Los emprendedores en Internet son, en muchas ocasiones, personas con iniciativa, creatividad y valor para convertir sus ideas en proyectos reales y viables, pero no tienen por qué conocer las múltiples cuestiones legales que surgen con ocasión de la creación de un negocio digital. Para resolver las dudas que en este sentido puedan plantearse lo mejor es consultar con un abogado especialista en derecho digital. No obstante, con la intención de que pueda servir de ayuda y orientación a todo el que decida dar el paso del emprendimiento, a continuación nos referiremos a una serie de cuestiones legales básicas que se plantean al iniciar un negocio en el ámbito digital.
En este post no pretendemos revisar de manera exhaustiva todas y cada una de estas cuestiones legales; sino dar un enfoque general, práctico y ejemplificativo sobre los principales aspectos legales a tener en cuenta cuando se inicia un negocio digital.
Forma jurídica
La primera cuestión legal que deben abordar los emprendedores consiste en resolver qué forma jurídica debe adoptar su empresa. Existen múltiples opciones, pero aquí nos referiremos a las que, con diferencia, son las más comunes: el empresario individual como persona física (el autónomo) y la sociedad de responsabilidad limitada.
Para decidirse por una u otra alternativa el emprendedor debe valorar los pros y contras que ofrecen cada una de estas figuras, principalmente, desde dos perspectivas: la fiscal y la del alcance de la responsabilidad personal a la que se expone el empresario. Igualmente debe considerarse la complejidad de los trámites para iniciar la actividad bajo una u otra forma jurídica.
El empresario individual o autónomo responde personalmente, con todos sus bienes presentes y futuros, de las obligaciones que contraiga en el ejercicio de su actividad. No hay diferencia alguna entre su patrimonio empresarial y personal: la responsabilidad por sus deudas empresariales alcanza por igual a ambos. Más aún, si el autónomo está casado en régimen de gananciales la responsabilidad por las deudas contraídas se extiende a los bienes de su cónyuge.
El alcance de la responsabilidad a la que se expone el empresario individual o autónomo es, como hemos visto, muy amplio. Así pues, cabe preguntarse qué ventajas ofrece esta forma jurídica.
En primer lugar, los trámites para constituirse como empresario individual son muy sencillos. Básicamente se reducen a darse de alta en Hacienda y en la Seguridad Social (dentro del Régimen Especial de Trabajadores Autónomos). Además, puesto que no se constituye sociedad alguna, no se requiere contar con un capital social mínimo para iniciar la actividad.
Por otro lado, en determinados casos la figura del autónomo puede ser la más atractiva desde un punto de vista fiscal. El empresario individual tributa por el Impuesto sobre la Renta de las Personas Físicas (IRPF). El IRPF es un impuesto progresivo, es decir, a medida que aumenta la base imponible crece el tipo impositivo. Y a la inversa, cuando la base imponible se reduce también decrece el tipo impositivo. Por ello, tributar por este impuesto puede ser interesante para los emprendedores que esperen que en su fase inicial el negocio genere escasos beneficios (lo más normal es que así sea en un primer momento). Si posteriormente el negocio prospera y se generan mayores beneficios siempre se podrá constituir una sociedad y tributar por el Impuesto de Sociedades.
Las sociedades de responsabilidad limitada (SL) tributan por el Impuesto de Sociedades (IS). Este impuesto establece un tipo fijo del 25%, aunque existen supuestos excepcionales para los que está previsto un tipo inferior. Por ejemplo, la Ley del Impuesto de Sociedades prevé que durante los dos primeros periodos impositivos a contar desde aquél en el que la base resulte positiva por primera vez, el tipo de gravamen será del 15%.
Por tanto, puede suceder que, en un principio, la tributación por el IS pueda resultar más cara al empresario que tributar por el IRPF (aunque será necesario analizar cada caso en concreto). En cambio, a medida que la cifra de negocio y los beneficios aumenten, la tributación por el IS podrá dar lugar a un mayor ahorro fiscal que tributar por el IRPF (un impuesto, recordemos, progresivo).
Por otro lado, en la Sociedad de Responsabilidad Limitada, como su nombre indica, la responsabilidad de los socios por las obligaciones contraídas en el ejercicio de la actividad está limitada al valor de sus aportaciones. Es decir, en este caso, a diferencia de lo que ocurre en las SL, el socio no responde con su patrimonio personal.
Constituir una SL es relativamente sencillo, aunque más complejo que constituirse como empresario individual. En primer lugar, las sociedades de responsabilidad limitada deberán estar dotadas de un capital social mínimo de 3.000 euros. Este capital podrá ser aportado en forma dineraria o no dineraria (equipos informáticos, software, mobiliario, etc.).
No obstante, para el caso de que no se pudiera aportar esta cantidad en un primer momento la Ley de Sociedades de Capital contempla la figura de la sociedad limitada de formación sucesiva. Esta figura permite la constitución de la sociedad de responsabilidad limitada aun cuando no se cuente con el capital exigido, pero la sociedad así constituida está sujeta a importantes restricciones en su operativa. En concreto, se limitan las cantidades que pueden repartirse como beneficios y las retribuciones de los socios y administradores, así como se obliga a destinar a reservas, al menos, el 20% del beneficio obtenido.
Además de contar con el capital mínimo, la constitución de la SL conlleva el cumplimiento de una serie de requisitos y trámites: la redacción y firma ante notario de la escritura de constitución y de los estatutos de la sociedad, la obtención de Hacienda del Número de Identificación Fiscal (NIF), la liquidación ante la Administración Tributaria autonómica del Impuesto de Transmisiones y Actos Jurídicos Documentados, y la inscripción en el Registro Mercantil. Si se pretende que la empresa contrate trabajadores será necesario, además, obtener de la Seguridad Social el número patronal.
Corresponde a cada emprendedor valorar, teniendo presente cuál es su modelo de negocio, qué opción le beneficia más. Para ello es muy aconsejable contar con el asesoramiento de especialistas en el tema.
Marca (¿…y nombre de dominio?)
