Con fecha 24 de octubre, se ha aprobado la Ley 6/2017 de Reformas Urgentes del Trabajo Autónomo, que entre otras medidas, modifica la regla 5ª del apartado 2.b) del artículo 30 de la Ley 35/2006 del IRPF, que entrará en vigor el 1 de enero de 2018, relativa a la tributación en el régimen fiscal de estimación directa, a fin de clarificar la deducción de parte de los gastos de suministros (agua, luz , gas y telefonía e internet) que la administración tributaria acepta como deducibles para determinar el rendimiento neto en el caso de que la actividad se desarrolle en la vivienda habitual y así conste en el censo.

Antes de esta modificación, los trabajadores autónomos gozaban del derecho a deducción de los gastos derivados de la titularidad de la vivienda como el IBI, tasa de basuras, intereses de la hipoteca, seguros, amortizaciones, cuotas de la comunidad de propietarios, etc …, según la proporción de los m² declarados en el modelo 036 (declaración tributaria censal).

De forma reiterada la Administración Tributaria ha venido considerando que los gastos por suministros de la vivienda no tienen la consideración de gastos deducibles para determinar el rendimiento de la actividad, ni siquiera en una proporción, argumentando que no hay una división entre el gasto destinado a la actividad y el gasto particular del contribuyente del Impuesto. El criterio de Hacienda es que los gastos de suministro sólo son deducibles si estas se usan exclusivamente para el desarrollo de la actividad, aunque la legislación permite «la afectación parcial de la vivienda a la actividad económica».

Esta postura restrictiva de Hacienda fue rechazada por una resolución del Tribunal Supremo de Justicia de Madrid (03/10/2015) y una resolución del Tribunal Económico Administrativo Regional de la Comunidad Valenciana (16/12/2013) en la que en ambas sentencias se establecía que se podían deducir los gastos de suministros a proporción, sin establecer como había que determinar esta proporción.

Estas resoluciones provocaron que el Departamento de Gestión de la Agencia Tributaria presentara un recurso extraordinario de alzada para unificar criterios delante del Tribunal Económico Administrativo Central (TEAC) quien emitió la resolución 04454/2014/00/00 el 10/9/2015 (vinculante), origen de la actual la modificación de la Ley del IRPF, donde se determina que los suministros se pueden deducir en el porcentaje resultante de aplicar el 30 por ciento a la proporción existente entre los metros cuadrados de la vivienda destinados a la actividad respecto a la superficie total. Hay que tener en cuenta que la norma dejará la opción al contribuyente (siempre que lo pueda demostrar) de aumentar o disminuir este porcentaje. El medio de prueba quedará a criterio del contribuyente.

El pasado 27 de septiembre, el ICAC ha emitido una consulta sobre el régimen de la auditoría de las cuentas anuales de las sociedades de capital de titularidad municipal, en el marco del RD 424/2017, de 28 de abril, por el que se regula el régimen jurídico de control interno en las entidades del Sector Público Local.

La propia Ley de Auditoría, en su disposición adicional segunda, ya regula el régimen de auditoría de las entidades del sector público, estableciendo en esencia lo siguiente:

– La Ley de auditoría no es de aplicación a las actividades de revisión y verificación de cuentas anuales que realizan los órganos de control de las Administraciones Públicas en el ejercicio de las competencias, que seguirán rigiéndose por su legislación específica.

– Los trabajos de colaboración de los auditores miembros del ROAC con las tareas de los órganos públicos de control, en ejecución de sus planes anuales de auditorías, se rigen también por su legislación específica, no resultando de aplicación la Ley de Auditoría .

– No obstante lo anterior, en aquellos casos en que los trabajos de colaboración con los órganos públicos de control incorporen la emisión de un informe de auditoría de cuentas para Atender exigencias de carácter sectorial o financiero (como por ejemplo , la concurrencia a licitaciones internacionales o para obtener recursos en mercados financieros), el informe de auditoría se someterá a la normativa reguladora de la actividad de auditoría de cuentas, siempre y cuando no se trate de cuentas formuladas en base a la normativa contable del sector público.

