GDPR/ RGPD, la nueva ley protección de datos – estrategias para protegerse ante requerimientos y sanciones

El 25 de mayo se introdujo la ley que ha puesto histéricos a los empresarios online, la RGPD (o GDPR si te los has cruzado con sus siglas en inglés).

Escondido detrás de estas 4 letras se encuentra el nombre del Reglamento General de Protección de Datos de la UE, que se aprobó hace ya 2 años, pero que entró en vigor legalmente el pasado 25 de mayo de 2018.

La realidad es que incluso tras la ola inicial de histeria durante la que muchas empresas trataron de adaptar sus procesos y páginas web, son muy pocos empresarios los que realmente están preparados para la RGPD.

Ante esta situación los únicos que se alegran son los que componen la industria de los abogados que se dedican a enviar requerimientos y amenazas por este tipo de infracciones.

Por supuesto, hay muchos artículos que explican cómo funciona esta nueva ley de protección de datos y lo que debes hacer para cumplir con ella. Sin embargo, el objetivo con esta guía que tienes ante ti no es explicarte cómo aplicarla correctamente, sino cómo hacer para evitar que te sancionen, lo llamo arbitraje regulatorio.

El arbitraje regulatorio consiste en encontrar los puntos débiles de las leyes y regulaciones y jugar con ellos.

Toda regulación tiene algún punto débil, punto que generalmente se intenta eliminar mediante otra regulación adicional. Por supuesto, ningún regulador comprende que esto crea una espiral regulatoria interminable que según acaba con un punto débil llama a la vida a otro nuevo.

Las regulaciones en sí mismas no tendrían por qué ser malas. Lo que a veces hayque cuestionar en las regulaciones no es el «qué» sino el «quién». ¿Quién regula a los reguladores y asegura que actúen en interés público?

El Reglamento General de Protección de Datos, así como la mayoría de las iniciativas de la UE, dan la impresión de que hay intereses ocultos (sí, ya sé que esto suena conspiranoico, pero no se me ocurre otra forma de expresarlo).

Parece como si esta ley hubiera sido impulsada por poderes socialistas antieconómicos, escrita por el sector de los abogados online y suavizada luego para que no dañe demasiado a las grandes corporaciones estadounidenses. Como si la UE quisiera volver a hacer caja con las muchas multas que se avecinan.

Es una costumbre en nuestra jurisdicción que las leyes sean iguales para todos. Pero, ¿realmente queremos obligar a los pequeños y medianos empresarios (además de a los autónomos) a cumplir las mismas leyes que se han pensado para las grandes compañías estadounidenses?

Ahí donde el regulador falla es en mi opinión legítimo optar por la vía del arbitraje regulatorio.

Referido al RGPD, el arbitraje regulatorio tiene como objetivo principal minimizar el riesgo y evitar los castigos draconianos anunciados en caso de incumplimiento del Reglamento General de Protección de Datos.

Parece claro que estas desproporcionadas multas, de entre 10 y 20 millones de euros y 2 a 4% de la facturación del año anterior, no tienen sentido, menos todavía en los casos de empresarios online “normales”.

Lógicamente solo deberían poder aplicarse acompañías como Google, Amazon, Apple y similares. Por otro lado, estas compañías son las que menos han de preocuparse por ellas.

La minimización de riesgo ante el Reglamento General de Protección de Datos comprende varios factores. Las banderas típicas de la Teoría de Banderas juegan aquí un papel crucial.

Aunque la RGPD también afecta a empresas de fuera de la UE, estas están mucho más protegidas que las empresas de la UE. Y es más, incluso dentro de la UE existen grandes diferencias en la aplicación dla RGPD, como podemos ver en el ejemplo más reciente de Austria, país que ha optado por suavizar la ley.

Cumplimiento parcial de la RGPD

Si tu residencia personal y la sede de la empresa se encuentran en un país de la UE, no podrás evitar cumplir con el reglamento de protección de datos al menos parcialmente.

La minimización de riesgos aquí está orientada a convertirse en una presa menos visible y más difícil en caso de que alguien esté pensando“cazarte” y hacer caja contigo.

En términos generales, la amenaza surge de 5 fuentes distintas:

• los abogados especializados en protección de datos
• las asociaciones de protección al consumidor con abogados especializados en protección de datos
• tu competencia
• tus clientes
• el Estado o la propia UE

En principio, como pequeño emprendedor online seguramente no llegues a estar nunca en el punto de mira de las autoridades de protección de datos de la UE.

Este grupo no va a malgastar recursos para perseguir a los pequeños empresarios. Además, una sanción elevada que pudiera en peligro la existencia del negocio (o incluso la economía personal) traería mucha publicidad negativa.