Tras decidir qué forma adoptará la empresa, el siguiente paso consiste en distinguir sus productos y servicios de los de otras compañías competidoras en el sector. Para ello, la nueva empresa deberá dotarse de una (o varias) marcas.
Es éste un paso fundamental, que no debe darse a la ligera, sino responder a un profundo análisis estratégico. Debe diseñarse una marca que no sea sólo distintiva, es decir, que permita identificar con claridad los productos y servicios de la empresa, sino también capaz de transmitir los valores e ideas que se esperan queden vinculados en la mente del consumidor a los productos y servicios de la empresa. Este aspecto, el posicionamiento de la marca, corresponde estudiarlo a los especialistas en marketing.
Asimismo, debe pensarse en una marca que no se parezca a otras marcas registradas ya existentes y evitar así entrar en conflicto con sus titulares. En su día publicamos este post sobre el uso de la herramienta gratuita TMView; donde puedes tener una primera impresión sobre si tu marca ha sido o no registrada previamente, o si se parece a alguna marca registrada anterior. En todo caso, es recomendable que te pongas en manos de un especialista para desarrollar un informe de viabilidad de marca, y saber de antemano las posibilidades de éxito del nuevo registro.
Pero, además, la estrategia de marca debe responder a dos cuestiones: dónde va a desarrollar sus actividades la empresa y qué productos o servicios comercializará.
En primer lugar, debe considerarse cuál será el alcance geográfico de la actividad empresarial. En función de la respuesta a esta pregunta podremos optar por el registro de una marca nacional, una marca de la Unión Europea, o una marca internacional.
Debe tenerse en cuenta que la marca internacional, más que una marca propiamente dicha, es un procedimiento administrativo establecido por dos tratados internacionales (el Arreglo de Madrid y el Protocolo de Madrid) que permite obtener el registro como marca nacional en los países miembros del Sistema de Madrid (los estados contratantes de los tratados citados) con trámites muy simplificados.
En concreto, gracias al Sistema de Madrid, no es necesario solicitar la marca en cada país, en su propio idioma, y realizar en todos ellos los trámites necesarios para su concesión. En cambio, basta con solicitar la marca una sola vez, indicando los países u organizaciones internacionales (como la UE o la Organización Africana de la Propiedad Intelectual) miembros de la Unión de Madrid en los que se desea realizar el registro. En la actualidad, la Unión de Madrid cuenta con 106 miembros que comprenden 122 países.
Además, la gestión de las marcas igualmente resulta mucho más sencilla y económica. Debe considerarse que la marca internacional (al igual que la marca nacional española y la marca de la Unión Europea) tiene una vigencia de 10 años, transcurridos los cuales debe ser renovada. Renovar una marca internacional, con un único trámite, es mucho más fácil que renovar varias marcas nacionales, en varios países, con distintos plazos y tasas diferentes. Lo mismo puede decirse de otros actos que pueda requerir la gestión de la marca, como el cambio de su titular o de su representante.
Ahora bien, para poder disfrutar de las ventajas del Sistema de Madrid es preciso tener previamente registrada o solicitada una marca en uno de los países contratantes de los citados tratados (o en una de las organizaciones internacionales parte del Protocolo de Madrid; por eso una marca de la UE es una base válida para solicitar la marca internacional).
En segundo lugar, tras decidir el tipo de marca a registrar en función del alcance territorial de la protección que se necesite, habrá que determinar para qué productos y servicios se registra la marca. Las marcas no se registran para todos los productos y servicios en general, sino para una o varias categorías de productos o servicios previstos en la Clasificación de Niza.
Ahora bien, podría pensarse que lo mejor es registrar cada marca siempre cubriendo el mayor ámbito territorial (para todos los países miembros de la Unión de Madrid o, al menos, el registro de una marca de la Unión Europea) y para todos los productos y servicios recogidos en la Clasificación de Niza. Sin embargo, existen dos circunstancias que desaconsejan este proceder.
Primero, que las tasas a pagar se encarecen cuanto mayor es el ámbito territorial cubierto por la marca, y cuantos más productos y servicios son designados. La tasa de registro de una marca de la Unión Europea es sensiblemente superior a las tasas por el registro de una marca nacional. Igualmente, cuantos más países sean designados en una marca internacional mayor será la tasa a pagar. De la misma forma, las tasas, en todo tipo de marcas, se fijan en función del número de clases de productos y servicios de la Clasificación de Niza que son designados: a más clases, mayor tasa.
Por otro lado, conviene no olvidar que los registros de marcas con carácter defensivo no están permitidos. No cabe registrar una marca con el único fin de impedir que otros no puedan utilizarla. Por ello se exige que las marcas sean efectivamente usadas en el tráfico comercial para distinguir los productos y servicios para los que fueron registradas. En caso de no poder probarse dicho uso la marca podría ser anulada, por lo que resulta absurdo registrar marcas en territorios y para productos y servicios para los que no van a ser usadas. Sobre este tema ya hablamos en su día en este post.
Cuando se haya decidido el tipo de marca y los productos y servicios que deberá cubrir, puede procederse a su registro. Este registro faculta a su titular, en líneas generales, a impedir a cualquier tercero utilizar una marca idéntica o similar para productos o servicios idénticos o similares en el mercado del territorio en que se haya registrado; así como oponerse a solicitudes de registros de marcas idénticas a la suya y, también, al registro de marcas similares, siempre que exista riesgo de confusión o asociación entre los productos o servicios de una y otra empresa. En cualquier caso, será el titular el que deberá oponerse oportunamente a la solicitud de marcas idénticas o parecidas hasta el punto de la confusión o la asociación con la suya propia; la Oficina Española de Patentes y Marcas (OEPM), la Oficina Europea de la Propiedad Intelectual (EUIPO, por sus siglas en inglés) y, en general, las principales oficinas de registro, no deniegan inscripciones de oficio por este motivo.
