Blog

Actualidad

DIRECTRICES DEL COMITÉ EUROPEO DE PROTECCION DE DATOS SOBRE LOS ASISTENTES DE VOZ VIRTUALES Tercera Parte

Tratamiento de categorías especiales de datos.

Los VVA tienen acceso a información de carácter íntimo que puede protegerse en virtud del artículo 9 del RGPD, como los datos biométricos. Por lo tanto, los diseñadores y desarrolladores de VVA deben identificar cuidadosamente en qué casos el tratamiento implica categorías especiales de datos.

Consideraciones generales al tratar categorías especiales de datos.

Los VVAs pueden tratar categorías especiales de datos en diferentes circunstancias: (i) Como parte de sus propios servicios, por ejemplo, al gestionar las citas médicas en las agendas de los usuarios; (ii) Cuando actúan como interfaz para servicios de terceros, los proveedores de VVA procesan el contenido de los comandos. Un ejemplo podría ser cuando una usuaria emite órdenes a un VVA para que utilice una aplicación de terceros utilizada para hacer un seguimiento de su ovulación; y (iii) Cuando los datos de voz se utilizan con el fin de identificar de forma única al usuario.

Consideraciones específicas para el tratamiento de datos biométricos.

Algunos VVA tienen la capacidad de identificar de forma exclusiva a sus usuarios simplemente basándose en su voz. Este proceso se conoce como reconocimiento de plantillas de voz.

El reconocimiento de la voz del usuario sobre la base de una plantilla de voz equivale al tratamiento de categorías especiales de datos personales en el sentido del artículo 9 del RGPD (tratamiento de datos biométricos con el fin de identificar de manera única a una persona física). El tratamiento de datos biométricos con fines de identificación del usuario, requerirá el consentimiento explícito del sujeto o sujetos de los datos en cuestión.

Cuando se utilicen datos de voz para la identificación o autenticación biométricas, los responsables del tratamiento de datos deben hacer transparente dónde se utiliza la identificación biométrica y cómo se almacenan y propagan las huellas vocales (plantillas biométricas) entre los dispositivos.

Cuando el usuario registrado configura los VVAs para identificar la voz de sus usuarios, la voz de los usuarios no registrados y accidentales también será procesada con el fin de identificarlos de forma única. En otras palabras, la funcionalidad de reconocimiento de hablantes implementada en los asistentes de voz puede requerir que se registren los datos biométricos de la voz de las personas que hablan en el hogar, para permitir distinguir las características de la voz del usuario de las de la persona que desea ser reconocida. La identificación biométrica puede tener, por tanto, la consecuencia de someter a personas no informadas a un tratamiento biométrico, registrando su plantilla y comparándola con la del usuario que desea ser reconocido.

Para evitar esta recopilación de datos biométricos sin el conocimiento de los interesados y permitir al mismo tiempo que el usuario sea reconocido por el asistente, hay que dar prioridad a las soluciones basadas únicamente en los datos del usuario. En concreto, esto significa que el reconocimiento biométrico sólo se activa en cada uso a iniciativa del usuario, y no por un análisis permanente de las voces escuchadas por el asistente.

Mecanismos para Ejercer los Derechos de los Interesados.

En cumplimiento del RGPD, los responsables del tratamiento de datos que prestan servicios de VVA deben permitir a todos los usuarios, registrados y no registrados, ejercer sus derechos como interesados.

Los proveedores y desarrolladores de VVA deben facilitar a los interesados el control de sus datos durante todo el periodo de tratamiento, en particular facilitar su derecho de acceso, rectificación, supresión, su derecho a restringir el tratamiento y, en función de la base jurídica del tratamiento, su derecho a la portabilidad de los datos y su derecho de oposición.

El responsable del tratamiento debe proporcionar información sobre los derechos del interesado en el momento en que éste enciende un VVA y, a más tardar, en el momento en que se procesa la primera solicitud de voz del usuario.

Dado que el principal medio de interacción para los VVA es la voz, los diseñadores de VVA deben garantizar que los usuarios, registrados o no, puedan ejercer cualquier derecho del interesado, utilizando comandos de voz fáciles de seguir.

Los diseñadores de VVA y los desarrolladores de aplicaciones, en particular, deberían implementar herramientas específicas que proporcionen una forma eficaz y eficiente de ejercer tales derechos. Por lo tanto, deberían proponer para sus dispositivos una forma de ejercer los derechos de los interesados, proporcionándoles herramientas de autoservicio, como un sistema de gestión de perfiles.