Al final, el peligro no emana tanto de los organismos públicos, sino más bien de la parte privada. Así que la solución aquí consiste enconvertirse en una mala presa, de forma que el esfuerzo no valga la pena. Esto es algo que se puede conseguir con relativa facilidad.

Cumpliendo parcialmente con la RGPD te habrás armado eficazmente frente a tu competencia y los abogados.

Tampoco debemos olvidar aquí a nuestros propios clientes, que podrían ser fuente de sustos y problemas. Ya no solo porque puedan demandarnos, sino porque podrían decidir que no quieren tratar con una empresa que no respeta mínimamente su privacidad.

Algunos de los puntos importantes del cumplimiento parcial son las cosas que pueden identificarse superficialmente en una página web:

• confirmación de la dirección de email cuando te apuntas a la newsletter o parecido (también llamado doble opt-in)
• registro claro y voluntario a la newsletter (sin esconder la casilla para darse de baja o sin usar el truco de la casilla ya previamente marcada)
• consecución de email usando algún tipo de regalo como gancho (leadmagnet o freebie)
• información de la política de cookies
• pixels de seguimiento
• actualización del texto de política de privacidad

Hay muchos empresarios online que con razón quieren evitar justamente algunos de estos puntos (especialmente el del freebie).

Siguiendo las estrategias que mencionamos en este artículo esto también es posible. Eso sí, en estos casos tendrás que haber creado una estructura que haga que haga difícil encontrar al infractor y costoso llevarle a juicio.

Además de cumplir con los puntos anteriores, las empresas deben crear protocolos de procesos internos y hojas informativas, documentos que podrían necesitar en caso de controles por parte de las autoridades de protección de datos.

Tener esto en cuenta es importante porque debe complementar las estrategias que explicamos en este artículo. Por mucho que tengas una empresa holding para tus webs y dominios, la empresa no solo existe en Internet, sino también en la vida real. Y la ley también te obliga en este caso a cuidar la forma de recopilar y almacenar datos (de clientes, proveedores y empleados, por ejemplo).

Todo empresario debe crear un documento que le sirva como guía de procesos y pueda mostrar a cualquier autoridad, empleado o cliente que lo solicite. Esta guía no es muy difícil de crear, con dos o tres horas debería ser suficiente. Las autoridades de protección de datos al final lo que quieren saber, especialmente en el caso de pequeñas empresas, es que se han tomado el tiempo para reflexionar sobre cómo están procesando los datos de otros.

No quiero entrar aquí en términos concretos sobre el directorio de procesamiento que se preparará junto con las llamadas medidas de control (medidas técnico-administrativas).

Hay un montón de ejemplos sobre ello en numerosas fuentes de Internet. O bien se pueden contratar los servicios de un abogado especializado para conseguir mayor seguridad jurídica.

Como vengo diciendo, lo que quiero mostrar en este artículo es cómo puedes minimizar el riesgo de que la RGPD llegue a convertirse en un problema, no cómo cumplir con ella.

Llegaremos a nuestro objetivo siguiendo cuatro principios fundamentales que el buen viajero perpetuo siempre tiene en cuenta:

• La teoría de las banderas (“Ve allí donde te traten mejor»)
• Protección de activos (“No poseas nada, contrólalo todo»)
• Arbitraje regulador (“Con cada regulación adicional se generan nuevos huecos”).
• Ocultación (“Ojos que no ven, corazón que no siente”)

Arbitraje regulatorio en la RGPD

Uno de los puntos clave de arbitraje regulatorio en relación con la RGPD tiene que ver con el mercado, es decir, el lugar en el que se encuentran los clientes.

A los reguladores les ha parecido muy inteligente que la nueva regulación de protección de datos no tenga aplicación únicamente en empresas de la UE, sino para todas las empresas de todo el mundo que tengan clientes en la UE.

Esto supone que, casi sin excepción, todas las empresas suizas, por ejemplo, se verán afectadas por la RGPD, ya que además de servir a clientes suizos también tienen clientes austriacos, alemanes, italianos o franceses.

Sin embargo, la RGPD no se aplicará en caso de que la empresa (suiza o no) vendiera únicamente a clientes suizos. Aquí entraríamos en el ámbito de la ley de protección de datos mucho más laxa de Suiza, que apenas tiene aplicación en empresas extranjeras.

Entonces, desde el punto de vista de la RGPD, ¿qué pasaría si solo vendemos a Suiza?

