Es uno de los principios que nació con la aprobación del Reglamento Europeo de Protección de Datos y la LOPDGDD y, a la vista de las últimas resoluciones emitidas por distintas Agencias de Protección de Datos a nivel europeo, este principio es la piedra angular del cumplimento de la normativa que ha llegado a Europa para quedarse, y con fuerza.

La minimización es la obligación impuesta a las empresas de no recabar, tratar ni almacenar más datos personales de los necesarios y durante un período de tiempo indefinido o demasiado largo, especialmente por los riesgos que esto puede suponer para los derechos y libertades de los interesados.

Minimizar debe hacerse desde el diseño

La minimización se configura como un principio que debe cumplirse desde el diseño. El empresario debe decidir desde el inicio qué datos personales va a tratar, cómo los va a tratar y cuanto tiempo los va a conservar. Es necesario cerciorarse, siempre previamente a la obtención, que el tratamiento de datos estará justificado con una necesidad que surja de la propia actividad empresarial.

Si bien por la definición que nos da la Ley puede parecer que es un principio fácil de cumplir, no lo es en absoluto. En la práctica nos encontramos numerosas dudas que no son fáciles de responder. 

A modo de ejemplo, la selección de personal:

Un seleccionador puede pedir más o menos información para elegir al candidato más adecuado, pero ¿Dónde está el límite aceptable? ¿realmente toda la información que solicita es decisiva para elegir al candidato? ¿Podría llegar al mismo punto solicitando menos información de carácter personal?

Estas cuestiones deben plantearse antes y diseñar un punto de equilibrio entre el cumplimento óptimo de los objetivos del tratamiento y el respeto por el derecho a la protección de datos de los interesados.

Recientemente hemos podido ver distintas resoluciones a nivel estatal y europeo que ejemplarizan tanto la importancia de este principio como lo complicado que es poner límites. Vamos a explicar tres ejemplos muy gráficos:

Copia del DNI en Hotel

Es una práctica habitual del sector hotelero (también en apartamentos de uso turístico) solicitar copia del DNI en el momento de realizarse el registro de entrada. Sin embargo, mediante una resolución de marzo de 2022, impuso una multa de 30.000 Euros a un establecimiento por considerar que solicitando la copia del DNI estaba vulnerando el principio de minimización.

Lo cierto es que los hoteles piden el DNI en cumplimiento del artículo 25 de la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana, que establece que los establecimientos están obligados a ” las obligaciones de registro documental e información en los términos que establezcan las disposiciones aplicables”. Según la AEPD, esta norma legitima a recoger algunos datos personales. En concreto:

• Número de documento de identidad
• Tipo de documento
• Fecha de expedición
• Nombre y apellidos
• Sexo
• Fecha de nacimiento
• País de nacionalidad
• Fecha de entrada
• Firma del viajero

Sin embargo, en el DNI salen más datos, como la fotografía y los nombres del padre y de la madre.

La AEPD aclara que se podrán registrar los datos, pero no usar la fotografía del DNI sin consentimiento porque este uso no viene impuesto por la Ley mencionada.

Sanción al motosharing por geolocalizar sus vehículos más de la cuenta

La CNIL (en cooperación con la AEPD y la agencia italiana) impone una sanción de 125.000 Euros a la compañía CITYSCOOT por recabar la localización de sus vehículos cada 30 segundos, además de mantener un registro de estos viajes.

Se considera que su vulneración el principio de minimización de datos, al recabar datos excesivos para las finalidades previstas, que era: tramitaciones de infracciones de tráfico, gestión de quejas de clientes, soporte al usuario y gestión de reclamaciones y robos. Se considera que ninguna finalidad justifica que se acceda a toda la ruta en cada momento y que debería bastar con localizar el origen y el destino del vehículo.

ChatGPT investigado en varios países

Recientemente se hizo eco de la noticia de que ChatGPT había sigo bloqueado en Italia porque se tenían serias dudas de que cumpliera con la legislación vigente en materia de protección de datos. El bloqueo y la investigación desde Italia llegaron apenas unos días después de que dos importantes organizaciones pidieran investigar a ChatGPT por protección de datos y su impacto en los consumidores.

Varias agencias denuncian “la ausencia de base jurídica que justifique la recogida y almacenamiento masivos de datos personales con el fin de “entrenar” los algoritmos que gestionan el funcionamiento de la plataforma”. Se trata, por lo tanto, y entre otros posibles incumplimientos, una cuestionamiento claro al principio de minimización.

¿Qué finalidad tiene la Ley?

La Ley otorga una protección frente a las represalias a las personas físicas que informen sobre acciones u omisiones que puedan se constitutivas de infracción penal o administrativa grave o muy grave y que sucedan dentro de la empresa (pública o privada) donde prestan servicios.

La principal finalidad de trasponer la Directiva Europea 2019/1937, conocida como Directiva Whistleblowing, que obliga a los estados miembros a establecer canales para potenciar la colaboración ciudadana en la detención de infracciones normativas y luchas contra la corrupción.

¿A quien protege?

La protección se extiende a empleados, autónomos, participes, contratistas y subcontratistas, proveedores, becarios y asimilados, siempre que sean informantes de información sobre infracciones en un contexto laboral o profesional. Se extiende la protección a las personas que asistan al informante en el proceso y puedan sufrir represalias por ello.

¿A quién obliga?

1. Personas físicas o jurídicas del sector privado que tengan en plantilla más de 50 trabajadores.
2. Empresas relacionadas con servicios, productos y mercados financieros, prevención del blanqueo de capitales o de la financiación del terrorismo, seguridad del transporte y protección del medio ambiente.
3. Cualquier organización que reciba fondos públicos por su actividad.
4. Grupos de sociedades que en conjunto cumplan con los requisitos anteriores.
5. Todas las entidades que integran el sector público.

¿Cuáles son las obligaciones?

1. Establecer un canal de denuncias:

La principal medida que deben implantar las empresas obligadas es la de establecer un canal interno de denuncias, que debe cumplir con los requisitos establecidos ampliamente en los artículos 4 y siguientes de la Ley.

Las características más destacables de este canal son, entre otras, las siguientes:

1. Debe permitir a todas las personas protegidas por la Ley denunciar eficazmente acciones u omisiones que pueden ser constitutivas de infracción penal o administrativa grave o muy grave y que estén relacionadas con la empresa.
2. Estar diseñado, establecido y gestionado de una forma segura, de modo que se garantice la confidencialidad de la identidad del informante y de cualquier tercero mencionado en la comunicación, y de las actuaciones que se desarrollen en la gestión y tramitación de esta, así como la protección de datos, impidiendo el acceso de personal no autorizado.
3. Permitir la presentación de comunicaciones por escrito o verbalmente, o de ambos modos.
4. Permitir el anonimato y establecer todas las garantías de protección al informante.