– Los trabajos de auditoría realizados por auditores inscritos en el ROAC, sobre las cuentas anuales de sociedades mercantiles del sector público sujetos a la obligación de auditoría por la normativa mercantil, están sujetos a la normativa reguladora de la auditoría de cuentas.

En definitiva, la normativa de auditoría define claramente los diferentes ámbitos de aplicación de la Ley de Auditoría de cuentas y de las normas de control financiero del Sector Público en cuanto al régimen aplicable a las sociedades mercantiles pertenecientes al sector público (estatal, autonómico o local).

En base a dicha normativa, el ICAC en esta consulta, concreta el siguiente:

– Las sociedades mercantiles municipales que tengan la obligación de someter sus cuentas anuales a auditoría, de acuerdo con la normativa mercantil, estarán sujetas plenamente al régimen establecido en la Ley de Auditoría y la normativa que la desarrolla: normas de auditoría a aplicar, nombramiento de auditor, revocación e inscripción en el registro mercantil, etc., sin ninguna diferencia respecto a cualquier otra sociedad mercantil de titularidad privada.

– Las sociedades mercantiles municipales que no tengan la obligación de someter sus cuentas anuales a auditoría y se incluyan en el plan anual de auditoría del órgano de control de la administración pública correspondiente, serán realizadas por este órgano de control con sujeción a las normas de auditoría del sector público.

No obstante, en esta consulta, el ICAC no se ha pronunciado expresamente sobre otra cuestión que sería la referida a la realización de auditorías voluntarias de sociedades públicas no obligadas a someter sus cuentas a auditoría de acuerdo con la normativa mercantil y que, por criterios de riesgo o de cobertura porcentual del presupuesto consolidado de la entidad local, no se haya considerado oportuno incluirlas en el plan de control del órgano público correspondiente. Sobre esta cuestión podría haber varias interpretaciones, considerando que estas auditorías voluntarias quedan incluidas en el ámbito de aplicación de la Ley de Auditoría (al igual que ocurre con las auditorías voluntarias de sociedades mercantiles de capital privado) o bien que éstas se sometan a las Normas de auditoría del Sector Público, independientemente de que el órgano de control no las haya incluido en su plan anual de control. Nuestro criterio sería la primera de las opciones planteadas, si bien esperamos que en un futuro el ICAC se pronuncie sobre esta cuestión que no ha quedado explicitada en la consulta que hoy analizamos.

El pasado 7 de octubre se publicó el Real Decreto-ley 14/2017, de 6 de octubre, por el que se aprueba la reactivación extraordinaria y por tiempo limitado del programa de recualificación profesional de las personas que agoten su protección por desempleo.

En el citado RDL, entre otras disposiciones se modificó la disposición adicional vigesimotercera de la Ley 14/2011, de 1 de junio, de la Ciencia, Tecnología y la Innovación, que por su importancia en el sector es objetivo de este artículo.

Hasta la fecha de entrada en vigor (el 8 de octubre de 2017), de la modificación ahora establecida, el precepto indicaba que no era de aplicación lo dispuesto en el artículo 15.1.a) del Estatuto de los trabajadores, en materia de duración máxima del contrato por obra o servicio a los contratos para la realización de proyectos específicos de investigación científica y técnica. Es decir no operaba el límite de los tres años ampliable hasta doce meses más por convenio colectivo, cuando la entidad contratante fuese alguna de las siguientes:

1. Los Organismos Públicos de Investigación de la Administración General del Estado y los Organismos de investigación de otras Administraciones Públicas.
2. Las Universidades públicas, únicamente cuando sean perceptoras de fondos cuyo destino incluya la contratación de personal investigador o para el desarrollo de sus programas propios de I + D + i.
3. El Museo Nacional del Prado, la Biblioteca Nacional de España (BNE), el Instituto de Patrimonio Cultural de España (IPCE), la Filmoteca Española, adscrita al Instituto de la Cinematografía y de las Artes Audiovisuales, los museos y archivos de titularidad y gestión estatal, la Dirección General del Instituto Geográfico Nacional, el Centro Nacional de Información Geográfica, y las Reales Academias y Academias Asociadas vinculadas con el Instituto de España, tendrán la condición de agentes de ejecución.