Por supuesto, ningún empresario decidirá excluir mercados importantes para evitar la RGPD. Sin embargo, puede valer con poner en tu sitio web que Suiza es tu mercado objetivo y no Alemania o Austria. O Estados Unidos en vez de Inglaterra. O Argentina en vez de España.

Ya solo con usar un dominio adecuado (como .ar .cl, .mx, etc.), dar precios en dólares o pesos, mencionar a argentinos o mexicanos en tus artículos o incluso poner un aviso legal solo para clientes americanos, da la impresión superficial de que la RGPD no es relevante para ti porque tus clientes no parecen estar en la UE.

Ya solo con esto podrías escapar de la primera mirada superficial de abogados en busca de presas fáciles, que tendrían que demostrar lo contrario investigando tu negocio más a fondo (lo cual, de nuevo, no merece la pena dada la cantidad de presas más fáciles que sin duda tienen).

Incluso si tienes a tus clientes dentro de la UE, no en todos los países se aplica la regla por igual. En última instancia, la RGPD otorga a las autoridades estatales locales un amplio margen de maniobra en la interpretación y aplicación dla RGPD. Numerosos países, entre ellos recientemente Austria, han suavizado la regulación en bastantes puntos.

Algunos países de la UE tienen dudas sobre si realmente les interesa hacer cumplir la RGPD. En este caso, podemos mencionar Irlanda, país en el que muchas de las grandes corporaciones estadounidenses se han asentado y cuyas autoridades encargadas del cumplimiento de la protección de datos ya tienen más que suficiente con ellas.

Estas grandes compañías no están allí por casualidad. Además de tener motivos fiscales, también lo hacen por la regulación local. La laxitud en la legislación de  protección de datos es allí también una ventaja.

Sin duda, como pequeña empresa allí apenas serás visible entre tanto gigante devorador de datos. Por eso, aparentar dirigirse únicamente a clientes irlandeses (en caso de que estés en el mercado angloparlante) puede ser una excelente opción si además has registrado una Foundation Limited irlandesa (opción de la que hablamos más adelante).

Tampoco las autoridades de los países del Este de Europa pondrán muchos problemas a sus empresarios.

Sea como sea, en países como España, Francia o Alemania las cosas funcionan de otra forma. A continuación, te explico cómo puedes minimizar riesgos a través de estrategias para los que no cumplen con los requisitos.

El incumplimiento de la RGPD

Aquellos que no quieran adheriste al Reglamento General de Protección de Datos o solo quieran hacerlo parcialmente, deben recurrir a una anonimización completa de la infraestructura de su sitio web.

Como decíamos, la RGPD también se aplica a compañías no pertenecientes a la UE que tengan clientes en la UE. Sin embargo, las posibilidades de actuar contra empresas de fuera de la UE son claramente más limitadas.

Así, anonimizando los propietarios o separando el negocio operativo de la parte online interponiendo una empresa a cuyo nombre se registren dominios y alojamiento puede ayudar mucho.

Si te decides por no cumplir la RGPD, tendrás que prestar especial atención a algunos puntos.

• Esto no es posible para los propietarios de páginas web cuyos negocios están unidos a una marca personal o en los que se identifica claramente a la persona que está detrás (entrenadores, coaches, influencers, etc.). En estos casos siempre existirá el peligro del llamado levantamiento del velo corporativo (“piercing the corporate veil”), es decir, se deroga la entidad legal separada y el propietario queda imputado. Si usas tu nombre en la web pero quieres minimizar riesgos tendrás que vivir fuera de la UE. Eso sí, incluso en este caso, podrías tener problemas a tu entrada en la UE según los delitos de los que se te acuse. En casos en los que no es posible dar con la persona a menudo se comunican los requerimientos en los controles de entrada o salida de la UE. Así, la estrategia a seguir aquí es no ser propietario del dominio ni del sitio web que no cumple el reglamento de protección de datos. Para evitar problemas se podría usar como propietario una fundación, una asociación o un tercero. Aquí el levantamiento del velo no es posible porque no hay un propietario (o es un tercero).

• Algunos modelos de negocio no funcionarán con la estrategia de separar la infraestructura del sitio web del negocio operativo. Esto se aplica en particular a muchas plataformas para productos digitales y marketing de afiliados, en las que la empresa afiliada debe cumplir con ciertas normas para que se le acepte como afiliada (avisos legales, protección de datos…). Por supuesto, dependiendo de la intensidad de la inspección, puedes hacer “trampas” (cambiar de nuevo los avisos legales una vez que ya te has registrado como afiliado). Eso sí, tienes que tener claro que violas los términos y condiciones y que si alguien se queja y lo revisan podrías ser bloqueado.