Debe nombrarse un responsable del Sistema que deberá ser notificado a la Autoridad Independiente de Protección del Informante (A.A.I.). El responsable del Sistema deberá desarrollar sus funciones de forma independiente y autónoma respecto del resto de los órganos de la entidad, no podrá recibir instrucciones de ningún tipo en su ejercicio, y deberá disponer de todos los medios personales y materiales necesarios para llevarlas a cabo.

  2. Diseñar y publicar un protocolo público de gestión de informaciones:

La empresa obligada proporcionará la información adecuada de forma clara y fácilmente accesible, sobre el uso de todo canal interno de información que hayan implantado, así como sobre los principios esenciales del procedimiento de gestión. En caso de contar con una página web, dicha información deberá constar en la página de inicio, en una sección separada y fácilmente identificable.

El protocolo establecerá las previsiones necesarias para que el Sistema interno de información y los canales internos de información existentes cumplan con los requisitos establecidos en la ley.

Este documento a disposición de todos los interesados deberá identificar el sistema que el informante tiene a su disposición para establecer una denuncia, así como describir perfectamente su funcionamiento para que el denunciante tenga a salvo todos sus derechos y garantías.

   3. Nombrar un Delegado de Protección de Datos 

Se exige que las entidades obligadas a disponer de un Sistema interno de información cuenten con un delegado de protección de datos.

Cabe decir que existe cierta confusión en este punto, ya que la Ley no establece esta obligación de forma específica en el artículo 34 (cuando se establece la obligación de nombrar DPD a las A.A.I.). Sin embargo, el preámbulo de la Ley sí establece la existencia de esta obligación de forma expresa. Al parecer la obligación de nombrar DPD podría derivar de la regulación establecida en el título VI de la Ley, en cuanto a las medidas relativas a la protección de datos que debe implantar la empresa que tiene un canal de denuncias ( con todo lo que ello implica), y esto sería consecuencia directa de la aplicación del RGPD y la LOPDGDD al canal de denuncias. Veremos si es así o bien se trata de un error que puede ser corregido en los próximos meses.

    4. Prohibición de represalias

Se prohíben expresamente los actos constitutivos de represalias, incluidas las amenazas de represalia y las tentativas de represalia contra las personas que presenten una comunicación conforme a lo previsto en la ley. Se incluye como represalia la suspensión del contrato, despido, daños reputacionales, coacciones, intimidación, evaluaciones negativas, listas negras, denegación de licencias y/o permisos, denegación de formación, discriminación en general o trato desfavorable o injusto.

¿Qué es la A.A.I?

Además de los canales internos a los que hemos hecho referencia, la Ley regula la creación de un organismo externo para gestión de denuncias, que es la Autoridad Independiente de Protección de Informante (A.A.I.).

¿Qué sanciones prevé la Ley frente al incumplimiento?

La Autoridad Independiente de Protección del Informante, A.A.I., ejercerá la potestad sancionadora por la comisión de infracciones.

La ley prevé el siguiente régimen sancionador:

1. Si son personas físicas las responsables de las infracciones, serán multadas con una cuantía de 1.001 hasta 10.000 euros por la comisión de infracciones leves; de 10.001 hasta 30.000 euros por la comisión de infracciones graves y de 30.001 a hasta 300.000 euros por la comisión de infracciones muy graves.
2. Si son empresas serán multadas con una cuantía hasta 100.000 euros en caso de infracciones leves, entre 100.001 y 600.000 euros en caso de infracciones graves y entre 600.001 y 1.000.000 de euros en caso de infracciones muy graves

A modo de ejemplo, el no disponer del canal de denuncias se considerar una infracción muy grave, por lo que la sanción sería de entre 600.001 y 1.000.000 euros.

En caso de considerar o tener dudas de si le afecta la Ley, puede contactar con nosotros por los medios habituales. Actualmente contamos con los medios suficientes para ayudarles a implantar el canal de denuncias, diseñar el protocolo público o ser sus Delegados de Protección de Datos.

Seguir hablando de internet como una novedad es cosa del pasado, ahora que ocupa un rol central en nuestras vidas. Desgraciadamente lo que aún no es cosa del pasado son las campañas de desprestigio, insultos gratuitos y difamaciones que podemos encontrar en redes sociales y foros, últimamente en aumento, especialmente contra personas LGTB. La sensación de impunidad y la facilidad con la que se puede atacar a otros hacen que las redes sean un caldo de cultivo de este tipo de comportamientos.

Cuando estas agresiones pasan de ser algo esporádico o puntual para convertirse en algo continuado y dirigido a una persona concreta, se convierten en lo que conocemos como ciberacoso. Este puede tomar distintas formas, ya sea realizar comentarios amenazantes u ofensivos hacia alguien, enviar mensajes privados amenazantes o insultantes desde distintas cuentas creadas tan solo para eso, publicar sin el consentimiento de la víctima imágenes o videos suyos con la intención de causarle un daño, o bien difundir bulos o mentiras que tengan como objetivo minar la reputación o imagen de la persona atacada. Incluso simplemente señalar en un medio de comunicación la orientación sexual de una persona puede ser contrario al honor y constituir una vulneración de la intimidad personal, si dicha afirmación no guarda relación con la noticia en cuestión.

Las campañas de acaso y derribo pueden causar graves daños a la persona a la que va dirigidas. No solo puede verse dañada su reputación y su dignidad, sino que además también acostumbran a causarse secuelas psicológicas, necesitando la persona agraviada ayuda profesional para poder seguir adelante. Además, el hecho de que esto ocurra en redes contribuye a darle una difusión que en determinados casos puede ser hasta internacional, y tiene como consecuencia el hecho de que en ocasiones resulta casi imposible hacer desaparecer de internet el contenido difundido.

El ciberacoso puede ser constitutivo de distintos delitos, ya sea de injurias y calumnias, de amenazas, contra la integridad moral, o incluso un delito de discurso de odio punible. De la misma manera, si se causan daños reputaciones, morales, o psicológicos, podremos acudir a los Tribunales para obtener una indemnización por estos. Para protegernos de este tipo de ataques debemos tomar medidas cuanto antes para prevenir daños, y en caso de que ya se hayan producido, para exigir una compensación por estos.

