador y el poder empresarial de control de la actividad laboral de sus trabajadores.

La trabajadora ante los fallos desestimatorios de sus pretensiones recurre en amparo ante el TC.

En primer lugar, el Alto Tribunal establece como premisa que el control empresarial deberá asegurar la debida información previa conforme a la normativa de protección de datos y también afirma que el consentimiento del afectado es el elemento definidor del sistema de protección de datos de carácter personal y, además, esta manifestación de la voluntad ha de ser inequívoca salvo habilitación legal para no prestar el mismo. El TC considera que, en el ámbito laboral, el consentimiento se entiende implícito en una relación negocial siempre que la finalidad sea el mantenimiento y cumplimiento de tal contrato. En consecuencia, el consentimiento de los trabajadores afectados sí será necesario cuando el tratamiento de datos se utilice con finalidad ajena al cumplimiento del contrato.


Ahora bien, el deber de información previa forma parte del contenido esencial del derecho a la protección de datos, pues resulta un complemento indispensable de la necesidad de consentimiento del afectado.

(Continuará)


miércoles, 2 de marzo de 2016

entrevista ABC

Este fin de semana publicaron en ABC de Sevilla una entrevista que me hicieron sobre mi tesis doctoral, que sigue dando que hablar. Creo que el tema de la cesión del censo queda claro pero se abren otros frentes que iremos tratando de resolver en próximas entregas como es el caso concreto de la exposición al público de la nómina de la cofradía.

La intención que refleja el contenido de la entrevista es que con poco se puede conseguir mucho. Las hermandades tienen que adaptarse a la normativa de protección de datos para garantizar a sus hermanos que el uso que hacen de sus datos es el adecuado y si no es así que los cofrades puedan solicitar con todas las garantías que se corrijan aquellas actuaciones no conformes a Derecho.

No todas las hermandades incumplen la normativa como parece que da a entender el titular del periódico sino que la realidad es muy variada. Hay hermandades que han hecho grandes esfuerzos para adaptarse a la LOPD y siguen actualizándose; otras hace años que actuaron en esta materia pero no se han actualizado; y la mayoría, a lo largo y ancho de la geografía española, no se han sentido afectadas, como si esto no fuera con ellas.

La normativa civil, del Estado, de protección de datos de carácter personal es aplicable a las hermandades y cofradías independientemente de su carácter de asociaciones religiosas de fieles católicos y mientras antes seamos conscientes de ello, antes pondremos los medios para evitar denuncias y sus correspondientes sanciones económicas. Todo redundará en nuestro beneficio y en el de nuestros hermanos.

Gracias a Javier Macías.

miércoles, 10 de febrero de 2016

Recientemente han salido publicados en Diario de Sevilla una entrevista que me realizó Juan Parejo sobre mi tesis doctoral y un artículo de El Fiscal sobre la problemática de la cesión del censo de hermanos a los candidatos a Junta de Gobierno. Este último artículo refleja fielmente esta problemática, pero ante las llamadas que he recibido de algunas hermandades quiero aclarar algunas dudas que me han trasladado.

La Ley Orgánica de Protección de Datos (LOPD) exige el consentimiento previo del afectado para la cesión de sus datos en poder de un tercero a otra persona o entidad distinta. Por ejemplo, para que mis datos personales en poder de la Quinta Angustia, porque yo voluntariamente se los he facilitado al ingresar en la misma, la Hermandad se los ceda a un candidato requiere mi consentimiento previo, es decir, al mismo tiempo que se los facilito a mi hermandad tendría que haber prestado mi consentimiento para que se les cediera a los candidatos a hermano mayor.

Ninguna hermandad tiene eso previsto en sus solicitudes, recuerdo que ha de ser previo a la cesión.

Hace años, algunas hermandades de toda España plantearon este problema a la AEPD. Ésta emitió un informe en el que ante esta problemática entendió que no debía cederse los datos a los candidatos. Ahora bien, la Hermandad debía facilitar el conocimiento de candidatos y programas a los hermanos para que conocieran las alternativas. Esto fue en 2004.

Como consecuencia de este informe los obispados nos fueron obligando a todas aquellas que reformábamos las Reglas, aunque fuera por otras cuestiones, a incluir en las mismas la prohibición de ceder el censo a los hermanos candidatos.

En 2007 se aprueba el Reglamento que desarrolla la LOPD. En su artículo 10.2 incorpora una excepción a este consentimiento previo a la cesión de datos que es la satisfacción del interés legítimo, excepción incluida en la Directiva europea 95/46 sobre protección de datos. Esta excepción no venía en la LOPD.