No obstante, para poder oponerse a la solicitud de una marca idéntica o similar en grado de confusión o asociación con la propia, lo primero es detectarla, saber de su existencia. Y esto no es siempre tan sencillo. La Oficina Española de Patentes y Marcas (OEPM) cuenta con un sistema que notifica a los titulares las solicitudes de marcas idénticas o parecidas a las que ellos tienen registradas, pero este sistema no siempre es confiable y, además, no es vinculante para la Oficina. Por ello es muy aconsejable contar con los servicios de especialistas en propiedad intelectual, como nosotros, que, gracias a que disponemos de softwares especializados y los conocimientos técnicos requeridos, estamos preparados para cribar las solicitudes presentadas y detectar aquellas conflictivas con las marcas de nuestros clientes. De esta forma, somos capaces de proveer una defensa eficaz de las marcas de nuestros representados.
Asimismo, debes tener en cuenta que el registro del nombre de dominio (por ejemplo, un .com a través de uno de los agentes registradores autorizados por ICANN; o un .es a través de cualquiera de los agentes registradores autorizados por Red.es) no equivale al registro de la marca. Como ya explicamos en nuestras FAQs, el régimen jurídico de las marcas y de los nombres de dominio es distinto, y un nombre de dominio no otorga la protección que otorga una marca. Un nombre de dominio concede un derecho de uso durante un determinado periodo de tiempo de unos términos o palabras que sustituyen, a través del sistema DNS (Domain Name System), los números de una dirección IP, donde se aloja el contenido de una web, de forma que sea más fácilmente recordable por el usuario. Un nombre de dominio no concede un derecho exclusivo y excluyente sobre un signo, como hacen las marcas. Y, es más, la utilización de un nombre de dominio cuya denominación constituya un derecho de marca de un tercero puede suponer una infracción de dicho derecho de marca.
Por otro lado, hablamos de las siguientes cuestiones legales:
Protección de datos
Una vez dados de alta en Hacienda y en la Seguridad Social, constituida la sociedad (si nos hemos decantado por esta forma jurídica) y registrada la marca, nos disponemos a iniciar la actividad. Ahora bien, muy probablemente en su desarrollo la empresa deberá hacer alguna clase de tratamiento de datos personales, bien sea de clientes, de trabajadores, de proveedores, o de todos ellos. En este caso, la empresa queda sujeta a las obligaciones que impone la legislación en la materia, fundamentalmente el Reglamento General de Protección de Datos (Reglamento 2016/679 de 27 de abril, RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (Ley Orgánica 3/2018, de 5 de diciembre, LOPDGDD).
Las obligaciones previstas en esta normativa no pueden tomarse a la ligera pues, para el caso de su incumplimiento, se prevén sanciones administrativas de hasta 20 millones de euros. Y tratándose de empresas, la sanción podrá llegar a una cantidad equivalente al 4% del volumen de negocio del año anterior, siempre que esta cantidad sea mayor a los mencionados 20 millones de euros. Además, debe considerarse que, conforme a la legislación vigente, corresponde al empresario demostrar que ha cumplido con todas las obligaciones que le son exigibles.
Así las cosas, debemos referirnos a las principales obligaciones en protección de datos que deben satisfacer los empresarios.
En primer lugar, dice el RGPD que todo responsable del tratamiento y todo encargado del tratamiento deberá llevar un registro de las actividades de tratamiento. Responsable del tratamiento es la persona física o jurídica que decide para qué y cómo serán tratados los datos personales. Por su parte, encargado del tratamiento es la persona física o jurídica que trata los datos personales por cuenta del responsable, por ejemplo, la agencia de publicidad que trata los datos de los clientes de la empresa cuando lleva a cabo una campaña de marketing a ellos dirigida, o la gestoría que trata los datos de los empleados cuando prepara las nóminas. La relación entre el responsable y el encargado del tratamiento debe regirse por un contrato de encargado del tratamiento, con el contenido previsto en el RGPD.
El registro de actividades del tratamiento recogerá diversa información relativa a los tratamientos de datos que se lleven a cabo en el seno de la empresa (las clases de tratamientos que se realizan, su finalidad, las medidas adoptadas para la seguridad de los datos, etcétera), y deberá estar disponible por si lo solicita la Agencia Española de Protección de Datos (AEPD).
No todas las empresas están obligadas a llevar el registro de actividades del tratamiento, sino únicamente aquellas que empleen a 250 trabajadores o más. Ahora bien, las empresas con menos de 250 trabajadores contratados también estarán obligadas a contar con un registro de las actividades del tratamiento cuando se traten determinado tipos de datos pertenecientes a las llamadas categorías especiales (raza, ideología, religión, afiliación sindical, salud, vida sexual u orientación sexual, o datos de salud, genéticos o biométricos), o cuando se traten datos relativos a condenas e infracciones penales, o, el supuesto que puede ser más común, cuando el tratamiento de los datos personales no sea ocasional, sino parte de la actividad habitual de la empresa.
Otra de las obligaciones a las que pueden estar sujetos los responsables y encargados del tratamiento de datos personales es la designación de un delegado de protección de datos (DPO). En concreto, las empresas deberán designar un DPO cuando el tratamiento que se vaya a llevar a cabo requiera una observación habitual, sistémica y a gran escala de datos personales. Igualmente, será necesario contar con un DPO cuando el tratamiento de los datos, aunque no sea habitual y sistemático, sí sea a gran escala y se refiera a las categorías especiales de datos que hemos visto antes, o a datos relativos a condenas e infracciones penales.
El DPO es la persona encargada de asesorar a la empresa en todas las cuestiones relativas a la protección de datos y de asegurarse de que se cumplen las obligaciones legales en la materia. Además, actúa como cauce de comunicación con la AEPD y, con frecuencia, con los interesados cuyos datos son tratados por la empresa.
El DPO puede ser una persona física o jurídica, un trabajador de la empresa o un contratado externo. En cualquier caso, es muy importante que se garantice su independencia y autonomía en el ejercicio de sus funciones, preservándolo de cualquier posible conflicto de intereses.
El DPO no necesita estar en posesión de una titulación específica para ejercer este puesto, aunque se recomienda que cuente con conocimientos técnicos especializados en el Derecho de la protección de datos y experiencia en este ámbito.