En la mayoría de los casos la mejor respuesta es el blanqueo y la denuncia de la cuenta que nos ataca, pero esto simplemente no es efectivo cuando se trata de un acoso continuado y/o se están haciendo comentarios públicos que están ganando una amplía difusión. La mayoría de casos no se denuncian, ya que a veces la víctima no conoce sus derechos o bien cree que el procedimiento puede suponer una revictimización, cuando ello no debe ser así. Estar bien asesorados es el primer paso para frenar el acoso de forma eficaz.

En casos de ciberacoso deberíamos directamente solicitar asesoramiento de un profesional para intentar llegar a un acuerdo extrajudicial que implique la eliminación de todos los contenidos ofensivos subidos, una disculpa pública, y de ser procedente, una indemnización económica. De no ser eso posible, interpondríamos una demanda judicial para acabar con el acoso. Si tienes dudas sobre tu caso concreto, contacta con nosotros y te ayudaremos a solucionar el conflicto de la forma más rápida y discreta posible.

Determinar qué medidas técnicas y organizativas son las ‘medidas apropiadas’ no es tarea fácil. Si bien con la normativa anterior disponíamos de una especie de “guía” de lo que debíamos hacer, con la normativa actual queda en la esfera del empresario definir cuáles son las medidas adecuadas para mantener indemne la información de ataques y/o incidentes, internos o externos.

La experiencia nos dice, por otro lado, que garantizar la protección de los datos personales sin margen de error, siempre y en todo caso, es una imposibilidad material. Los elementos de riesgo son muchas veces impredecibles y a pesar de actuar con la diligencia debida y adaptarnos al RGPD, es muy posible que, tarde o temprano, topemos con una brecha de seguridad de los datos.

A ello debemos sumar una complejidad más, la obligatoriedad de notificar a la AEPD determinadas brechas de seguridad en un plazo de 72 horas desde que se conocío la brecha.

¿Cómo sabe el empresario que ha tomado las medidas adecuadas?

Es importante tener en cuenta que recae sobre el empresario y responsable de tratamiento la obligación de garantizar la plena seguridad de los datos personales de clientes, trabajadores, proveedores, usuarios, etc. Inclusive cuando estos datos son tratados por nuestros proveedores de servicios. Disponemos de herramientas que la propia legislación define a tal efecto, como el análisis de riesgos o las evaluaciones de impacto, para ayudarnos a definir cuales son las medidas adecuadas, pero aún así, en la mayoría de tratamientos, esto no nos garantizará nada.

Garantizar la custodia y seguridad de los datos que se encuentran dentro de nuestra esfera de control es difícil; garantizar su indemnidad cuando son tratados por nuestros proveedores, es una misión imposible. Cualquier fallo en la cadena de custodia de nuestros datos puede ser interpretada por la autoridad competente, la AEPD, como una consecuencia de una falta de diligencia sancionable. Siempre que los derechos y libertades de las personas de las tengamos datos se vean comprometidos, la AEPD nos considerará sancionables. Y las sanciones de la Agencia en materia de protección de datos son, como bien saben, de importes muy elevados.

Es imprescindible la firma de un contrato cuando delegamos el tratamiento a un tercero.

Es por ello, que resulta absolutamente imprescindible concertar con todos nuestros proveedores de servicios y subcontratas el preceptivo acuerdo de Encargo de Tratamiento de los datos. Un contrato de ‘ET’ bien planteado a nuestra estructura empresarial y que sea suficientemente garantista. En el evento de una brecha, debemos poder utilizarlo para  depurar responsabilidades.

Los seguros que protegen incidencias de Ciberseguridad y sanciones de la AEPD.

Al auxilio de DPDs, autónomos y PYMEs, se han lanzado las aseguradoras. En la actualidad, empiezan a ser comunes las pólizas de responsabilidad civil específicas en materia de protección de datos. Concretamente, muy relevantes son aquellas destinadas a la protección de las empresas frente a ciber ataques y que llegan inclusive a cubrir el coste de las sanciones de la AEPD.

La mayoria de las compañías aseguradoras cuentan hoy en día con “Ciber Seguros”, y algunas lo amplían a las contingencias que puedan surgir por una vulneración de la normativa de Protección de Datos. Los seguros de protección de datos son un tipo de seguro destinado a cubrir los daños económicos que puedan resultar de una brecha de seguridad u otros ciberataques que pongan en riesgo o produzcan filtraciones de los datos personales que una empresa puede tener en su poder para su tratamiento. Pueden cubrir desde daños a terceros hasta las multas de la AEPD, y cubrir incluso los costes de defenderse ante una sanción. Es importante, antes de contratar un seguro de este tipo ver bien qué incluye y que no, puesto que las contingencias ante una brecha de seguridad pueden ser variadas y de índoles muy diferentes.

¿Recomendamos en Auris contratar este tipo de Seguros?

La respuesta es un sí rotundo.

Estos seguros se ofrecen a empresas que acreditan cumplir con la normativa, pero como hemos dicho el cumplir con la normativa no garantiza que no suframos ataques. Lo vemos con empresas que, aun cuando cumplen perfectamente con la normativa, y tienen elevadas medidas de seguridad, son vulnerables porque reciben constantes ataques, bien por tener una cierta cantidad de datos, bien por tener cierta notoriedad, bien porque los datos que tienen pueden resultar atractivos a terceros.

En Auris Advocats, tras años de especialización en materia de Protección de Datos, compaginamos el servicio de Delegado de Protección de Datos externalizado para PYMES y empresas con la contratación en distintas compañías de este tipo de seguros.

La experiencia nos dice que, de forma complementaria a un correcto cumplimiento, se gana mucho en tranquilidad contratándolo.

Estamos a vuestra disposición por si precisáis de información desarrollada sobre nuestro catálogo de servicios en cuestión de protección de datos, queréis saber qué tipo de seguro os interesa o queréis información sobre qué compañías ofrecen los seguros más completos.

Xavi Saula
Abogado, Socio Cofundador y DPD.

Entendemos por “influencer” una persona que, mediante su presencia en redes sociales, adquiere una cierta notoriedad y explota su marca personal realizando como actividad económica, sobre todo, publicidad para terceros. Repasemos algunas de las últimas novedades en la regulación que cualquier influencer o empresa que con éstos colabore deberían conocer:

Obligaciones vigentes en materia de publicidad

Actualmente, los influencers que realicen publicidad en redes están sujetos tanto a la Ley 34/1988, de 11 de noviembre, General de Publicidad como a la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico. Estas leyes exigen que en las comunicaciones comerciales sea claramente identificable el carácter publicitario de las mismas y la persona física o jurídica anunciante. De lo contrario, estarían realizando publicidad encubierta.