La novedad aportada por este RDL, es la ampliación de las entidades a las que les és de aplicación la operatividad del límite de los 3 años. Concretamente se añade un párrafo a la citada DA23 indicando:

“La excepción expresada en esta disposición se aplicará únicamente a las Administraciones públicas, organismos públicos, universidades públicas y otras entidades del sector público consideradas agentes de ejecución del Sistema Español de Ciencia, Tecnología e Innovación de acuerdo con el artículo 3.4* de esta ley, que formalicen contratos temporales para la realización de proyectos específicos de investigación científica y técnica.”

Esta novedad viene a dar cobertura a entidades que por su naturaleza y características no eran consideradas organismos públicos, aunque realizaban actividades idénticas a estos la realización y soporte a las actividades científicas, técnicas o de innovación.

* Son agentes de ejecución las entidades públicas y privadas que realicen o den soporte a la investigación científica y técnica o a la innovación.

Ha sido publicada la Resolución 11847 de 21 de septiembre de 2017, de la Dirección General de Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora mercantil VI de Valencia, por la que deniega la inscripción de nombramiento de auditor.

La DGRN debe determinar si se puede inscribir el nombramiento de auditor de una sociedad anónima obligada a auditoría, que ha nombrado auditor para Junta General una vez cerrado el ejercicio social correspondiente.

La registradora mercantil deniega la inscripción ya que el acuerdo se ha tomado el 30 de junio de 2017 y se refiere a los ejercicios 2016, 2107 y 2018.

El recurrente alega que, dado que la sociedad es una sociedad del Sector Público y que su socio se socio único, los requerimientos de la legislación sobre contratación pública hacen imposible los cumplimientos de los plazos previstos en la legislación mercantil y que siendo un socio único no hay intereses a proteger.

Reitera la DGRN que una vez cerrado el ejercicio social sin que la junta general haya designado auditor, cuando la sociedad está obligada a auditarse, la competencia para el nombramiento corresponde al registrador mercantil, sin que esta regla se vea alterada por el hecho de que la sociedad esté integrada en el sector público de la Administración y sea unipersonal

BOE-A-2017-11847

También ha sido publicada la Resolución 8590 de 21 de junio de 2017, de la Dirección General de Registros y Notariado, en el recurso interpuesto contra la nota de calificación del registrador mercantil III de Valencia, por la que se suspende el depósito de cuentas de una entidad mercantil.

Nuevamente vuelve a plantearse la DGRN la cuestión de si pueden depositarse las Cuentas de una sociedad cuando el informe del auditor que las acompaña muestra una opinión denegada.

La DGRN manifiesta que, para determinar si es o no procedente el depósito de cuentas, se debe analizar si con el informe aportado se cumple o no con la finalidad prevista por la legislación sobre sociedades y si se respetan los derechos de los socios.

Una vez analizado cada una de las excepciones del informe, (por incumplimiento y por limitaciones al alcance), concluye que el auditor se abstiene de emitir opinión, pero de su contenido no resulta que las limitaciones que señala puedan llegar a tener la trascendencia de cerrar el registro.

En conclusión, la DGRN reitera que no se puede rechazar el depósito de unas cuentas anuales acompañados de un informe de auditoría con opinión denegada cuando el contenido del informe proporciona información relevante para socios y terceros.

BOE-A-2017-8590

En la consulta vinculante V1588-17, de 20 de junio de 2017, la Dirección General de Tributos modifica el criterio establecido en la anterior contestación vinculante de 26 de febrero de 2007, número V0373-07, respecto a la ausencia de obligación de llevanza de los libros registros cuando:

• La entidad no tenga la obligación de expedir factura y
• La actividad realizada está exenta del impuesto y no tenga derecho a deducir las cuotas soportadas en la adquisición de bienes y servicios para dicha actividad.