Una de las obligaciones del empresario en cuyo cumplimiento puede asesorar el DPO es la realización de análisis de riesgos. Corresponde al empresario, como responsable o encargado del tratamiento, adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos que trata. Pero para poder adoptar estas medidas es necesario que, en primer lugar, se identifiquen los riesgos derivados del tratamiento, es decir, el impacto que tendrían las amenazas potenciales para la integridad, confidencialidad y disponibilidad de los datos si llegaran a verificarse, y la probabilidad de que efectivamente se materialicen.
Todas las empresas, sin excepción, están obligadas a analizar los riesgos de los tratamientos que realizan y adoptar las medidas de seguridad apropiadas.
Existen dos tipos de análisis de riesgos que pueden realizarse. Por un lado, está el análisis básico de riesgos, más general y simplificado, y por otra la evaluación de impacto, de mayor profundidad y realizada para cada tratamiento. La realización de uno u otro análisis dependerá del nivel de riesgo que implique el tratamiento. Para determinarlo se realizará un análisis previo. Si el nivel de riesgo detectado es bajo, corresponde realizar una análisis básico; si por el contrario es elevado, deberá llevarse a cabo la evaluación de impacto.
En el análisis básico de riesgos, las actividades de tratamiento, agrupadas por procesos comunes, son descritas indicando en qué consiste el tratamiento, cuáles son los datos que se tratan y por quién son tratados, así como la tecnología empleada para llevarlas a cabo. A continuación, a cada conjunto o categoría de tratamientos se le asigna un nivel de riesgo y, en su función, se adoptan unas u otras medidas de seguridad. Para ayudar a realizar el análisis de riesgos la AEPD ha puesto a disposición de responsables y encargados del tratamiento la herramienta FACILITA, destinada a empresas que realizan tratamientos de datos personales que, a priori, parecen conllevar un bajo nivel de riesgos (como el tratamiento de datos de contacto de clientes o proveedores).
Ahora bien, como se ha señalado, cuando el tratamiento de los datos entrañe un alto nivel de riesgo no será suficiente con realizar un análisis básico, sino que se requerirá una evaluación de impacto relativa a la protección de datos. La evaluación de impacto es siempre necesaria cuando los datos personales van a ser tratados de forma automatizada para la elaboración de perfiles (minería de datos), cuando se traten, a gran escala, datos de categorías especiales, y cuando los datos procedan de la observación a gran escala de zonas de acceso público (videovigilancia).
Además, más allá de estos tres casos que acabamos de señalar, la evaluación de impacto será obligatoria siempre que el tratamiento entrañe un elevado nivel de riesgo para los derechos y libertades de los afectados. En este sentido, la AEPD ha publicado una lista de tratamientos que requieren la realización de una evaluación de impacto.
En la evaluación de impacto deberán describirse las actividades de tratamiento que se realizarán y cuál será su finalidad. A continuación, deberá valorarse la necesidad real de llevar a cabo dichas actividades para la consecución de los fines propuestos, así como los riesgos inherentes a su realización. Por último, se propondrán las medidas de seguridad necesarias para prevenir dichos riesgos.
Pero, puede ocurrir que, a pesar de que se hayan adoptado todas las medidas de seguridad oportunas, se produzca una quiebra de la seguridad. En este caso, el RGPD impone a los responsables la obligación de notificar la violación de la seguridad a la autoridad de control (la AEPD) en el plazo máximo de 72 horas. Además, si la violación de la seguridad entraña un alto riesgo para los titulares de los datos afectados, deberá también comunicarse a estos interesados.
Ésta es una de las múltiples obligaciones de información que se prevén en la legislación de protección de datos a favor de los interesados. Otra de estas obligaciones es la de informar acerca de los derechos que corresponden a los interesados, que será tratada en el apartado de este artículo titulado “Textos legales”.
En cualquier caso, recomendamos siempre que te pongas en mano de abogados especialistas en protección de datos para que te asesoren sobre cualquier duda que pudieras tener.
Sociedad de la información
La Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (Ley 34/2002 de 11 de julio, LSSICE) contiene un concepto amplio de servicio de la sociedad de la información que engloba todos los servicios prestados a distancia, por vía electrónica y a petición individual del destinatario, incluso cuando sean servicios no remunerados por su destinatario, siempre que constituyan una actividad económica del prestador de servicios (por ejemplo, cuando se monetiza una página web, de acceso gratuito para los usuarios, mediante la colocación de anuncios publicitarios).
A la vista de este concepto amplio de servicio de la sociedad de la información, el empresario que realiza su actividad (de contenido económico) en Internet, debe ser considerado un prestador de servicios de la sociedad de la información y, por lo tanto, queda sujeto a las obligaciones previstas en la LSSICE.
Y dice la LSSICE que los prestadores de servicios están sujetos a las responsabilidades civiles, penales y administrativas en que pudieran incurrir en el ejercicio de su actividad. Es decir, que el hecho de desarrollar sus actividades en Internet no sirve como pretexto para dejar de cumplir las obligaciones que a todos nos imponen las leyes. Ahora bien, la legislación vigente también dispone que cuando los prestadores de servicios presten servicios de intermediación, y siempre que se cumplan determinadas condiciones, quedarán exentos de responsabilidad por los contenidos ajenos que transmiten, alojan o a los que facilitan acceso.
Las actividades de intermediación son las relativas a la transmisión, copia, alojamiento y localización de datos ajenos en Internet. El prestador de servicios quedará exonerado por las responsabilidades derivadas de los contenidos respecto de los que intermedie siempre que se cumplan una serie de condiciones que, grosso modo, consisten en: (1) que desconozca que la información respecto de la que intermedia es ilícita y, (2) que en el momento en que entre en conocimiento de la ilicitud de la información o contenido respecto del que realice su actividad de intermediación, actúe con rapidez para retirarlo o para hacerlo inaccesible.
Ahora bien, si la actividad del prestador de servicios va a consistir en almacenar obras protegidas de todo tipo (películas, fotografías, canciones, obras plásticas, etcétera), cargadas en su página web por terceros, y dar acceso a ellas (un modelo de negocio tipo Youtube, por ejemplo), entonces debe tenerse muy presente la Directiva 2019/790 de 17 de abril.