Códigos de Conducta

En enero de 2021 entraron en vigor dos Códigos de Conducta, elaborados por Autocontrol (el organismo independiente de autorregulación de la industria publicitaria en España) y por la Agencia Española de Protección de Datos. Se pretende que los consumidores puedan identificar rápidamente si cierto contenido es de carácter publicitario o no, y se establece un nuevo sistema de tramitación de reclamaciones sobre protección de datos y publicidad. Estos códigos solo son vinculantes para las empresas e influencers que se hayan adherido a ellos voluntariamente.

Para poner un ejemplo de la clase de recomendaciones que se ofrecen, un Dictamen emitido por un órgano integrado en Autocontrol, del 5 de marzo de 2021 entendió que el uso de la coletilla #ad (Abreviación de advertisement) era insuficiente, por no poder ser comprendida por la totalidad de destinatarios de la publicidad, por lo que debería haberse usado una fórmula como “publicidad/publi” “en colaboración con/gracias a” o “patrocinado por”.

Anteproyecto de Ley General de Comunicación Audiovisual

El pasado 28 de julio de 2021 la Comisión Nacional de los Mercados y de la Competencia emitió un informe sobre el Anteproyecto de Ley General de Comunicación Audiovisual en el que sugiere endurecer las obligaciones en materia de publicidad. Se propone ejercer un mayor control sobre el producto o servicio anunciado, por si fuese dañino para la salud o simplemente engañoso. También podría entenderse que aquellos influencers que artificialmente compran seguidores e interacciones estarían actuando de forma desleal, en infringiendo sus obligaciones en materia de competencia, por lo que podrían ser sancionados. Además, desde una perspectiva fiscal, sería obligatorio declarar como ingresos los obsequios y regalos obtenidos por parte de las empresas como contraprestación por la publicidad realizada.

En conclusión, este goteo de novedades legislativas nos obliga a permanecer atentos a las nuevas obligaciones que entrarán en vigor durante los próximos meses, así como a la jurisprudencia que irá perfilando la aplicación de la normativa existente a los influencers.

¿Cómo afectará esto a la política monetaria de El Salvador?

Para comenzar,  el artículo 7 “sobre el dictamen de la Ley Bitcóin“ establece que todas las empresas deben aceptar bitcoin como medio de pago para bienes y servicios a excepción de aquellos que evidencien que no disponen de la tecnología necesaria. También, se menciona que todas las contribuciones tributarias se pueden hacer con Bitcoin y que los intercambios no estarán sujetos a impuestos sobre las ganancias capitales.

Nayib Bukele, el presidente de El Salvador, asegura que esto es positivo para los salvadoreños ya que puede potenciar su economía, promover el uso de las energías renovables a mano de la minería verde de Bitcoin y que les permitirá enviar y recibir remesas desde el extranjero de manera ágil, segura y transparente.

Por supuesto, no es bitcoin todo lo que reluce: El Fondo Monetario Internacional (FMI) ha avisado a la asamblea ejecutiva de El Salvador sobre los riesgos a los que se expone el país al adoptar Bitcoin. Advierte sobre futuros problemas macroeconómicos, financieros y legales. Sin ir más lejos, el World Bank ha rechazado ayudar a El Salvador en los trabajos de adopción de Bitcoin justificando preocupaciones de transparencia y medioambientales. Aunque el ministro de finanzas de El Salvador, Alejandro Zelaya, asegura que el FMI no está en contra de que El Salvador implemente Bitcoin como moneda de curso legal.

Recientemente hablamos sobre la perspectiva jurídica de las criptomonedas. Suscríbete a nuestra newsletter para estar recibir avisos sobre nuevos artículos y webinars.

Francisco Osorio

comptabilitat@aurisadvocats.com

Especialidades:
Contable
Administrativo

A continuación, ofrecemos un resumen de lo que se indica en el documento:

1.- Legitimidad de tratamiento de datos del Trabajador:

• El tratamiento de los datos personales es legítimo, en primer lugar, por la ejecución del contrato de trabajo. El consentimiento no es prioritario, puesto que existe una relación de desequilibrio entre empleado y empleador.
• También viene legitimado por una obligación legal que tiene la empresa para cumplir las exigencias impuestas por la ley (por ejemplo, cotización a la Seguridad Social, obligaciones tributarias, registro de jornada, información y consulta con los representantes de las personas trabajadoras, etc.) o por un convenio colectivo.
• Determinados datos podrán tratarse adicionalmente atendiendo a un interés legítimo de la empresa.

2.- Cómo proporcionar la información al trabajador:

• El responsable del tratamiento, normalmente el empleador, debe informar a las personas trabajadoras, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre el tratamiento de datos que está llevando a cabo. Deberán detallarse los distintos tratamientos, la finalidad y la base jurídica que la legitima.
• El contrato de trabajo, o en un anexo al mismo, es un medio adecuado para cumplir con el derecho de información de las personas trabajadoras.

3.- Principio de minimización:

• El empleador tiene derecho a conocer los datos personales necesarios para el normal desarrollo de la relación laboral, entre ellos, y a titulo meramente ejemplificativo y no limitativo, los siguientes:
  • Nombre y apellidos de la persona trabajadora
  • Sexo
  • Número de DNI, número de identificación de extranjero y número de afiliación a la Seguridad Social
  • Nacionalidad
  • Discapacidad
  • Fecha de nacimiento
• Sin embargo, otros datos personales no resultan imprescindibles para la ejecución del contrato de trabajo, como, por ejemplo, los datos de contacto particulares del empleado. El tratamiento de estos datos por parte del empleador exige la concurrencia de una base jurídica diferente a la ejecución del contrato, como puede ser el interés legitimo, que habrá́ de demostrarse debidamente atendiendo a los principios de ponderación y proporcionalidad.
• Tampoco es licita la cesión genérica por contrato de los derechos de imagen, salvo que esa cesión sea necesaria para la ejecución del contrato. (Per ejemplo, la prestación laboral de carácter comercial que exija video llamadas, habiéndose establecido expresamente en el contrato de trabajo que es con el fin de desarrollar una actividad propia de telemarketing).

4.- Deber de garantizar las medidas de seguridad en relación con la información de empleados:

• Las medidas de seguridad deben garantizar la confidencialidad de los datos, la disponibilidad, y con ella su recuperación ante cualquier evento, y su integridad, protegiéndolos frente a cualquier manipulación no autorizada. La empresa debe disponer de políticas de cumplimiento de estos dos principios, pues con ellas no sólo se garantiza un derecho fundamental, sino que además se ofrece confianza y seguridad a los afectados.
• Por todo ello es muy recomendable diseñar las funciones y responsabilidades de la plantilla, formar adecuadamente a las personas trabajadoras garantizando que conozcan sus deberes de seguridad y secreto y designar a un delegado de protección de datos que pueda asesorar al en el cumplimiento de la normativa y el principio de responsabilidad proactiva de los empleados.

