Obligaciones tributarias de empresas extranjeras que venden datos en España

El Tribunal Supremo (TS) dictaba fallo el 24 de junio pasado resolviendo el recurso de casación en el asunto NINTENDO IBÉRICA, S.A (recurso nº 5441/2020). El TS establece en su sentencia que los pagos efectuados por una entidad residente a una entidad no residente como consecuencia de la cesión de datos de clientes y de datos operativos, son rendimientos de capital mobiliario, en concepto de cánones o regalías, tratándose en concreto de "cantidades pagadas por informaciones relativas a experiencias industriales, comerciales o científicas". Tales pagos no pueden consistir, según el tribunal, en el precio de la compraventa de "bienes incorporales", como la demandante pretendía, dado que, entre otras razones, no consta que la transmisión del dominio sea definitiva, ni que la vendedora haya perdido todo poder de disposición o uso sobre la información transferida. Todo ello sujeta a la entidad vendedora no residente en España al Impuesto sobre la Renta de no Residentes. La economía de plataformas refleja una creciente "rentificación" (Birch) de la actividad industrial y comercial, de la que la presente sentencia es muy buen exponente.

Iniciativa de la CNMC sobre uso del dinero en efectivo

El pasado 12 de julio, la CNMC emitía un comunicado de prensa por el que recomendaba facilitar la retirada de efectivo con tarjeta en comercios, como alternativa a los cajeros (cada vez en menor medida disponibles), con el fin de que las personas en riesgo de exclusión financiera (zonas rurales y colectivos vulnerables) tengan más facilidades para acceder a todo tipo de servicios. En el “Estudio sobre la retirada de efectivo en cajeros automáticos”, la CNMC propone fórmulas como el cashback (obtención en efectivo de vueltas de compras realizadas con tarjeta en un comercio local), muy extendidas en países de nuestro entorno. El efectivo viene crecientemente reduciendo su presencia en el comercio en la generalidad de los países de la UE, llegando incluso en algunos a estar en riesgo de inminente desaparición. Algunas asociaciones, entre ellas, en España, Denaria, propugnan su permanencia, no como alternativa a medios digitales de evidente irreversibilidad, cuanto como opción de libertad, en particular por parte de las colectividades mencionadas atrás.

Extinción de contrato de delegado de protección de datos 

El pasado 22 de junio el TJUE dictaba sentencia (asunto C‑534/20) a propósito del despido de la delegada de protección de datos (DPD) de una empresa alemana a raíz de una "reorganización de sus servicios", cuando, según el artículo 38.3 del Reglamento general de protección de datos (RGPD), el DPD «no será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones». El alto tribunal no se opone a que se efectúe despido alguno de un DPD, sino solo a aquél que, aun cuando no esté relacionado con el ejercicio de las funciones de dicho delegado, no ponga en peligro la consecución de los objetivos del RGPD, siendo éstos en concreto amparar al DPD mediante la salvaguarda de su independencia funcional, garantizando así la efectividad de las disposiciones del RGPD. Es claro que solo un DPD que actúe sin temor a represalias por parte del empleador estará en condiciones de desempeñar adecuadamente sus funciones con arreglo al RGPD.

Acuerdo respecto al Reglamento europeo sobre criptoactivos

El pasado 30 de junio, el Consejo de la UE comunicaba que la Presidencia del Consejo y el Parlamento Europeo habían alcanzado un acuerdo provisional sobre la propuesta de Reglamento relativo a los mercados de criptoactivos (MiCA), que abarca los emisores de criptoactivos no respaldados por activos y las denominadas «criptomonedas estables», así como los centros de negociación y los monederos electrónicos en los que estos se almacenan. Este marco regulador protegerá a los inversores y asegurará la estabilidad financiera, al mismo tiempo que se facilita la innovación y se fomenta el atractivo del sector de los criptoactivos. El presente acuerdo provisional queda ya pues solo pendiente de aprobación formal por el Consejo y el Parlamento Europeo, con inmediata anterioridad a su publicación y posterior entrada en vigor. Largamente esperada, esta norma sitúa a la UE a la cabeza mundial en la regulación de este tipo de instrumentos, con una normación que garantiza la necesaria seguridad jurídica en un entorno por naturaleza volátil, sin pese a ello sofocar la innovación.