La citada Directiva dispone que los empresarios que desarrollen esta clase de actividades (los llamados prestadores de servicios para compartir contenidos en línea), comunican al público las obras a las que dan acceso en su página web, aunque hayan sido cargadas por terceros. Esto significa que, si dichas obras han sido cargadas en la plataforma sin el consentimiento de sus autores o de los titulares de los derechos sobre ellas, el prestador de servicios será responsable, sin que pueda aplicarse la exoneración de responsabilidad prevista en la LSSICE que acabamos de ver.
La única forma de evitar la responsabilidad en este caso será contar con una autorización de los titulares de derechos o, en su defecto, cumplir 3 condiciones: (1) demostrar que se han hecho esfuerzos serios para lograr dicha autorización, (2) demostrar se ha actuado con diligencia para impedir el acceso a las obras protegidas, siempre que los titulares de derechos las hayan identificado y, (3) retirar de forma inmediata las obras protegidas cuando los titulares de los derechos le notifiquen que han sido cargadas en la plataforma web sin su consentimiento.
La Directiva 2019/790 está, a fecha de publicación de este post, pendiente de transposición (se prevé un plazo de dos años para ello) y, por tanto, sus disposiciones aún no son aplicables. Pero pronto lo serán. Por ello, el emprendedor que aspire a desarrollar una empresa en Internet debe tenerlas muy presentes a la hora de planificar su negocio. Para mayor información sobre la Directiva 2019/790 puede consultarse este post.
Además de lo anterior, si en el desarrollo de nuestro negocio tenemos pensado enviar una newsletter, de la LSSICE debemos tener particularmente en cuenta que el envío de comunicaciones publicitarias o promocionales por medios electrónicos está prohibido salvo que: 1) previamente hubiera sido solicitado o autorizado por el destinatario (es decir, se cuente con una lista de suscriptores a la newsletter cuyos datos hayan sido válidamente obtenidos para dicha finalidad); o 2) exista una relación contractual previa con el destinatario y la newsletter tuviera relación con los productos o servicios contratados. En todo caso, el empresario deberá facilitar al destinatario la posibilidad de anular la suscripción a la newsletter en cada envío que realice, y a oponerse al tratamiento de sus datos para dicha finalidad en el momento de la recogida de sus datos (lo que normalmente se traduce en una casilla en el formulario de contacto que indique que no se desean recibir comunicaciones comerciales).
Esta disposición de la LSSICE pretende evitar el molesto spam, tratándose así de una conducta no permitida por la ley. De esta forma, nuestra recomendación es que no promociones tus productos y servicios mediante envío de correos electrónicos a personas o empresas que no conozcas y que no hayan autorizado la recepción de tales correos; y que, en cambio, llames por teléfono y pidas, por ejemplo, cita para una reunión.
Textos legales
Los empresarios están sujetos a múltiples obligaciones de información impuestas tanto por la LSSICE como por las normas sobre protección de datos. La forma de dar cumplimiento a estas obligaciones para el emprendedor en Internet consiste en la redacción de diversos textos legales que estarán disponibles, de forma fácilmente accesible, para su consulta en su web.
Uno de estos textos es el aviso legal, a través del que se cumplen las obligaciones de información impuestas por la LSSICE. En él deben incluirse, en primer lugar, los datos de identificación y contacto del prestador de servicios responsable de la página web. Esto incluye el nombre o denominación social, el correo electrónico, el número de teléfono y el NIF. Si se optó por constituir una persona jurídica, como una sociedad de responsabilidad limitada, también deberán incluirse sus datos de inscripción en el Registro Mercantil.
Además, si la actividad desarrollada en la página web está sujeta a autorización administrativa previa (energía, transporte, producción y transformación de metales, química, industria alimentaria y del tabaco, gestión de residuos, seguridad privada, bares y restaurantes, juego y apuestas, etcétera), se deben indicar los datos relativos a dicha autorización y los que identifiquen al órgano supervisor competente.
Por otro lado, si el prestador de servicios ejerce una profesión regulada, deberá constar el número de colegiación, el título académico o profesional con el que se cuente y su país de expedición, y el código deontológico por el que se rige el ejercicio de dicha profesión. Las profesiones reguladas son aquellas cuyo acceso se condiciona a obtener una determinada titulación, haber superado exámenes especiales (por ejemplo, exámenes estatales) y/o inscribirse en un órgano profesional (como un colegio profesional) para ejercerla. Son ejemplos de esta clase de profesionales los abogados, procuradores, médicos, arquitectos, auditores de cuentas, detectives privados, enfermeros, entrenadores deportivos, farmacéuticos, y los ingenieros, entre otros.
En el caso de que el prestador de servicios está adherido a algún código de conducta, deberá señalarse esta circunstancia, indicando la forma de consultarlo en Internet.
La LSSICE exige que toda esta información esté disponible de manera claramente visible e identificable. Ahora bien, a condición de que los usuarios de la web puedan encontrarla siempre con facilidad, puede ser emplazada donde se prefiera (en el pie de página, en una página reservada para ello).
Ahora bien, si en el desempeño de la actividad se van a recoger datos personales (algo muy frecuente), será necesario además que en la página web se facilite la información exigida por el artículo 13 RGPD, a través de otro texto legal, la política de privacidad.
Esta información puede ser ofrecida a los interesados en dos “capas”, es decir, la información básica deberá aparecer directamente en la web (al pie o en una página destinada a ello), mientras que al resto de la información podrá ser consultada por un medio que permita un acceso fácil e inmediato, por ejemplo, un enlace.
La información básica que deberá facilitarse en la primera capa comprende (como mínimo): la identidad del responsable del tratamiento, la finalidad del tratamiento de los datos (actividades de marketing, gestión de pedidos, etc.), la legitimación del tratamiento (es decir, la base jurídica, de las previstas en el artículo 6 RGPD, que lo justifica), los destinatarios a los que se comunicarán los datos, y la posibilidad de ejercer los derechos reconocidos en los artículos 15 a 22 del Reglamento (acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición, y derecho a no ser objeto de decisiones individuales automatizadas). Además, deberá incluirse un enlace a la información de segunda capa.