5.- Selección y contratación:

• El tratamiento de datos personales durante el proceso de selección no exige el consentimiento de la persona candidata. El tratamiento «debe ser lícito cuando sea necesario en el contexto de un contrato o de la intención de concluir un contrato» (considerando 44 RGPD).
• Es conveniente disponer de impresos tipo ya que ello permite informar adecuadamente y de dispondrá de la prueba de que se informado de todo lo necesario.
• Únicamente cabe pedir datos relevantes para el puesto y no información indiscriminada. Nunca se pedirá información especialmente protegida si no está amparado en una Ley (por ejemplo, antecedentes penales). La impresiones o valoraciones del que hace la selección se consideran datos personales
• Consulta de Redes Sociales por parte de la empresa: La indagación en los perfiles de redes sociales de las personas candidatas a un empleo sólo será́ posible cuando se demuestre que dicho tratamiento es necesario y pertinente para desempeñar el trabajo. Y la persona trabajadora tiene derecho a ser informada sobre ese tratamiento.
• La empresa no está legitimada para solicitar «amistad» a personas candidatas para que estas, por otros medios, proporcionen acceso a los contenidos de sus perfiles
• En el caso de las agencias de colocación y empresas de selección, éstas actuarán como encargadas del tratamiento cuando hayan celebrado previamente un contrato con la empresa que busca personas trabajadoras, que será́ la que determinará los fines y medios de dicho tratamiento.
• Será́ necesario el consentimiento de la persona candidata para que la empresa donde solicita trabajo ceda sus datos (por ejemplo, el currículum a otra), aunque las dos empresas formen parte de un mismo grupo empresarial.
• Salvo que la empresa justifique un interés legítimo, debe destruirse el currículum cuando finaliza el proceso de selección y la persona no es contratada.

6.- Identificación de personas empleadas ante clientes:

• Las tarjetas identificativas podrán ser obligatorias para los empleados, siempre y cuando se trate de actividades cara al público o por razones de seguridad. Esto puede incluir fotografías, siempre y cuando esté justificado, sin necesidad de tener el consentimiento del interesado.

7.- Categorías especiales de datos:

• Reconocimientos médicos: El reconocimiento médico es voluntario salvo que por ley se establezca como obligatorio (por ejemplo, actividades con riesgo de enfermedad profesional). Sin embargo, el tratamiento de datos no requiere el consentimiento, puesto que el art. 9.2.h) del RGPD admite la recogida y tratamiento de datos con fines de «medicina preventiva o laboral» y «evaluación de la capacidad laboral del trabajador».
• Pruebas psicotécnicas o psicológicas: Las pruebas psicotécnicas, de personalidad o las pruebas psicológicas son frecuentes en las entrevistas de trabajo y el tratamiento de datos obtenidos exige el consentimiento de la persona afectada. Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento.
• Ya en ejecución de la relación laboral, el tratamiento de categorías especiales de datos personales está prohibido con carácter general. Sin embargo, es lícito su tratamiento en las siguientes circunstancias

1. Con el consentimiento del afectado salvo que lo prohíba una norma: La LOPDGDD prohíbe tratar datos para identificar ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial.
2. Cuando sea obligatorio en el ámbito del Derecho Laboral y de la seguridad y protección social.
3. Cuando el tratamiento sea necesario para proteger intereses vitales del trabajador (por ejemplo, salud).
4. Cuando se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
5. Cuando sea necesario para fines de medicina preventiva o laboral, incluida la evaluación de la capacidad laboral de la persona.

En cualquier caso, el tratamiento de estos datos implica extremar las cautelas que permiten su acceso y su publicación debe hacerse de forma anónima.

• Los datos biométricos: los datos biométricos únicamente tienen la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno). Será posible el tratamiento en la ejecución del contrato, pero el trabajador siempre debe ser informado, deben establecerse las medidas de seguridad necesarias (como el cifrado de los datos, entre otras medidas).

Si se opta por un sistema de identificación biométrica, será́ necesario llevar a cabo una evaluación de impacto. En el caso de implementación de un sistema biométrico para controlar el acceso a una zona restringida, los datos biométricos de los trabajadores que ya no están autorizados a acceder a esa zona (por ejemplo, por cambio de puesto de trabajo) deben suprimirse.

8.- Sistemas internos de denuncia o “Whistleblowing”

• La Ley permite estos sistemas, aunque en todo caso deben respetarse los principios básicos de la protección de datos. La base jurídica para el tratamiento de datos es el interés público.
• Los empleados (denunciantes o potenciales denunciados) deberán haber sido informados previamente de la existencia de estos sistemas y del tratamiento de los datos que conlleva la formulación de una denuncia.
• Los sistemas deberían estar debidamente descritos en códigos internos de conducta para garantizar el principio de proporcionalidad y el principio de limitación de la finalidad.
• En caso de que el sistema de denuncias sea anónimo, la identidad del denunciante debe quedar realmente a salvo.
• Únicamente será́ lícito el acceso de otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.

9.- Registro de Jornada:

• El registro de jornada con el que deben contar todas las empresas de conformidad con lo dispuesto en el art. 34.9 del ET tiene su base jurídica en una obligación legal de incluir el horario concreto de inicio y finalización de la jornada de cada persona trabajadora.
• El derecho a la protección de datos no limita las opciones de una empresa en relación con el sistema de registro horario, aunque es recomendable que se adopte el sistema menos invasivo posible.
• No se requiere consentimiento porque deriva de una obligación legal, pero el trabajador debe ser informado.
• Debe cumplirse con el principio de minimización, y no debe ser de acceso público ni estar situado (en caso de ser manual) en un lugar visible.
• Debe respetarse la finalidad que impone la Ley. Como ejemplo, una persona trabajadora itinerante cuyo registro de jornada se realiza por geolocalización. La finalidad del registro de jornada es comprobar cuando la persona trabajadora comienza y finaliza el tiempo de trabajo, pero no verificar donde se encuentra en cada momento. Es un instrumento de comprobación del tiempo de trabajo y no del lugar donde se desarrolla la actividad.
• Es importante maximizar las medidas de seguridad, garantizar la confidencialidad y el DPD debería estar presente en todo el ciclo de vida de la documentación vinculada con el registro horario.