En cuanto al ejercicio de los derechos de los interesados en caso de múltiples usuarios, cuando un usuario, registrado o no, ejerce uno de sus derechos, debe hacerlo sin perjuicio de los derechos de los demás usuarios.

Derecho de acceso

Según el artículo 12, apartado 1, del RGPD, la comunicación prevista en el artículo 15 debe realizarse por escrito o por otros medios, incluidos, en su caso, los medios electrónicos. Por lo que se refiere al acceso a los datos personales objeto de tratamiento, el artículo 15, apartado 3, establece que cuando el interesado presente la solicitud por medios electrónicos, y salvo que los interesados soliciten otra cosa, la información deberá facilitarse en un formulario electrónico de uso común. El interesado no debería estar obligado a comprar programas o equipos informáticos específicos para poder acceder a la información.

Por lo tanto, los responsables del tratamiento deben enviar, previa solicitud, una copia de los datos personales, y de los datos de audio (incluidas las grabaciones de voz y las transcripciones) en particular, en un formato común legible por el interesado.

Derecho de rectificación

Para facilitar la rectificación de los datos, los usuarios, registrados o no, deben poder gestionar y actualizar, en cualquier momento, sus datos por voz directamente desde el dispositivo VVA. Los usuarios deberían ser notificados por voz, o por escrito de la actualización.

Derecho al borrado

Los usuarios, registrados o no, deben poder, en cualquier momento, por voz desde el dispositivo VVA, o desde una herramienta de autoayuda integrada en cualquier dispositivo asociado al VVA, eliminar los datos que les conciernen.

El derecho de supresión pueda hacerse efectivo mediante la anonimización.

En algunos casos, sin una pantalla de terceros o la posibilidad de visualizar los datos almacenados (por ejemplo, una aplicación móvil o un dispositivo tabular), es difícil tener una vista previa de las pistas grabadas, para juzgar la pertinencia de las sugerencias. Para facilitar su uso, el asistente de voz debería disponer de un tablero (o de una aplicación) ampliamente accesible para borrar el historial de las peticiones realizadas y personalizar la herramienta en función de las necesidades del usuario.

Para cualquier tratamiento de datos y, en particular, cuando los interesados registrados consienten que las grabaciones de voz sean transcritas y utilizadas por el proveedor para la mejora de sus servicios, los proveedores de VVA deben poder, a petición del usuario, suprimir la grabación de voz inicial, así como cualquier transcripción relacionada de los datos personales.

El responsable del tratamiento debe garantizar que no se produzca ningún otro tratamiento tras el ejercicio del derecho de supresión. 

 

Derecho a la portabilidad de los datos

El tratamiento de datos realizado por los proveedores de VVA entra en el ámbito de aplicación de la portabilidad de los datos, ya que las operaciones de tratamiento se basan principalmente en el consentimiento del interesado.

En la práctica, el derecho a la portabilidad de los datos debería facilitar el cambio entre diferentes proveedores de VVA. En el caso de los AVS que operan en un entorno digital, en particular cuando la voz del interesado se registra en una aplicación o plataforma, el derecho a la portabilidad de los datos debería concederse para todos los datos personales facilitados por el interesado.

Además, el responsable del tratamiento debería ofrecer a los usuarios la posibilidad de recuperar directamente sus datos personales desde su área de usuario. Los usuarios también deberían poder ejercer este derecho mediante un comando de voz.

Los proveedores y desarrolladores de VVA deben ofrecer a los interesados un amplio control sobre los datos personales que les conciernen, con el fin de permitirles transferir los datos personales de un proveedor de VVA a otro.

Este derecho debe permitir al usuario recuperar, para su uso personal, los datos que haya comunicado mediante su voz (por ejemplo, el historial de interacciones de voz) y en el marco de la creación de su cuenta de usuario (por ejemplo: nombre y apellidos), en particular.

En cuanto al formato, los proveedores de VVA deben proporcionar los datos personales utilizando formatos abiertos de uso común (por ejemplo, mp3, wav, csv, gsm, etc.) junto con los metadatos adecuados utilizados para describir con precisión el significado de la información intercambiada.