En la segunda capa deberán facilitarse los datos de contacto del responsable del tratamiento, los datos identificativos del delegado de protección de datos, si lo hubiere, la finalidad del tratamiento (con mayor detalle), el plazo de conservación de los datos, la realización o no de transferencias internacionales de datos, la forma en la que podrán ejercerse en la práctica los derechos de los interesados, el derecho de los interesados a reclamar ante la Agencia Española de Protección de Datos (AEPD) si consideran vulnerados sus derechos y, finalmente, deberá informarse también sobre si los datos recogidos serán tratados de forma automatizada para la elaboración de perfiles.
Por otro lado, lo más normal es que los empresarios digitales instalen en sus páginas web cookies con diversas finalidades (técnicas, de personalización, de análisis, publicitarias). Las cookies recogen información sobre la navegación de los usuarios de la página web, incluyendo datos personales, por lo que también respecto a ellas deben cumplirse las exigencias de la legislación de protección de datos.
Para ello, en la página web debe contarse con otro texto legal, la política de cookies, en la que se informe a los usuarios de las cookies instaladas en la web, los datos que recogen y para qué los recogen, el plazo de conservación de los datos, la legitimación legal para llevar a cabo este tratamiento de datos personales, las cesiones de datos que pudieren realizarse y los derechos de los usuarios respecto de sus datos. Es decir, toda la información que conforme el RGPD debe comunicarse a los interesados por el tratamiento de sus datos, pero esta vez referida específicamente a los datos personales recopilados a través de las cookies.
Además, en la política de cookies deberá explicarse la forma de desactivar o bloquear las cookies. Esto es especialmente importante cuando la base jurídica del tratamiento sea el consentimiento del interesado (un supuesto muy común), pues el artículo 7.3 RGPD dispone que “el interesado tendrá derecho a retirar su consentimiento en cualquier momento”.
Por último, si a través de la web se permite la compra de productos o servicios, también deberán redactarse unas condiciones generales de compra, que regularán las relaciones entre la empresa y sus clientes por los productos o servicios contratados. Este contrato deberá ser redactado teniendo en cuenta las disposiciones de la Ley 7/1998, de 13 de abril, sobre condiciones generales de la contratación (LCGC). Así mismo, por imperativo de la LSSICE, los precios de los productos y servicios deberán ser expresados de forma clara y exacta, indicando si los impuestos y los gastos de envío están o no incluidos.
En adición a lo anterior, si la empresa digital va a vender sus productos o prestar sus servicios a consumidores (y no a otras empresas), deberá tenerse en consideración, además, la Ley General para la Defensa de los Consumidores y Usuarios (1/2007, de 16 de noviembre, TRLGDCU), que establece una serie de derechos de los consumidores y obligaciones de los empresarios. En especial, por lo que se refiere a la redacción de los términos y condiciones, deberá tenerse presente el artículo 102 de la citada ley. Este artículo establece el derecho de los consumidores a desistir del contrato celebrado, en el plazo de 14 días desde su celebración, sin necesidad de indicar motivo alguno para ello. En los términos y condiciones deberá hacerse constar la existencia de este derecho, el modo de su ejercicio y, también, las excepciones en las cuales el consumidor no podrá ejercerlo.
Llegado este punto, después de que la empresa haya adoptado la forma jurídica más apropiada, tras haberse dotado de la marca o marcas necesarias para distinguir sus productos en el tráfico comercial y haberlas registrado, tras haber registrado su nombre de dominio, haberse preparado para cumplir las exigencias legales en protección de datos y sociedad de la información, y haber redactado los textos legales necesarios teniendo en cuenta todos los requisitos legales impuestos por las normas aplicables (RGPD, LSSICE, LCGC, TRLGDCU), podremos decir que la nueva empresa digital cumple los requisitos legales básicos para desarrollar su actividad con tranquilidad y seguridad. No obstante, debe considerarse que si la actividad que se va a iniciar es de las sujetas a autorización administrativa (como, por ejemplo, el juego, la sanidad, la seguridad privada…) existen requisitos legales específicos que deberán cumplirse.
El cumplimiento de las obligaciones legales que han sido expuestas a lo largo de estos dos artículos es una condición indispensable para el desarrollo pacífico y satisfactorio de las actividades empresariales que se van a emprender. Por ello, resulta de la máxima importancia contar con el asesoramiento especializado apropiado, de forma que se eviten riesgos y los negocios digitales puedan continuar prosperando sin sobresaltos.
Aún resta una cuestión importante por tratar: la protección jurídica del software. Muchos negocios digitales se construyen en torno a aplicaciones que pueden ser descargadas por los usuarios. Estos programas, cuyo desarrollo supone inversiones considerables, constituyen en muchos casos uno de los activos principales de la empresa. De ahí la necesidad de darles una protección jurídica adecuada.
Pero es aquí cuando surge la duda acerca de qué instrumentos jurídicos son válidos y de mayor eficacia para lograr esta protección: ¿la patente? ¿el derecho de autor? ¿el secreto empresarial?
Comenzaremos por señalar que la protección jurídica de los programas de ordenador debe realizarse, en principio, con el derecho de autor, no a través de la patente. En este sentido, tanto la Ley de Patentes española (artículo 4.4) como el Convenio sobre concesión de Patentes Europeas (art. 52.2) excluyen expresamente la patentabilidad de los programas de ordenador. Por el contrario, la Ley de Propiedad Intelectual regula la protección de los programas de ordenador por el derecho de autor en sus artículos 95 y siguientes.
Sin embargo, el apartado 5 del citado artículo 4 de la Ley de Patentes afirma: “Lo dispuesto en el apartado anterior excluye la patentabilidad de las materias o actividades mencionadas en el mismo solamente en la medida en que la solicitud de patente o la patente se refiera exclusivamente a una de ellas considerada como tal”. El apartado 3 del artículo 52 del Convenio sobre concesión de Patentes Europeas establece una previsión análoga.