10.- Registro de salarios: 

• El registro de salario regulado en el art. 28.2 ET no tiene porqué implicar el tratamiento de datos, no obstante, el dato disociado podría convertirse en dato personal respecto de aquellas categorías o grupos profesionales con un reducido número de personas trabajadoras. Si esto sucede, deberán aplicarse las normas comunes de protección de datos.

11.- Cesión de datos a otras empresas (Grupos, contratas y transmisión):

• Grupos de empresa: Con carácter general, la comunicación de los datos entre empresas del mismo grupo exigirá́ acreditar un interés legítimo bien del responsable del tratamiento, o bien del tercero al que se comunican los datos. Ese interés legítimo puede consistir en la centralización de las actividades de carácter administrativo. Habrá́ que tomar en consideración factores como la estructura del grupo de empresas (horizontal o jerarquizado), la finalidad del tratamiento de datos o la movilidad de la persona trabajadora por distintas empresas del grupo.
• Transmisión: Es posible la cesión de datos por la obligación establecida en el artículo 44 ET, el CC o el pliego de cláusulas, según los casos. Los trabajadores deben ser informados, y la cesión no es lícita si el empleado rechaza la subrogación.
• Subcontratación: El art. 42 del ET establece diversas obligaciones y responsabilidades en supuestos de contratas y subcontratas relativas a la «propia actividad» de la empresa principal. Esto puede exigir la comunicación de datos personales de las personas trabajadoras entre el empleador principal y otras empresas de la cadena de contratas, pues la responsabilidad solidaria alcanza a la empresa principal. La obligación legal legitima esta cesión, pero deberemos ser cautos garantizando el principio de minimización.

12.- Protección de la información de víctimas de acoso en el trabajo o violencia de género:

• Los datos personales relativos a las victimas de acoso en el trabajo y a las mujeres supervivientes a la violencia de género, y en particular su identidad, tienen, con carácter general, la consideración de categorías especiales de datos personales y, en todo caso, son datos sensibles que exigen una protección reforzada.

13.- Extinción de la relación laboral:

• Deberán tomarse las medidas oportunas y procederse al bloqueo de datos (salvo casos de interés legítimo, como la recepción de una demanda). Se conservarán atendiendo a los plazos de prescripción establecidos en la normativa laboral.

14.- Control de la actividad laboral:

• El control empresarial con la implantación de nuevas tecnologías incrementa el riesgo de afectación a los derechos de las personas trabajadoras, por su gran potencial invasivo: controles biométricos como la huella dactilar, videovigilancia, geolocalización, etc.
• Por ello, la implantación de medidas de control exige realizar una prueba de proporcionalidad en el que debe valorarse si la medida de control: Es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); Es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); Es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).
• Superado el test, el empleador podrá́ adoptar la medida de control, pero deberá respetar el derecho a la protección de datos si se produce un tratamiento de datos personales: informando al empleado y recabando los datos estrictamente necesarios.

15.- Videovigilancia:

• La base jurídica para el control de las personas trabajadoras mediante videovigilancia es el contrato de trabajo y las facultades legales de control concedidas al empleador (art. 20.3 del ET), por lo que no se requiere el consentimiento.
• Debe cumplirse con el principio de minimización, en número de cámaras, ubicaciones, etc.
• La empresa debe informar a las personas trabajadoras y, en su caso, a sus representantes, con carácter previo, y de forma expresa, clara y concisa, acerca de esta medida.
• Está prohibida la instalación de sistemas de grabación de imagen y/o sonido en lugares destinados al descanso o esparcimiento de las personas trabajadoras, tales como vestuarios, aseos, comedores y análogos.

16.- Geolocalización:

• El art. 90 de la LOPDGDD permite el uso de sistemas de geolocalización para el control de las personas trabajadoras. La base que legitima el tratamiento no es el consentimiento, sino el contrato de trabajo y las facultades de control de las personas trabajadoras atribuidas legalmente a los empleadores.
• Las personas trabajadoras y, en su caso, sus representantes deben ser informados de forma expresa, clara e inequívoca acerca de la existencia y características de estos dispositivos. Los principios de minimización y limitación de la finalidad son plenamente operativos. Por consiguiente, si la finalidad de la geolocalización es el registro horario, los datos no podrán ser utilizados para verificar la ubicación de la persona trabajadora en cada momento.
• La geolocalización puede no tener como objeto a la persona trabajadora, sino el de ser herramientas propiedad del empleador, como vehículos o dispositivos móviles. Los empleadores deben asegurarse de que los datos recogidos a través de esta vía se traten con un fin especifico y no cuenten con un propósito más amplio que permita la observación continua de las personas trabajadoras.

17.- Control por falta de asistencia por enfermedad o accidente:

• El empresario puede verificar el estado de enfermedad o accidente del trabajador mediante reconocimiento a cargo de personal medico. La negativa del trabajador a dichos reconocimientos podrá́ determinar la suspensión de los derechos económicos que pudieran existir a cargo del empresario por dichas situaciones (art. 20.4 del ET).
• La empresa no está legitimada para conocer los detalles concretos del reconocimiento médico, sino únicamente la conclusión, esto es, si la persona trabajadora está o no en condiciones psicofísicas de reincorporarse a su puesto de trabajo.

18.- Uso de detectives privados.

• Si bien están permitidos bajo las facultades que habilita al empresario el ET, está prohibido investigar la vida íntima que transcurra en el domicilio o otros lugares reservados, y en el informe únicamente se hará́ constar información directamente relacionada con el objeto y finalidad de la investigación contratada, sin incluir en él referencias, informaciones o datos que hayan podido averiguarse relativos al cliente o al sujeto investigado, en particular los de carácter personal especialmente protegidos, que no resulten necesarios o que no guarden directa relación con dicho objeto y finalidad ni con el interés legítimo alegado para la contratación.