Pérdida de documentos con datos personales

La autoridad de Supervisión polaca publicó el pasado 6 de junio una resolución por la que imponía una multa de €3.500 a la empresa Esselmann Technika Pojazdowa Sp. La empresa tomó la decisión informada de no notificar a la autoridad de control una brecha de datos personales, consistente en la pérdida accidental y culposa de la ficha personal de uno de los empleados de la firma. A la vista de las circunstancias, los hechos implicaban una vulneración suficientemente grave de los derechos o libertades del interesado, como quiera que la ficha de un empleado contiene múltiples datos personales. Todo lo cual obligaba a la empresa a notificar la brecha a la autoridad de supervisión. Un muy buen ejemplo éste, por un lado, de la variabilidad de las circunstancias que motivan o no la obligación de notificar; por otro, de que, en determinadas circunstancias, un hecho tan banal como una pérdida documental puede detonar el surgimiento de esa obligación. 

Acceso a datos personales y oposición a recibir llamadas con fines de marketing

Esta vez la agencia francesa de protección de datos (CNIL) emitía el 23 de junio una resolución por la que sancionaba a la empresa TotalEnergies Électricité et Gaz France con una multa de €1 millón. Se concluyó que la empresa energética no permitía un acceso fácil a los datos de los particulares, ni les permitía oponerse a la reutilización de sus datos con fines de prospección comercial de productos o servicios similares, en abierta infracción de los artículos 12, 14, 15, y 21 del RGPD. Toda empresa responsable del tratamiento de datos personales, en especial si son masivos, debe prestar muy particular atención al ejercicio de los derechos de los interesados. Protocolos claros, sencillos y de escrupuloso cumplimiento son el mejor remedio para evitar infracciones como las citadas, cuyo impacto económico no se puede desdeñar.

Novedades sobre la Ley de mercados digitales

En el anterior número de junio de 2022 informábamos sobre el estado de la Ley de mercados digitales (DMA por sus siglas en inglés), cuyo objetivo es establecer disposiciones aplicables a las plataformas que actúen como «guardianes de acceso» en el sector digital, hasta el momento pendiente de aprobación. El 18 de julio, el Consejo Europeo emitió un comunicado por el que se daba a conocer la aprobación definitiva de la normativa, garantizando así unas condiciones de competencia equitativa en el ámbito digital, que establezcan unos derechos y normas claros para las grandes plataformas en línea ("guardianes"). Tras este paso y la subsiguiente publicación en el Diario Oficial de la Unión Europea, la norma empezará a aplicarse seis meses después. Como es sabido, la DMA constituye una de las piezas clave en aras a la consecución de lo que la UE viene denominando "level playing field" de las grandes tecnológicas (en especial norteamericanas), con operadores digitales clásicos como son las empresas de comunicaciones electrónicas.

Tratamiento de datos mediante interés legítimo en anuncios "personalizados" 

A principios del mes de julio, la autoridad italiana de protección de datos emitió una resolución por la que advertía formalmente a TikTok frente a la reciente modificación de su política de privacidad, por la que comenzará a tratar los datos personales de sus usuarios, con vistas a ofrecerles anuncios personalizados, no ya sobre la base del consentimiento, sino sobre la del "interés legítimo". La autoridad italiana concluye que el cambio de base jurídica resulta incompatible con la normativa de protección de datos, toda vez que el consentimiento de los interesados es la única base jurídica adecuada para "el almacenamiento de información, o el acceso a información ya almacenada en el equipo terminal de un suscriptor o usuario". Asimismo, la autoridad ha expresado su preocupación por la protección de los usuarios menores de edad, dadas las dificultades encontradas para aplicar medidas adecuadas de verificación de la edad para acceder a la plataforma, lo que entraña el riesgo de que se ofrezcan anuncios "personalizados" que incluyeran contenidos inadecuados a niños menores de 14 años, sobre la base del interés legítimo de la empresa. Más allá de la cuestión relativa a los menores, el eje de la decisión radica en el equipo de los usuarios: en la medida en que el anuncio personalizado se realiza mayoritariamente a día de hoy vía cookies, instalándose éstas en dicho equipamiento, lo que la agencia italiana viene a cuestionar es el empleo de cookies sobre la base del interés legítimo. En el fondo pues, el mismo asunto que llevó hace meses a la agencia británica y algo más recientemente a la belga, a invalidar esta base de tratamiento con ese mismo fin publicitario por parte de la entidad Internet Advertising Board (IAB). Y nueva señal pues de que el entorno de protección de datos de la UE es cada vez más reacio a tales prácticas.