 

Leer la Primera parte
Leer la Segunda parte

Actualidad

DIRECTRICES DEL COMITÉ EUROPEO DE PROTECCION DE DATOS SOBRE LOS ASISTENTES DE VOZ VIRTUALES. Primera Parte

Acercamiento a los Asistentes Virtuales de Voz.

El European Data Protection Board (“EDPB”), en español, Comité Europeo de Protección de Datos, con fecha 9 de marzo de 2021, editó las “Directrices sobre Asistentes de Voz Virtuales. Versión 1.0” (“Guidelines 02/2021 on Virtual Voice Assistants.Version 1.0“), sometiendo las mismas a consulta pública.

Dichas Directrices definen a un asistente de voz virtual (“VVA”) como “un servicio que entiende las órdenes de voz y las ejecuta o media con otros sistemas informáticos si es necesario.

En el momento actual, los VVAs están disponibles en la mayoría de los smartphones y tabletas, vehículos conectados, ordenadores tradicionales e, incluso, en dispositivos autónomos como los altavoces inteligentes o las Smart TV. Los VVAs actúan como interfaz entre los usuarios y sus dispositivos informáticos y los servicios en línea, como motores de búsqueda o las tiendas online.

Para funcionar correctamente, un VVAs necesita un dispositivo terminal provisto de micrófonos y altavoces. El dispositivo almacena la voz y otros datos que los VVAs actuales transfieren a los servidores VVAs remotos.

La cercanía de los VVAs, les da acceso a información y datos de carácter personal e íntimo, que, de no gestionarse adecuadamente, podrían dar lugar a la conculcación de los derechos fundamentales de las personas en el ámbito de su intimidad y privacidad.

Ahora bien, los VVAs usan las interacciones basadas en el habla, esto es, en la voz, lo que supone un conjunto de ventajas para la sociedad: fácil aprendizaje de su uso, rapidez en la ejecución de las ordenes, acceso más rápido a la información, etc.

Las personas se deciden a equiparse de un VVA debido a la fluidez o la simplificación de las tareas a realizar. La EPDB pone como ejemplos de fluidez y sencillez: “realizar/responder una llamada, programar un temporizador, etc., especialmente cuando los usuarios no tienen las manos disponibles. La automatización del hogar es la principal aplicación propuesta por los diseñadores de los VVAs. Al proponer simplificar la ejecución de tareas (encender la luz, regular la calefacción, bajar las persianas, etc.) y centralizarlas a través de una única herramienta que puede activarse fácilmente a distancia, se inscriben en el discurso como facilitador doméstico. Además del uso personal o doméstico, los comandos de voz pueden ser interesantes en entornos profesionales en los que es difícil manejar herramientas informáticas y utilizar comandos escritos (por ejemplo, en trabajos de fabricación).”

En principio, los principales beneficiarios de los VVA podrían ser las personas con discapacidad o dependientes.

Aunque las ventajas son muchas, el solo hecho de que los mismos tengan acceso a datos personales muy íntimos, hace, pues, necesario observar de cerca su estructura, alcance y arquitectura para frenar posibles violaciones de los derechos a la protección datos. Se hace, también, necesario que todas las autoridades de control escruten los VVA y se fijen líneas y limitaciones en materia de protección de datos.

Por ello, el fin último de las Directrices no es otro que orientar a los creadores y prestadores de servicios de VVA sobre los elementos a tener en consideración, derivados de la aplicación del Reglamento General de Protección de Datos (Reglamento 2016/679/UE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos)(“RGPD”) a los mismos, desgranando las recomendaciones, sino obligaciones, que han de tener en cuenta los creadores y entrenadores de los VVA en materia de protección de datos dentro de la Unión Europea.

Por lo tanto, los responsables del tratamiento de datos que prestan servicios de VVA y sus encargados tienen que tener en cuenta tanto el RGPD como la Directiva sobre privacidad electrónica (Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.)

Elementos de Protección de Datos a tener en Consideración.

Marco Jurídico aplicable a los VVAs.

A nivel de la Unión Europea podemos fijar el marco jurídico por el que se regulan los VVAs a las siguientes normas: (i) el RGPD, ya que una de las funciones principales de los citados asistentes es el tratamiento de datos personales; (ii) la Directiva sobre la privacidad en las comunicaciones electrónicas, antes citada, que establece una norma específica para todos agentes que deseen almacenar o acceder a información almacenada en el equipo terminal de un abonado o usuarios en el Espacio Económico Europeo (“EEE”) 

Identificación del tratamiento de datos y de las partes interesadas.