19.- Representación Sindical de las personas trabajadoras:

• El tratamiento de datos por parte de los representantes de los trabajadores sólo será posible cuando se traten los datos necesarios para las funciones de representación. No es admisible el tratamiento de datos privados de la persona trabajadora, como el número de teléfono personal. Sí lo sería, en cambio, la identificación de las personas trabajadoras que ocupan cada puesto de trabajo con nombre y apellidos, por ejemplo.
• El empleador no debe ceder a los representantes más datos de los imprescindibles para realizar sus funciones (minimización de datos).
• El tratamiento de datos requiere cumplir la obligación de informar a las personas trabajadoras.
• La publicación de notas informativas, anuncios, convocatorias, declaraciones e incluso sentencias en este tipo de tablones constituye una práctica habitual. La evolución tecnológica ha dado lugar a tablones online. Cuando esas notas, anuncios o documentos contienen datos personales, la simple publicación constituye un tratamiento que puede comportar el acceso a datos por terceros carentes de legitimación. Sólo los usuarios legitimados deben tener acceso al tablón de anuncios. Un tablón del que se pueda obtener información sindical no puede ubicarse en una zona de acceso libre para clientes o proveedores.
• Los representantes o el comité de empresa únicamente podrán comunicarse datos cuando resulte estrictamente necesario para el cumplimiento de los deberes que el ET establece para la empresa. En este marco, no hace falta el consentimiento de la persona trabajadora para entregar la copia básica del contrato.
• La legislación española exige en todo caso el consentimiento de la persona trabajadora a efectos del descuento de la cuota sindical.

20.- Vigilancia en la Salud:

• La vigilancia en la salud es una obligación que no implica un deber correlativo para las personas trabajadoras, pues los reconocimientos médicos a cargo del empleador son, con carácter general, voluntarios para aquellas, que deben prestar su consentimiento.
• Esta vigilancia de la salud puede ser obligatoria conforme al artículo 22.1 de la LPRL, previo informe de los representantes de las personas trabajadoras, en los siguientes supuestos:
  • Reconocimientos imprescindibles para evaluar los efectos de las condiciones de trabajo sobre la salud de las personas trabajadoras
  • Verificación de si el estado de salud de la persona trabajadora puede constituir un peligro para ella misma, para las demás personas trabajadoras, o para otras relacionadas con la empresa.
  • Obligación legal en relación con la protección de riesgos específicos y actividades de especial peligrosidad.
• Tanto si el reconocimiento médico es voluntario como si es obligatorio, la base jurídica para el tratamiento de datos personales derivados de esa vigilancia de la salud no seria el consentimiento, sino la ejecución del contrato.
• El cumplimiento del deber de información es esencial.
• Hay que prestar particular atención al principio de proporcionalidad, de modo que sólo cabe recabar y utilizar los datos estrictamente necesarios para la finalidad de prevención.
• El empleador no está legitimado para conocer el concreto diagnóstico médico, de modo que sólo podrá́ acceder a las conclusiones de dicha vigilancia de la salud referidas al concepto de «apto» o «no apto», o al desglose de las tareas que es posible realizar, con las recomendaciones pertinentes sobre la adaptación o el cambio de puesto.
• La empresa no tiene derecho a conocer datos de salud más específicos incluso cuando se refieran a una persona trabajadora especialmente sensible a los riesgos derivados del trabajo (por ejemplo, trabajadoras embarazadas, o personas con capacidades diferentes).
• La relación entre la empresa y el servicio de prevención requerirá́ un tratamiento de datos, en concreto comunicaciones de datos relativos a las personas trabajadoras, que no exigen el consentimiento de éstas porque la base jurídica es una obligación legal, la prevención de riesgos laborales.
  
  

Xavi Saula
xavi@aurisadvocats.com
Especialidades:
Área procesal civil y mercantil
Concursal
Nuevas tecnologías
Gestión de impagos y morosidad

La respuesta a esta cuestión, jamás abordada por el Tribunal Supremo, tiene una importancia capital para afrontar el cumplimiento de todas las medidas que establece la normativa vigente en materia de protección de datos. ¿Puede estar tranquilo el empresario que cumple escrupulosamente con la normativa incluso si por una circunstancia impredecible y ajena a su voluntad se produce una brecha de seguridad? O bien el resultado lesivo implicará en cualquier caso una sanción.

Desde nuestra experiencia profesional siempre hemos dado por hecho que la legislación de materia de protección de datos desarrolla normas de cumplimiento normativo y que, por lo tanto, impone un deber de medios, no de resultado. Sin embargo, la experiencia de un cliente nuestro parece contradecir esta teoría.

Hace aproximadamente tres años, se produjo en el seno de su organización una brecha de seguridad, derivada de un error humano impredecible, imputable a un empleado que había recibido formación específica en materia de LOPD, que había recibido manuales de conducta desarrollando las medidas, que había firmado un compromiso de confidencialidad, que tenía años de experiencia y que siempre había sido escrupuloso en el tratamiento de datos personales que tenia delegado. Cometió un error a la hora de enviar información a una dirección de correo electrónico equivocada, permitiendo que un destinatario no autorizado recibiera copia de 14 expedientes con datos personales de los clientes de la organización.

El receptor de dicha información interpuso denuncia en la AGPD y, tras una inspección, ésta sancionó a la empresa con una multa de 40.000 euros por considerar que el resultado lesivo implicaba que se había cometido la infracción, por “no adoptar las medidas técnicas y organizativas necesarias previstas, entre ellas, la adopción de medidas específicamente destinadas a impedir el acceso no autorizado por parte de terceros a los datos personales de sus ficheros”.  A pesar de este razonamiento, la AGPD nunca indicó cuales eran las medidas que debían haberse implementado y que nuestro representado había obviado, centrándose completamente en que el resultado lesivo implicaba que “no eran suficientes”.

Tras infructuosos recursos administrativos se interpuso demanda frente a la Audiencia Nacional, quién la desestimó por considerar, literalmente, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen, o acaben en manos de terceros (…) y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan con rigor.

En definitiva, la Sentencia (igual que las resoluciones administrativas emitidas por la AGPD) considera insuficientes por inoperantes todas las medidas de seguridad que hayan podido aplicarse a tenor de lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siempre que tenga lugar una brecha de seguridad de los datos, sea ésta de la naturaleza que sea. Es irrelevante plantearse si las medidas acreditadas eran todas las que se podían tomar por el mero hecho de que ha existido una fuga. En ningún caso se entra a valorar o a cuestionarse si las medidas que se ha acreditado tener implementadas eran las que se esperaba de nuestro representado en cumplimiento de la normativa, y ésta había seguido estrictamente no sólo lo que imponía la Ley, sino también las propias resoluciones y guías publicadas por la Agencia de Protección de datos.

Dicha obligación de resultado invalida de facto todo esfuerzo e inversión tecnológica y organizativa que pudiere ser implementado en materia de seguridad de los datos. Cumplir con los todos y cada uno de requisitos de seguridad que dispone la LOPD y su reglamento, no resulta de incidencia alguna llegado el momento de establecer el grado de incumplimiento normativo y su correspondiente sanción. Ni siquiera para graduar la sanción, algo que parece sorprendente.