La modificación del criterio es consecuencia del nuevo sistema de llevanza de libros a través de la sede electrónica de la Agencia Estatal de Administración Tributaria (SII) ya que los registros contenidos en la misma son el fundamento de la información a suministrar. Así, el nuevo sistema:

• Permitirá reducir sustancialmente las cargas administrativas asociadas al suministro periódico de información que atañe al sujeto pasivo como la presentación del modelos 347, 340 y 390.
• La información obtenida a través del suministro electrónico de los registros de facturación será puesta a disposición de aquellos empresarios o profesionales con quienes hayan efectuado operaciones aquellas personas y entidades que lleven los libros registro a través de la Sede electrónica, constituyendo una herramienta de asistencia al contribuyente en la elaboración de sus declaraciones-liquidaciones por el Impuesto sobre el Valor Añadido.

Con esta consulta vinculante el Centro Directivo establece que no será necesaria la llevanza de libro registro de facturas expedidas cuando el consultante no tenga la obligación de expedir factura por todas sus operaciones, de conformidad con lo establecido en el Reglamento por el que se regulan las obligaciones de facturación, aprobado por el Real Decreto 1619/2012, de 30 de noviembre (BOE de 1 de diciembre).

No obstante, sí será necesaria la llevanza del libro registro de facturas recibidas, con carácter general, por el empresario o profesional, con independencia que la actividad realizada se encuentre totalmente exenta del Impuesto y sin derecho a la deducción de las cuotas soportadas en la adquisición de bienes y servicios para dicha actividad.

Consulta vinculante DGT nº V1588-17, de 20 de junio de 2017

La Agencia Española de Protección de Datos conjuntamente con el ISMS Forum Spain publicaron el último mes de mayo el Código de buenas prácticas en protección de datos para proyectos de Big Data. Con esta guía se pretende globalizar las apreciaciones que se hacen desde ambas entidades respecto a los proyectos de Big Data y la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), así como la normativa de desarrollo y el Reglamento General de Protección de Datos (RGPD).

Se entiende como Big Data a un conjunto de tecnologías, algoritmos y sistemas empleados con el fin de recolectar datos a gran escala y extraer información de valor mediante sistemas analíticos avanzados de forma automatizada. Este tratamiento sobre los datos se caracteriza por hacerse sobre un gran volumen de datos, muy variables y a una velocidad que puede llegar a ser en tiempo real en algunos casos.

Desde un punto de vista arquitectónico o estructural, un proyecto de Big Data puede ser analizado desde diferentes capas principales: la de fuentes de datos (origen de la información), integración de estas en la base de datos, almacenamiento con recursos adecuados para ser analizada y gestionada, así como, la última capa, la presentación y aplicación en diferentes procesos.

El código se presenta como un análisis de la normativa que operará a partir del 25 de mayo de 2018, el RGPD, y las consideraciones que se deben tener en cuenta en caso de que la organización desee sumergirse en un proyecto de Big fecha. Así, recuerdan la necesidad de cumplir con los principios básicos de la normativa de protección de datos con respecto al derecho de información y el consentimiento, ligando con la necesidad de estructurar una organización transparente la que los usuarios puedan confiar debido a la constante información y facilidad de encontrarla en relación a sus derechos garantizados por el RGPD, es decir, actualización de las finalidades las que se recaba los datos siempre ligadas a la finalidad inicial que lo motivaron así como, en especial, información sobre los derechos de acceso, rectificación, supresión, oposición así como los nuevos derechos que se incorporan, es decir, limitación, portabilidad o el derecho a no ser sometido a tratamientos basados ​​únicamente en decisiones automatizadas individuales. También, recuerda la necesidad de tener definidos e integrados dentro del gobierno interno los principios de minimización de los datos y calidad, a partir de la cual se recauden únicamente los datos que sean estrictamente necesarios para el objetivo que queremos alcanzar y en definitiva, no pedir datos en previsión de que puedan ser útiles en un futuro o definido textualmente, datos «por si acaso».