Pluralidad de Datos.

De todos es conocido que un VVA tiene múltiples posibilidades de asistencia en diversos entornos de la vida cotidiana. Todo ello con una capacidad de acceso a datos personales que debiéndose tener, muy en cuenta, el tratamiento de los datos personales.

Cualquier interacción de un tipo de datos que se refiera a una persona física identificada o identificable con un VVA puede entrar en el ámbito de la definición de datos personales del artículo 4 del RGPD. Una vez que se produce la interacción, puede tratarse diversos datos personales a lo largo del funcionamiento del VVA.

Desde la solicitud inicial hasta la respuesta, la acción o el seguimiento relacionados con ella (por ejemplo, el establecimiento de una alerta semanal), la primera entrada de datos personales generará, por tanto, datos personales posteriores.

La pluralidad de datos personales tratados cuando se utiliza un VVA, también se refiere a una pluralidad de categorías de datos personales a las que debe prestarse atención. La AEPD recuerda que cuando se tratan categorías especiales de datos, el artículo 9 del RGPD exige que el responsable del tratamiento identifique una excepción válida a la prohibición de tratamiento del artículo 9, apartado 1, y una base jurídica válida en virtud del artículo 6, apartado 1, utilizando un medio adecuado identificado en virtud del artículo 9, apartado 2. El consentimiento explícito puede ser una de las excepciones apropiadas cuando el consentimiento sea la base jurídica invocada en virtud del apartado 1 del artículo 6.

Pluralidad de Sujetos.

Al utilizar un VVA, los datos personales se procesan desde la primera interacción con el VVA. Para algunos sujetos esto se refiere a la compra de un VVA y/o la configuración de una cuenta de usuario (es decir, los usuarios registrados). Para otros sujetos de datos se refiere a la primera vez que interactúan conscientemente con el VVA de otro sujeto que compró y/o configuró este VVA (es decir, usuarios no registrados). Además, existe una tercera categoría de sujetos: los usuarios accidentales que, registrados o no, hacen peticiones al VVA sin saberlo (por ejemplo, diciendo la expresión correcta de despertar sin saber que el VVA está activo).

El término pluralidad de sujetos de datos también se refiere a los múltiples usuarios de un VVA (por ejemplo, dispositivo compartido entre usuarios registrados y no registrados, entre colegas, en una familia, en la escuela) y a los diferentes tipos de usuarios según su condición (por ejemplo, un adulto, un niño, un anciano o una persona discapacitada).

Pluralidad de tratamiento de datos.

Cuanto más servicios o funciones ofrezcan los VVAs y estén conectado a otros dispositivos o servicios gestionados por otras partes, más aumentará la cantidad de datos personales que se procesan y el tratamiento de reutilización. Esto da lugar a una pluralidad de tratamientos realizados por medios automatizados.

Además de los medios automatizados, algunos procesamientos pueden implicar también medios humanos. Este es el caso, por ejemplo, cuando la tecnología implementada implica la intervención humana, como la revisión de la transcripción de voces en textos, o el suministro de anotaciones sobre datos personales que pueden utilizarse para insertar nuevos modelos en una tecnología de aprendizaje automático.

Tratamiento por parte de los responsables y encargados del tratamiento.

Los interesados deben estar en condiciones de comprender e identificar las funciones del VVA y deben poder ponerse en contacto o actuar con cada una de las partes interesadas, tal como exige el RGPD. El reparto de funciones no debe ir en detrimento de los interesados. Las principales partes interesadas pueden identificarse bajo el papel de un proveedor o diseñador, un desarrollador de aplicaciones, un integrador, un propietario o una combinación de ellos. Son posibles diferentes escenarios, dependiendo de quién hace qué en la relación comercial de los interesados, de la solicitud del usuario, de los datos personales, de las actividades de tratamiento de datos y de sus fines.

El diseñador puede actuar como controlador de datos cuando determina los fines y los medios de un tratamiento, pero puede intervenir como procesador de datos cuando trata datos personales en nombre de otras partes, como un desarrollador de aplicaciones. Por lo tanto, el usuario de VVA estaría sometido a varios responsables del tratamiento: el desarrollador de la aplicación y el diseñador. También es posible que el diseñador, el integrador y el desarrollador se agrupen en un único organismo que actúe como responsable único del tratamiento.