Interposición de recurso de casación ante el Tribunal Supremo

Por todo ello se interpuso recurso de casación ante el Tribunal Supremo, alegando que la afirmación de la Audiencia Nacional de que se impone un deber de resultado se contradice con lo que parece desprenderse de la normativa vigente en materia de protección de datos y de otras resoluciones del mismo Tribunal. Además, alegamos que la cuestión de si se impone un deber de medios o de resultado reviste un interés general más allá del caso concreto. El Tribunal Supremo, mediante Auto de fecha 8 de Abril de 2021, nos admite el recurso, al entender lo siguiente:

La cuestión de interés casacional que plantea la recurrente consiste en determinar si las infracciones de la Ley de Protección de Datos por fallos de las medidas de seguridad que puedan cometer los empleados de una persona jurídica, deben examinarse en atención al resultado y, por lo tanto, imputarse a la persona jurídica de la que dependa el empleado, con independencia de los medios y medidas de prevención que hubiera podido adoptar. Y la cuestión así planteada no carece manifiestamente de interés casacional objetivo y plantea una cuestión jurídica de alcance general que trascienden del caso objeto del proceso, por lo que procede la admisión del recurso.

Esperamos impacientes la Sentencia del Supremo que aclare esta materia, puesto que, sin duda, esta puede cambiar por completo la perspectiva que tienen los obligados a implantar medidas concretas en cumplimiento de la legislación vigente en materia de Protección de Datos.

Xavi Saula
xavi@aurisadvocats.com
Especialidades:
Área procesal civil y mercantil
Concursal
Nuevas tecnologías
Gestión de impagos y morosidad

Por todo ello, hemos creído interesante lanzar un taller especial, tipo webinar, donde abordaremos el cumplimiento de la Normativa de Protección de Datos. Os convocamos a todos los interesados el próximo viernes 28 de mayo de 2021.

El equipo RGPD de Auris Advocats estamos diseñando un taller práctico para que conozcas  como adaptar tu negocio al RGPD y LOPDGDD. Queremos daros las claves para evitar las elevadas sanciones que se imponen por la Administración por su incumplimiento así como aclarar las dudas que vayan surgiendo durante la sesión a todos los participantes.

Si quieres apuntarte puedes hacerlo a través del siguiente enlace: APÚNTATE AQUÍ AL WEBINAR

Elisabet Gratti
elisabet@aurisadvocats.com
Especialidades:
Civil, Divorcios
Derecho de la persona, familia y sucesiones
Contratación y negociación

No es casual que éste paso sea la última opción a considerar en nuestra estrategia para lograr el cobro de lo impagado, ya que tiene ciertos inconvenientes a considerar. En primer lugar, las probabilidades de que consigamos el cobro efectivo de lo reclamado no son tan elevadas como cabría esperar. Si ya han pasado más de 6 meses y el cliente no ha abonado la factura emitida lo más probable es que se encuentre en una situación de insolvencia, por lo que deberemos competir con otros acreedores en una carrera a contrarreloj para ejecutar lo que pueda quedar en propiedad del cliente, todo ello si éste no ha entrado ya en concurso. Es por ello que resulta clave realizar un análisis económico del deudor para descubrir si tiene bienes susceptibles de ser liquidados, si está en fase pre-concursal, si es posible derivar responsabilidades a los administradores y una larga lista de etcéteras que nos dirán si resulta rentable o no acudir a los Tribunales. Y en segundo lugar también debemos tener en cuenta los honorarios de los profesionales que deberán intervenir en el procedimiento, motivo por el que resulta imprescindible agotar la vía extrajudicial en primer lugar.

Aunque el procedimiento judicial puede tener como objetivo lograr que el Tribunal obligue al deudor al pago, también puede ser muy útil para presionar a éste y lograr llegar a un acuerdo que, aunque posiblemente con una cierta quita de la deuda, nos permita cobrar por delante de otros acreedores. Existen tres procedimientos principales para solicitar la recuperación de lo debido, el monitorio, el cambiario y el declarativo.

Procedimientos de recobro judicial

El procedimiento monitorio tiene la ventaja de ser un procedimiento exprés, que de no haber oposición por parte del deudor nos generará un título judicial que podremos ejecutar directamente. Este procedimiento solo puede utilizarse cuando podamos acreditar documentalmente la existencia de la deuda, por ejemplo con una factura, incluso si no está firmada por el deudor. Este procedimiento está especialmente indicado para aquellos deudores que preveamos que no van a contestar al requerimiento de pago (ya sea por desidia o por haber cerrado de facto la empresa). Al ser el más sencillo también es el más barato, por lo que será ideal si nuestro objetivo es cumplir con los requisitos fijados por Hacienda para recuperar el IVA de la factura emitida al cliente. A pesar de ello el procedimiento habrá sido una pérdida de tiempo y esfuerzo si el deudor formula oposición razonada a éste, ya que nos obligará a continuar el procedimiento mediante el declarativo.

El procedimiento cambiario solo puede utilizarse cuando pueda aportarse letra de cambio cheque o pagaré que acrediten la deuda y que reúnan los requisitos legales para ello. Es un procedimiento con un porcentaje de éxito elevado, pero que no podemos usar a menudo debido a que en muchos casos no podemos acreditar la deuda mediante un documento de esas características.

Por último, el procedimiento declarativo viene a ser el juicio “tradicional”, en el que se exponen unos hechos y se interesa obtener una condena económica. Este procedimiento será el indicado cuando queramos derivar la responsabilidad hacia los administradores, o bien cuando el deudor quiera formular algún motivo de oposición artificioso para tratar de no pagar, normalmente tratando de descalificar el servicio o producto prestado.

Llegados a este punto deberemos ejecutar la sentencia obtenida, para lo que será clave conocer si el deudor puede tener bienes desconocidos para los Tribunales, aunque la probabilidad de recuperar lo debido será cada vez más escasa a medida que vaya transcurriendo el tiempo.

En conclusión, es vital evitar dilaciones indebidas a la hora de recurrir a los Tribunales, ya que si llegamos más tarde que el resto de acreedores nos complicaremos mucho el camino para cobrar aquello impagado, y resultará vital realizar una investigación del deudor y su situación tanto para aumentar las posibilidades de éxito del recobro como para establecer si será rentable interponer acciones judiciales o no. En Auris Advocats priorizamos la rentabilidad para el cliente, por lo que solo acudimos a los Tribunales si podemos prever que el procedimiento no será una pérdida de tiempo y dinero.

Juan Torrecilla, abogado de Auris Advocats

Especialidades:
Área Concursal
Área Mercantil
Procesal civil y mercantil