Estas disposiciones legales significan que los programas de ordenador como tales no pueden patentarse, ahora bien, dichos programas sí pueden ser objeto de patente como parte de una invención que resuelve un problema técnico concreto. Son las llamadas invenciones implementadas por ordenador.
Los programas de ordenador que no pueden patentarse son aquéllos que son creaciones abstractas sin una finalidad técnica concreta. Sin embargo, y en términos generales, cuando puede indicarse un problema técnico específico que es resuelto por el programa, éste sí podrá ser patentado. Y ello con independencia del soporte en que se encuentre el programa, ya sea un soporte físico (por ejemplo, un programa que sirve para mejorar la eficiencia de un motor de automóvil y que está instalado en el hardware del vehículo), o en un soporte inmaterial, como son las aplicaciones que descargamos de Internet. Lo relevante es que el programa solucione un problema técnico concreto, no su soporte.
Debe quedar claro, no obstante, que no todos los programas de ordenador tienen este carácter técnico necesario para ser patentables. El carácter técnico de un programa de ordenador puede encontrarse “en los efectos adicionales derivados de la ejecución (por el hardware) de las instrucciones dadas por el programa de ordenador” (Decisión de 1 de julio de 1998 de la Cámara de Recursos de la Oficina Europea de Patentes). Cuando estos efectos derivados de la ejecución del programa resuelvan un problema concreto, entonces el software será patentable. Así pues, cuando se plantea la patentabilidad o no de un programa de ordenador resulta de la máxima importancia determinar con precisión cuál es el problema técnico que resuelve, pues de ello depende que pueda o no ser finalmente patentado.
Ahora bien, una vez sabemos cuándo es posible patentar un programa de ordenador, cabe preguntarse si conviene hacerlo. Es decir, debemos ponderar las ventajas e inconvenientes de la protección jurídica del software a través de la patente en contraposición con las ventajas e inconvenientes de su protección mediante el derecho de autor y el secreto empresarial.
La protección por el derecho de autor tiene algunas ventajas muy reseñables. En primer lugar, destaca por su sencillez. A diferencia de lo que ocurre con la patente, la protección por el derecho de autor no depende de ningún acto formal. No es necesario registrar el programa para ser titular de todos los derechos que la Ley de Propiedad Intelectual concede a su autor; por el contrario, por el mero hecho de su creación ya se goza de esta protección.
En relación con esto conviene aclarar que la Ley de Propiedad Intelectual considera autor del programa de ordenador cuando éste se realiza por la iniciativa y bajo la coordinación de una persona natural o jurídica (normalmente el caso de los programas desarrollados en el seno de empresas) a la persona natural o jurídica que la edite y divulgue bajo su nombre. Así pues, el autor ante la ley de un programa de ordenador desarrollado y comercializado por una empresa es la propia empresa, y como tal tiene todos los derechos que le concede la Ley de Propiedad Intelectual, desde el mismo momento de la creación del programa, sin sujeción a ningún otro requisito formal.
Además, la protección que dispensa el derecho de autor es casi universal, pues está reconocida en convenios internacionales ampliamente ratificados (por ejemplo, 105 países son parte del Tratado de la OMPI sobre Derecho de Autor). Así, a través del derecho de autor se logra de manera automática la protección jurídica del programa en la mayor parte de los países del mundo en lugar de tener que registrar la patente en cada uno de ellos (un proceso más complejo y caro).
La protección del software por el derecho de autor en distintos países es más sencilla incluso si se compara con el sistema creado por el Tratado de Cooperación en materia de Patentes, que permite presentar una única solicitud de patente que será válida en todos los Estados contratantes, si bien cada Estado valorará si la patente solicitada es finalmente concedida o no conforme a los criterios establecidos en su propia legislación. Se trata, en definitiva, de un sistema parecido al previsto para las marcas en el Arreglo y el Protocolo de Madrid, que analizamos en la primera parte de este artículo.
Otra de las ventajas del derecho de autor es la durabilidad de la protección. En España, la duración de la protección dispensada por la Ley de Propiedad Intelectual (LPI) a los titulares del programa es de 70 años a contar desde el 1 de enero del año siguiente al de su divulgación (o al de su creación, si el programa aún no se hubiera divulgado). Por el contrario, la duración máxima de la patente en nuestro país es de 20 años a contar desde la fecha de presentación de la solicitud. Y téngase en cuenta que la protección dispensada por la LPI se extiende a las versiones sucesivas del programa original.
Finalmente, las invenciones patentadas son objeto de publicación, lo que no siempre conviene a los intereses de las empresas desarrolladoras de software. No obstante, conviene aclarar que ninguno de los artículos de la Ley de Patentes o del Convenio sobre Concesión de Patentes Europeas exige que se aporte el código fuente del programa, y la Oficina Española de Patentes y Marcas no lo pide. Es suficiente con que el concepto de la invención sea descrito en la solicitud de patente de manera suficientemente precisa para que un experto en la materia pueda ejecutar la invención.
Ahora bien, la protección por el derecho de autor también presenta algunos inconvenientes importantes. En particular, esta forma de protección alcanza a la forma en la que está expresado el programa, pero no a sus ideas subyacentes. Es decir, el derecho de autor impide que el programa sea copiado en su literalidad, pero no que posibles competidores desarrollen en paralelo su propio software basándose en las ideas que inspiraron el original. De hecho, el artículo 100 LPI permite a los usuarios legítimos de la copia de un programa de ordenador “observar, estudiar o verificar su funcionamiento, sin autorización previa del titular, con el fin de determinar las ideas y principios implícitos en cualquier elemento del programa”, esto es, se permite descompilar el programa (aunque con ciertos límites). Por el contrario, la protección dispensada por la patente es mucho más fuerte pues sí alcanza a estas ideas.