Varias partes interesadas pueden tratar los mismos datos personales, aunque el interesado no espere realmente que otras partes distintas del proveedor de VVA participen en la cadena de tratamiento. Así, cuando un interesado actúa ante el proveedor de VVA en relación con sus datos personales (por ejemplo, el ejercicio de los derechos del interesado), esto no significa automáticamente que esta acción se aplique a los mismos datos personales que son tratados por otro interesado. Cuando estos interesados son controladores independientes, es importante que se dé un aviso de información claro a los interesados, explicando las distintas etapas y actores del tratamiento. Además, en los casos de corresponsabilidad, debe quedar claro si cada responsable del tratamiento es competente para cumplir con todos los derechos del interesado o qué responsable es competente para cada derecho.

Dado que en la cadena de tratamiento pueden intervenir muchas partes interesadas y, respectivamente, mucho personal, pueden producirse situaciones de riesgo si no se aplican las medidas y salvaguardias adecuadas.

El ecosistema de VVA es complejo, ya que puede haber muchos actores que intercambien y procesen datos personales como responsables o procesadores de datos. Es de suma importancia aclarar el papel de cada actor con respecto a cada tratamiento y seguir el principio de minimización de datos también con respecto al intercambio de datos

Además, los responsables del tratamiento deben estar atentos a las transferencias de datos personales y garantizar el nivel de protección requerido, en particular cuando utilizan servicios situados fuera del EEE.

Transparencia.

Dado que los VVA procesan datos personales (por ejemplo, la voz de los usuarios, su ubicación o el contenido de la comunicación), deben cumplir los requisitos de transparencia del RGPD regulados en el artículo 5, apartado 1, letra a), así como en los artículos 12 y 13. Los responsables del tratamiento están obligados a informar a los usuarios del tratamiento de sus datos personales de forma concisa, transparente, inteligible y de fácil acceso.

No proporcionar la información necesaria es un incumplimiento de las obligaciones que puede afectar a la legitimidad del tratamiento de datos. Cumplir con el requisito de transparencia es un imperativo.

El cumplimiento de los requisitos de transparencia puede ser especialmente difícil para el proveedor de servicios de VVA o cualquier otra entidad que actúe como responsable del tratamiento de datos. Dada la naturaleza específica de los VVA, los responsables del tratamiento se enfrentan a varios obstáculos para cumplir los requisitos de transparencia del RGPD: (i) Múltiples usuarios; (ii) Complejidad del ecosistema (quien trata los datos personales cuando se utiliza un VVA no es nada evidente para los usuarios); y (iii) Especificidades de la interfaz vocal (los sistemas digitales aún no están preparados para las interacciones sólo con la voz.)

Las aplicaciones deberían poner a disposición del usuario la información necesaria en una página web en línea antes de su descarga. De este modo, la información se ofrece lo antes posible y, a más tardar, en el momento en que se obtienen los datos.

Algunos proveedores de VVA incluyen aplicaciones de terceros en la configuración por defecto del VVA para que estas aplicaciones puedan ejecutar dichas aplicaciones utilizando expresiones de activación específicas. Los VVAs que utilizan esta estrategia de despliegue de apps de terceros deben asegurarse de que los usuarios obtienen la información necesaria también en el procesamiento de terceros.

Sin embargo, muchos diseñadores de VVA requieren cuentas de usuario de VVA que agrupan el servicio de VVA con otros múltiples servicios como el correo electrónico, la transmisión de vídeo o las compras, por nombrar algunos. La decisión del diseñador de VVA de vincular la cuenta a muchos servicios diferentes tiene el efecto de requerir políticas de privacidad muy largas y complejas. La longitud y la complejidad de estas políticas de privacidad dificultan enormemente el cumplimiento del principio de transparencia.

Aunque la forma más habitual de proporcionar la información necesaria es por escrito, el RGPD permite también «otros medios». La información puede darse en forma electrónica, por ejemplo, a través de un sitio web. Una opción para los dispositivos sin pantalla podría ser proporcionar un enlace fácil de entender, ya sea directamente o en un correo electrónico. Las soluciones ya existentes podrían servir de ejemplo para la información, por ejemplo, las prácticas de los centros de llamadas de notificar a la persona que llama sobre la grabación de una llamada telefónica y dirigirla a sus políticas de privacidad. Las limitaciones de la VVA sin pantalla no eximen al responsable del tratamiento de los datos de proporcionar la información necesaria de acuerdo con el RGPD cuando se configura la VVA o se instala o utiliza una aplicación de VVA. Los proveedores y desarrolladores de VVA deben desarrollar interfaces basadas en la voz para facilitar la información obligatoria.