Esta excepción la están utilizando asociaciones sin ánimo de lucro como clubes deportivos para ceder los datos de sus asociados a los candidatos. En 2005 la AEPD había elaborado un informe favorable a que un asociado pudiera acceder a los datos de otro asociado.

El 31 de mayo de 2012, la Audiencia Nacional en el supuesto de un candidato a presidir su colegio profesional le da la razón y considera que la cesión del censo a esta persona está amparada en la excepción del art 10.2 RLOPD al afirmar que el “interés consistente en comunicar las propuestas electorales a dichos colegiados y asociados y pedirles el voto” se puede encuadrar en la satisfacción de un interés legítimo. Esta cesión del censo de colegiados en unas elecciones está amparada en el principio democrático de saber quiénes son sus votantes.

Mi opinión es que esta solución es perfectamente aplicable a las hermandades.

En conclusión, hay tres opciones perfectamente legales

A) Modificar las solicitudes para incluir el consentimiento previo y expreso del hermano para ceder sus datos a los hermanos candidatos.

B) Como esto es complejo porque hay que pedir el consentimiento previo, se puede especificar en Reglas que no se cede el censo y se facilitan los medios para llegar a los hermanos de acuerdo con el informe 274/2004 de la AEPD.

C) Ceder el censo conforme a la excepción del art 10.2 RLOPD, que entiendo que es la mejor opción y más democrática. En cualquier caso es un censo con datos limitados a contactar con los hermanos. Esta opción tendría que estar recogida en Reglas.

lunes, 1 de febrero de 2016

La protección de datos en las hermandades

¡¡¡Por fin!!! He cerrado una etapa de mi vida y se abre otra. El esfuerzo y sacrificio realizados ha merecido la pena. No creía que a mi edad me pusiera nervioso pero estaba equivocado. Intenté hacerlo lo mejor posible pero no me esperaba los elogios del Tribunal. Fue realmente emocionante y todavía estoy abrumado. Tengo claro que algunas observaciones del Tribunal mejoran mi tesis y las tendré en cuenta. Y que seguiré la recomendación que me hicieron: elaborar un manual práctico para las Cofradías.

Los que ya han pasado por esto me dicen que ahora tendré mucho tiempo. Es posible que así sea y que a partir de ahora los fines de semana sean, eso, fines de semana y que las vacaciones sean simplemente vacaciones. Por lo menos espero dedicarle más tiempo a este blog, que es decir a vosotros.

A los que fuisteis el viernes, muchas gracias por vuestra presencia y ánimos. A los que no pudisteis ir y que me llamasteis o me enviasteis wasaps que sepáis que me sentí apoyado personalmente por cada uno de vosotros.

Agradecimiento especial a mi mujer, mis padres, mi hermano, cuñados, tíos, primos...a toda mi familia y amigos por haberme apoyado durante estos años y, porqué no decirlo, por aguantarme todo este tiempo. Y qué decir de mi director, Paco, el doctor Francisco Oliva, que me ha exprimido y guiado con evidente acierto. Y no me olvido del tribunal ¡que se leyó ese tocho! ¡Gran mérito!

Por último, gracias a Quino, Carlos y Juan por esta entrevista en Diario de Sevilla

A todos muchas gracias.

miércoles, 27 de enero de 2016

localización de empleados

Hace algún tiempo un amigo mío me comentó que estaba localizado en todo momento por su empresa y que creía que no era legal. Le pregunté que cómo sabían sus jefes dónde se podía encontrar en un momento determinado y me replicó que por el GPS del móvil. Mi respuesta no le gustó puesto que está admitido por la jurisprudencia que el empleado pueda estar localizado por estos medios durante su jornada laboral. Y este final de la respuesta es la clave.

El empleador no puede ni debe tener medios que geolocalicen a un empleado suyo FUERA de la jornada laboral y, por tanto, ha de dotar a los equipos (móviles, vehículos...) puestos a disposición de los empleados de un sistema que les permita desactivar la función de localización.  

miércoles, 20 de enero de 2016

Carreras universitarias con empleo

Interesante artículo publicado en Huffington Post sobre las carreras universitarias con mayores tasas de empleo y de paro. Las conclusiones son muy claras:

1. Las carreras relacionadas con las Ingeniería, la Informática y Ciencias de la salud tienen las mayores tasas de empleo.
2. Las carreras relacionadas con Arte y Humanidades cuentan con las mayores tasas de paro.

Para ver el artículo original, pincha aquí.