Aparte de los principios básicos de la normativa de protección de datos, se recuerda la necesidad de regular debidamente las relaciones con terceros (encargados del tratamiento) y la definición de las responsabilidades de cada agente operativo dentro de este tratamiento, así como la asunción interna del concepto accountability o responsabilidad de la entidad a implantar medidas y establecimiento de mecanismos internos y / o externos para evaluar la fiabilidad y poder demostrar su efectividad ante las autoridades de control, así como la privacidad en el diseño (Privacy by design) traducido en la necesidad de que cualquier proyecto de estas características se inicie teniendo en cuenta los principios que la legislación en la materia establece con el fin de evitar tener que redefinir los sistemas y procesos continuamente implicando, en su caso, gastos asociados a la implantación de los requerimientos legales.

También se realiza una especial mención a las evaluaciones de impacto o AIPD, a partir de las cuales se aconseja que las organizaciones que las lleven a cabo antes del inicio del tratamiento de datos enfocado al Big Data para poder identificar los riesgos asociados a los procesos de identificación, análisis y recolección de información especialmente en cuanto los procesos de anonimización de los datos y la irreversibilidad en la identificación. Se recuerda que es necesario hacer una evaluación de las técnicas y procedimientos de anonimización para acreditar que la disociación realizada evita que se pueda identificar a una persona física dentro del conjunto de datos o que se pueda relacionar o enlazar la información de una persona física a partir de la vinculación de dos registros dentro del conjunto de los datos, así como se pueda inferir cualquier información sobre la persona física en el conjunto. Finalmente, se hace alusión a que, ante una conclusión negativa o de riesgos a los derechos de los usuarios en la AIPD, la Entidad requerirá acudir a la autoridad de control para que ésta le asesore.

Se recomienda la realización de un proyecto piloto con una pequeña muestra ficticia de datos de la que se pueda extraer, objetivamente, conclusiones respecto a la viabilidad de las técnicas de anonimización y el procedimiento.

Por último, destacamos la presentación de una cuadro / resumen sobre las estrategias de privacidad más adecuadas para cada una de las fases que conforman la cadena de valor de Big Data:

Más información: Guia Big Data AEPD-ISMS Forum

Dentro del Plan estratégico 2015-2019 de la Agencia Española de Protección de Datos (AEPD), en el Eje estratégico 1, denominado «Prevención para una protección más eficaz», se contempla un programa dedicado a la Sanidad, donde se engloba el Plan Sectorial de Oficio que se centra en los procedimientos técnicos y políticas de actuación de los hospitales públicos, valora su nivel de adecuación a las previsiones de la normativa de protección de datos y emite recomendaciones con el objetivo final de elevar el nivel de cumplimiento del sector en esta materia, así como generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial, como también en el de la investigación.

La AEPD hizo público el pasado 26 de septiembre Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos. Puede consultarse el documento en Plan Inspeccion Hospitales Publicos

Cabe recordar que los planes de oficio de la AEPD, que se realizan con carácter preventivo, analizan el cumplimiento de la normativa en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal. Este plan de inspección no es el primero que esta autoridad de control realiza en el sector, sino que ya en el año 1995 fue diseñado un Plan Sectorial de Oficio con el objeto de analizar el nivel de adecuación a la normativa de protección de datos en el sector de la asistencia hospitalaria pública, cuyas actuaciones finalizaron en 1996 y en cuyo informe de conclusiones se ponían de manifiesto numerosas deficiencias. Posteriormente, en 2010, la AEPD realizó seguimiento mediante cuestionario remitido a todos los hospitales del Catálogo Nacional para analizar el cumplimento de la normativa de protección de datos, incluida la implementación de las medidas de seguridad sobre los datos personales tratados, obteniéndose un informe de situación que reportaba ciertas carencias, si bien en general, se detectó una evolución positiva en el sector con relación al cumplimiento de la normativa de protección de datos. El detalle de las actuaciones anteriores se encuentra en portalwebAGPD