Los VVAs podrían ser de gran interés para los usuarios con problemas de visión, ya que proporcionan un medio alternativo de interacción con los servicios informáticos que tradicionalmente se basan en la información visual. Según el artículo 12, apartado 1, del RGPD, es posible proporcionar la información necesaria de forma oral exclusivamente si lo solicita el interesado, pero no como método predeterminado. Sin embargo, las limitaciones de los VVAs sin pantalla requerirían medios de información oral automatizados que podrían complementarse con medios escritos. Al utilizar el audio para informar a los interesados, los responsables del tratamiento deben proporcionar la información necesaria de forma concisa y clara. Además, los interesados deberían poder volver a escuchar.

Tomar las medidas adecuadas para cumplir con los requisitos de transparencia del GDPR es más complejo cuando hay múltiples usuarios del VVA además del propietario del dispositivo. Los diseñadores de VVA deben considerar cómo informar adecuadamente a los usuarios no registrados y accidentados cuando se procesan sus datos personales.

Los responsables del tratamiento deben encontrar la manera de informar no solo a los usuarios registrados, sino también a los usuarios no registrados y a los usuarios accidentales de VVA. Estos usuarios deben ser informados lo antes posible y, a más tardar, en el momento del tratamiento.

Leer la Segunda parte
Leer la Tercera parte

Actualidad

Pagas extraordinarias. ¿Puede la empresa prorratear unilateralmente su abono?

El artículo 31 del Estatuto de los trabajadores, indica que el trabajador tiene derecho a dos gratificaciones extraordinarias al año, una de ellas con ocasión de las fiestas de Navidad y la otra en el mes que se fije por convenio colectivo o por acuerdo entre el empresario y los representantes legales de los trabajadores.

Por lo tanto, salvo que el convenio colectivo establezca más pagas, todos los trabajadores tienen derecho a dos pagas extraordinarias.

En cuanto al prorrateo de las pagas, el Estatuto de los Trabajadores indica que podrá acordarse en convenio colectivo que las gratificaciones extraordinarias se prorratean en doce mensualidades. El empresario no puede decidir unilateralmente el prorrateo de las pagas extraordinarias, sin embargo, se ha considerado eficaz y con pleno valor liberatoria el abono prorrateado cuando éste tiene su origen en un pacto individual y el convenio colectivo no contempla prohibición expresa.

En el supuesto enjuiciado en la STS 435/2021, de 8 de febrero de 2021 (rec. 2044/2018), la empresa del sector sanitario abonaba las pagas extraordinarias de forma prorrateada pese a la prohibición establecida en convenio colectivo, que fija la obligación de pago en las fechas del 1 al 30 de junio (paga de verano) y del 1 al 20 de diciembre (paga de navidad).

El Alto Tribunal entiende que, aunque el convenio colectivo no refuerce la cláusula en cuanto a la consecuencia o los efectos de su eventual incumplimiento, el hecho de que la empresa todos los meses incluya en la nómina una cantidad como paga extra no es suficiente para determinar la naturaleza de esa parte de la retribución, ni para justificar una actuación contraria a lo establecido en el convenio colectivo. Si el marco normativo que rige la relación contractual entre las partes determina, no solo que las pagas extras se abonen en dos momentos específicos del año, sino que no pueden abonarse de forma prorrateada, cabe partir de la asunción de que la retribución percibida mensualmente por la parte trabajadora corresponde a conceptos salariales distintos de dichas pagas extraordinarias. Tal asunción es plenamente lógica cuando, además, la trabajadora y la empresa no han alcanzado acuerdo bilateral alguno para proceder de otro modo.

Por consiguiente, aun cuando el convenio no contenga una explícita regla que precise las consecuencias del incumplimiento de la prohibición de prorrateo, lo que no cabe derivar de ello es que la instauración unilateral del mismo pueda vaciar de eficacia y contenido a la propia norma paccionada. La interpretación de esta pasa por colegir que, a tenor de la misma, lo que cada persona trabajadora percibe mes a mes no es, en ningún caso, retribución por pagas extras solo porque tal sea la calificación que la empresa le otorgue.

Así pues, la obligación de pago de las dos pagas extras no puede considerarse extinguida con los importes mensuales imputados por la empresa a la prorrata de las mismas.