Además, debe considerarse que la patente concede a su titular el derecho a prohibir a cualquier tercero la explotación de la invención por él patentada. Esto significa que, a diferencia de lo que ocurre con el derecho de autor, no hace falta que se copie el programa para que haya infracción de patente. Ello es especialmente relevante en un sector como el de la informática, en el que distintas empresas, actuando independientemente y sin copiar a sus competidores, pueden llegar a desarrollar programas, inspirados en ideas similares, que solucionen los mismos problemas técnicos.
Junto a ello, contar con una patente, es decir, con un título oficial que acredita a quien lo ostenta como titular de los derechos que concede la Ley de Patentes, puede marcar la diferencia entre conseguir o no inversores. Por ello, las patentes son un activo esencial para las empresas innovadoras, especialmente para las startups.
Así las cosas, resulta que tanto la protección por derecho de autor como por patente ofrecen ventajas e inconvenientes. La buena noticia es que una y otra no son incompatibles entre sí. Efectivamente, el artículo 96 LPI dispone que “Cuando los programas de ordenador formen parte de una patente o un modelo de utilidad gozarán, sin perjuicio de lo dispuesto en la presente Ley, de la protección que pudiera corresponderles por aplicación del régimen jurídico de la propiedad industrial”.
Por tanto, en cada caso deberá valorarse en primer lugar si es posible patentar el programa informático, lo cual depende de los criterios establecidos en la legislación de cada país (en Europa, como hemos visto, se requiere que el programa solucione un problema técnico). A continuación, en caso de que sea posible la patente, deberá realizarse un análisis coste/beneficio para decidir en qué países conviene solicitar la patente y en cuáles se confiará la protección jurídica del programa únicamente al derecho de autor.
En cambio, si se prefiere optar por la protección mediante secreto empresarial, ésta no podrá compatibilizarse con la patente porque son incompatibles por naturaleza: la patente es pública mientras que el secreto empresarial, obviamente, ha de mantenerse en secreto.
En España, los secretos empresariales están regulados en la Ley 1/2019, de 20 de febrero, de Secretos Empresariales (LSSEE), que dispone los requisitos que una información debe cumplir para ser considerada secreto empresarial. En primer lugar, ha de ser secreta, es decir, que la información de que se trate no sea generalmente conocida en el ámbito al que se refiera (el ámbito de la informática cuando hablamos de programas de ordenador), ni tampoco fácilmente accesible.
Esta última precisión es de gran importancia para el tema que nos ocupa pues si, como se ha comentado anteriormente, la Ley de Propiedad Intelectual permite descompilar, aún de forma limitada, el software, será difícil sostener que éste no es fácilmente accesible. Por tanto, cuando nos refiramos a programas que son libre y fácilmente descargables desde Internet, no parece que el secreto empresarial sea la mejor opción de protección. Ahora bien, existen otros programas que sí pueden ser mantenidos en secreto. Imaginemos que una empresa desarrolla, por ejemplo, un software para la gestión de bases de datos. Este programa será utilizado por la propia empresa desarrolladora o licenciado a otros clientes (empresas, instituciones, etcétera), pero no será fácilmente accesible en Internet; su acceso es restringido. Así pues, este software para la gestión de bases de datos de nuestro ejemplo sí podría cumplir el requisito de ser una información secreta. Además, más allá de la protección del software que las hace funcionar, las bases de datos en sí mismas también están protegidas por el derecho de autor, en los artículos 12 y 133 a 137 LPI.
Sin embargo, no basta que una información no sea fácilmente accesible para que resulte protegida por la Ley de Secretos Empresariales. También es necesario que el titular de la información haya tomado medidas razonables para preservar el secreto. Estas medidas pueden ser técnicas (control de acceso con usuario y contraseña a las bases de datos donde se almacena la información, videovigilancia en zonas sensibles, etc.), contractuales (acuerdos de confidencialidad o Non Disclosure Agreements (NDA) con clientes y empleados…), u organizativas (limitación de la información accesible por los empleados con base en las funciones que desempeñan, devolución de información confidencial al término de la relación de trabajo…).
Como último requisito, la información objeto del secreto empresarial ha de ser valiosa desde una perspectiva empresarial. Este valor no tiene que ser necesariamente actual, sino que puede ser potencial, ya que se trata de un secreto y puede que éste se refiera a un producto aún no comercializado. Por ejemplo, un programa informático en fase de desarrollo no tiene un valor económico actual, pues al estar inacabado no es comercializado y no genera ingresos de ningún tipo, pero sí tiene un valor potencial, pues existe la expectativa de que, en un futuro, cuando se complete su desarrollo y se ofrezca en el mercado, sí pueda generar ingresos para la empresa.
Cumpliéndose los tres requisitos indicados (secreto, medidas razonables para preservarlo, valor empresarial), el programa de ordenador puede ser considerado un secreto protegible por la LSSEE. Esta protección ofrece importantes ventajas: en primer lugar, al igual que ocurre con el derecho de autor y a diferencia de la patente, la consideración como secreto empresarial no está sujeta al cumplimiento de requisitos formales y la protección que dispensa no está restringida a un territorio.
Además, el secreto empresarial tiene la característica única de que su duración es indefinida. A diferencia de lo que ocurre con el derecho de autor y la patente, la protección que otorga el secreto empresarial no está sujeta a plazo legal alguno, sino que se prolongará por todo el tiempo por el que pueda conservarse el secreto.
Sin embargo, esta última es también su principal desventaja, ya que una vez el secreto es desvelado se pierde la protección que dispensa la LSSEE.
Como ha podido verse a lo largo de este artículo, a la hora de proteger el software, el derecho de autor, la patente y el secreto empresarial tienen cada uno su propio ámbito de aplicación, sus ventajas y desventajas. Por ello, cuando se pretende la protección jurídica de los programas informáticos es necesario trazar una estrategia que valore los pros y contras de cada una de las fórmulas indicadas, considerando el alcance de la protección que quiere darse a estos activos y ponderando el coste/beneficio. En consecuencia, al diseñar esta estrategia es muy recomendable contar con el asesoramiento y apoyo de expertos en la materia.
En Bamboo somos especialistas en patentes y marcas, y podremos ayudarte en cualquiera de los trámites mencionados.
[Artículo escrito por Luis Mª Benito Cerezo]