Como continuación a lo mencionado en el párrafo precedente, durante el pasado 2016 la Agencia realizó nuevas actuaciones de inspección dirigidas a los centros hospitalarios de titularidad pública (teniendo en cuenta los gestionados tanto de manera directa como indirecta) y centrándose en la auditoría de los aspectos con más carencias detectados en las actuaciones anteriormente referenciadas, en concreto, en las medidas de seguridad implementadas, con visitas presenciales a los hospitales que fueron inicialmente auditados y hospitales de nueva creación. Además, consciente que en los hospitales se realizan tratamientos de datos personales con 2 finalidades diferentes, esto es, la finalidad asistencial y la finalidad de investigación médica, la AEPD llevó a cabo sus actuaciones comprobando la adecuación de ambos tratamientos a la normativa.

En el informe final se pone de manifiesto la tendencia general favorable a la progresiva asunción, no solo de la normativa, sino de los principios y la cultura sobre la relevancia del tratamiento de los datos en este sector y su debida protección. Con todo, aún se deben y se pueden mejorar, entre otros aspectos, los relacionados con:

-la calidad y la confidencialidad de los datos conservados,

-la información ofrecida a los pacientes, así como a los sujetos participantes en los ensayos clínicos,

-la obtención de los consentimientos en todos los casos en que sean necesarios,

-y el reforzamiento de las medidas de seguridad, potenciando con carácter general los mecanismos de control de acceso.

Por otro lado, con el diagnóstico que se deriva del informe, la AEPD pretende también ofrecer un punto de referencia con el que todos los integrantes del sector sanitario puedan abordar la adaptación de sus sistemas y procedimientos a los nuevos requerimientos que impone el RGPD, que será de plena aplicación a partir del próximo 25 de mayo de 2018 (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE). Sobre el RGPD, destaca el informe 2 aspectos clave:

– la obligación de realizar una evaluación de impacto de forma previa a la puesta en marcha de nuevos tratamientos que entrañen un alto riesgo,

– y la necesidad de todo hospital de incorporar un delegado de protección de datos a partir de mayo de 2018.

En el informe del plan de actuación presentado, se concluye que la profundización en la cultura, la formación y los principios que informan sobre la trascendencia de los tratamientos de los datos personales en este sector resulta un elemento capital en el que habrá que seguir trabajando y que, por lo que al personal sanitario y administrativo del sector se refiere, bien podrían resumirse en el decálogo siguiente:

1- Tratar los datos de los pacientes como querrías que tratasen los tuyos.

2- ¿Estás seguro de que tienes que acceder a esa historia clínica? Piénsalo. Sólo debes hacerlo si es necesario.

3- Recuerda: tus accesos a la documentación clínica quedan registrados en el sistema. Se sabe en qué momento y a qué infromación has accedido. Los accesos son auditados posteriormente.

4- Evita informar a terceros sobre la salud de tus pacientes salvo que éstos lo hayan consentido o tengas justificación lícita.

5- Cuando salgas del despacho, asegúrate de cerrar la sesión abierta en tu ordenador. No facilites a nadie tu clave y contraseña; si necesitas un acceso urgente contacta con el servicio de informática.

6- No envíes información con datos de salud por correo electrónico o por cualquier red pública o inalámbrica de comunicación electrónica; si tienes que hacerlo, no olvides cifrar los datos.

7- No tires documentos con datos personales a la papelera, destrúyelos tú mismo o sigue el procedimiento implantado en tu centro.

8- Cuando termines de pasar consulta, cierra con llave los armarios o archivadores que contengan documentación clínica.

9- No dejes las historias clínicas a la vista sin supervisión.

10- No crees por tu cuenta ficheros con datos personales de pacientes; consulta siempre antes con el departamento de informática.