La sentencia comentada contiene un voto particular formulado por el Magistrado D. Ángel Blasco Pellicer, en el que señala –en contra de lo que sostiene la mayoría- que, en este supuesto, el prorrateo se estuvo llevando a cabo desde el inicio de la relación contractual, sin oposición por parte de la trabajadora, sin merma alguna del salario establecido por convenio colectivo y sin que existiera ningún indicio que permitiera deducir incumplimiento de ninguna clase en relación con el abono del salario.

A falta de consecuencias expresas previstas por el convenio, no puede establecerse como consecuencia de tal incumplimiento la necesidad de volver a abonar lo que ya estaba abonado extemporáneamente. Ante la ausencia de previsión convencional sobre los efectos del incumplimiento de la prohibición de prorratear las pagas extraordinarias, su abono prorrateado permitirá al trabajador exigir que se abone como establece el convenio, pero no el pago de nuevo de lo ya efectivamente abonado.

Tal como prevé el artículo 1156 del CC, las obligaciones se extinguen por el pago; estableciendo el artículo 1126 CC que lo que anticipadamente se hubiese pagado en las obligaciones a plazo no se podrá repetir. Y, aunque se pudiera pensar que la prohibición de no prorratear las pagas extraordinarias que, en definitiva, constituyen pagos a cuenta, la ha establecido el convenio, no en beneficio de ambas partes, sino en el exclusivo beneficio del acreedor-trabajador, sería este el único facultado para consentir el pago antes de la llegada de su vencimiento, pero en modo alguno la ausencia de tal consentimiento permitiría deducir que el pago no se hubiera realizado. Tampoco puede compartirse que lo pagado mensualmente como «parte proporcional de paga extra», de forma pacífica no responda a tal concepto y se convierta, por el incumplimiento empresarial del convenio, en salario ordinario; menos aun cuando no consta que el resto de los conceptos salariales a los que la trabajadora tenía derecho no se hubieran satisfecho puntualmente.

Actualidad

¿Derivación de responsabilidad solidaria a los administradores de una mercantil por deudas con la Seguridad Social?

Sobre esta cuestión vuelve a pronunciarse la Sentencia del TS, Sala de lo Contencioso, de 2 de febrero de 2021  (nº120/2021)  analizando en sede de casación, si para que la TGSS pueda derivar la responsabilidad por deudas a los administradores de una sociedad basta con acreditar la situación de insolvencia o, por el contrario, es necesario también justificar la efectiva existencia de una causa legal de disolución de la sociedad de acuerdo con lo previsto en la legislación reguladora de las sociedades de capital.

La Sentencia del Tribunal Supremo 120/2021, Sala Contencioso Administrativo, de 2 de febrero, resuelve el recurso de casación interpuesto por las administradoras únicas de una mercantil. En este supuesto, las recurrentes ostentaron el cargo de administradoras de la sociedad resultando también acreditado que ésta dejo de pagar sus cotizaciones a la Seguridad Social por más de tres meses generándose una deuda ascendente a 47.614,44 euros cuando su capital social era de 3.005,06 euros.

Las resoluciones administrativas de declaración de responsabilidad solidaria obrantes en el expediente administrativo, se limitan a hacer constar el capital social (3.005,06 euros), así como la existencia de deudas por descubiertos en el pago de cuotas de la Seguridad Social por importe de 47.614,44 euros y la falta de presentación de las cuentas sociales en los ejercicios de 2009, 2010, 2011 y 2012. En relación con lo expuesto, dicho expediente administrativo finaliza afirmando que tanto el incumplimiento de estas obligaciones estatutarias y legales, como la existencia de las cuotas adeudadas a la Seguridad Social determinan la procedencia a declarar la responsabilidad solidaria de las administradoras de la mercantil.

En este supuesto, la cuestión que reviste interés casacional objetivo para la formación de jurisprudencia consiste en determinar si para acordar la Administración de la Seguridad Social la derivación de responsabilidad solidaria de los administradores de una sociedad, resulta necesario no solo constatar una situación fáctica que habla a favor de la insolvencia de la sociedad y verificar que dicho administrador no ha cumplido los deberes legales referidos en el artículo 367.1 de la LSC, sino también, justificar la efectiva existencia de una causa legal de disolución de una sociedad.

A este respecto, para determinar la existencia de responsabilidad solidaria de los administradores de una sociedad de capital, es necesario tomar en consideración el artículo 367.1 del RD 1/2010, de 2 de julio, que aprueba el TRLSC, cuando establece que: «Responderán solidariamente de las obligaciones sociales posteriores al acaecimiento de la causa legal de disolución los administradores que incumplan la obligación de convocar en el plazo de dos meses la junta general para que adopte, en su caso, el acuerdo de disolución, así como los administradores que no soliciten la disolución judicial o, si procediere, el concurso de la sociedad, en el plazo de dos meses a contar desde la fecha prevista para la celebración de la junta, cuando ésta no se haya constituido, o desde el día de la junta, cuando el acuerdo hubiera sido contrario a la disolución».

En definitiva, según el artículo 367 del TRLSC, el primer presupuesto para exigir responsabilidad solidaria a los administradores de las Sociedades de Capital es claramente la concurrencia de una causa de disolución. Esta afirmación no puede ofrecer duda dado que el precepto anuda el nacimiento de la responsabilidad solidaria de los administradores con las “(…) obligaciones sociales posteriores al acaecimiento de la causa legal de disolución (…)” No estamos ante la determinación de un mero límite temporal del alcance de la responsabilidad, sino ante un verdadero requisito de nacimiento de la responsabilidad.

Pues bien, en el caso enjuiciado, la TGSS acordó la derivación de deuda por responsabilidad solidaria de las recurrentes, en su condición de administradoras, con apoyo único en la situación de insolvencia de la sociedad de capital y el conocimiento de ella por las administradoras, así como la mención genérica a una supuesta “paralización de los órganos sociales”, recogida como causas de extinción de la sociedad en el artículo 363 LSC, que sin embargo no desarrolla en las resoluciones recurridas como tampoco en los sucesivos escritos procesales.

Por tanto, la TGSS declaró la derivación de responsabilidad y la responsabilidad solidaria de la administradora sin considerar ni tan si quiera que pudiera concurrir una causa legal de disolución y tomando sólo en consideración la situación de insolvencia. Tampoco tiene en cuenta el Criterio Técnico 89/2011 dictado por la Autoridad Central de la Inspección de Trabajo y Seguridad Social, que constata la necesidad de que exista causa de disolución de la sociedad para la derivación de la responsabilidad a los administradores de la sociedad de capital. Dice la Autoridad Central que, según lo expuesto, “el acta de liquidación o el informe en el que se derive la responsabilidad a los administradores por las deudas sociales deberá hacer constar en todo caso la existencia de una causa legal de disolución de la sociedad de las contempladas en el art. 363.1 de la LSC [antes artículos 260.1.4° de la LSA y 104.1e) de la LSRL], que deberá justificarse por los medios apropiados. En particular, la existencia de las pérdidas deberá considerarse acreditada mediante el examen del balance. En el muy frecuente supuesto de que ese examen no sea posible (por no haber sido localizada la empresa o los administradores, por incomparecencia de éstos o por falta de depósito de las cuentas en el Registro), la insuficiencia patrimonial deberá justificarse por vías indirectas, bien por haber sido declarado el crédito incobrable por la Tesorería o bien acudiendo a lo declarado por los tribunales […] y exponiendo las circunstancias relevantes a estos efectos que hubieran podido observarse durante las actuaciones de comprobación».

Conforme a lo expuesto, el Alto Tribunal resuelve estimando el recurso de casación y revoca la sentencia de la Sala de lo Contencioso-Administrativo recurrida así como la dictada en la primera instancia que ratificó aquella en apelación, al confirmar sendas resoluciones administrativas que acordaron la derivación de responsabilidad solidaria de las deudas por descubiertos de cotización a la Seguridad Social de la empresa, por la mera situación de insolvencia, sin justificación ni invocación de la concurrencia de causa de disolución de la sociedad, con infracción, por aplicación indebida, tanto del art. 15.3 del Real Decreto Legislativo 1/1994, de 20 de junio (RCL 1994, 1825), por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, en relación con el artículo 367 del Real Decreto Legislativo 1/2010, de 2 de julio (RCL 2010, 1792, 2400), por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, con estimación del recurso contencioso-administrativo, por ser contraria a Derecho la actuación administrativa impugnada.

Cerrar Cookies

Éste sitio web usa cookies, si permanece aquí acepta su uso. Puede leer más sobre el uso de cookies en nuestra política de privacidad