• No es absolutamente necesario separar la infraestructura del sitio web del negocio operativo, pero en general se recomienda a los españoles, alemanes, franceses, portugueses, austriacos y suizos debido a las estrictas normas que dificultan el control de empresas extranjeras. Mediante el uso de fiduciarios se puede garantizar la anonimidad.

• La forma más segura de dejar atrás la Hacienda en el país de origen es crear sustancia en el extranjero. En caso de que operes en la UE, si quieres conseguir mayor anonimidad es recomendable buscar una ubicación para la empresa extraeuropea, pues en la UE la tendencia es a crear un registro común de beneficiarios. Fiscalmente hablando, conviene que exista un acuerdo de doble imposición para que se reconozca esta ubicación. Los países típicos para esto son los Emiratos Árabes Unidos, Singapur, Hong Kong y Estados Unidos.

• Cualquier persona que resida en un país de baja o nula presión fiscal, por lo general, puede actuar con compañías offshore anónimas que no cumplen la RGPD, siempre y cuando, eso sí, la persona detrás de la marca no aparezca nombrada abiertamente (marca personal). En este caso, recomendamos al menos un cumplimiento parcial y una fundación (véase más arriba).

• Queda señalar que muchos proveedores de servicios y plataformas exigen o al menos esperan que sus clientes cumplan con la RGPD de forma que el incumplimiento podría llevar a que dichos proveedores no quieran trabajar con empresas que no cumplan (especialmente si se dan quejas por parte de clientes). Por eso, es recomendable cumplir con las ley de protección de datos al menos en la parte más superficial.

La variante más segura, siempre y cuando sea posible, es la creación de un holding de dominio fuera de la UE. Estamos hablando de crear una empresa que actue como holding del dominio y la totalidad de la infraestructura del sitio web. Un holding que no tiene ingresos y, por lo tanto,  no tendrá problemas con las CFC rules ni con la dirección efectiva aunque se trate de una mera sociedad pantalla.

Para el holding de dominio hay que tener cuidado con 2 aspectos importantes:

• Conseguir el mayor anonimato posible para la estructura de la compañía
• Conseguir el mayor anonimato posible para la estructura del sitio web

Separación de sitio web y negocio operativo a través de un holding de dominio

A continuación te explicamos la variante más recomendada, allí donde sea posible: la separación de los sitios web del negocio operativo con la reubicación de los dominios en un “holding dedicado”.

Las facturación continúaría realizándose a través de la empresa original, empresa que prácticamente «no existe» en internet y, por lo tanto, va a ser un blanco muy difícil. Solo deberá cumplir con las normas internas de la ley de protección de datos, por si hubiera una inspección (nos referimos aquí a la elaboración del registro).

Los holdings de dominio más seguros están en el marco de una sociedad o fundación offshore en las Islas Marshall. Las Islas Marshall son un territorio de los Estados Unidos de administración especial en el Pacífico. Se trata de una ubicación extremadamente incómoda para todo aquel que quiera demandar a sus empresas locales, ya que el viaje hasta allí es realmente largo.

Las Islas Marshall están bajo el protectorado de EEUU (como quizás sepas, en EEUU la RGPD no ha gustado especialmente), pero legalmente son totalmente autónomasy no reconocen sentencias de otros países.

Para que la Administración en Islas Marshall se decida a identificar al propietario de una compañía local es necesaria una sentencia condenatoria por parte de un juez local.

De todas formas, ni siquiera se descubrirá qué tipo de empresa está detrás de la web (menos si informas de la razón social en el aviso legal, claro) hasta que no se haya a travesado la protección que confieren las plataformas de alojamiento anónimo (esto se explica más abajo). Sea como sea, si la compañía en Islas Marshall está debidamente estructurada, el demandante no tiene ninguna posibilidad.

Correctamente estructurado significa constituida con acciones al portador móviles. Este tipo de acciones al portador estuvieron muy extendidas en su día, pero ahora solo son posibles en su máxima expresión en las Islas Marshall. Las empresas fundadas con acciones al portador (en inglés bearer shares) no están registradas en ninguna parte. Ningún registro o empleado de la misma conoce a la empresa ni a sus propietarios. Ninguna filtración en el mundo puede revelar al dueño de una sociedad anónima al portador. Y cada propietario puede declarar bajo juramento que no es dueño de tal compañía.

Las acciones al portador significan que el propietario de una empresa es el titular de la «acción». Por consiguiente, la empresa puede cambiar de propietario en cualquier momento mediante la entrega del «certificado de acciones». Si las acciones están bien depositadas, no es posible descubrir quiénes son los propietarios.

Además de las Islas Marshall, hay muchas otras jurisdicciones en el mundo que continúan ofreciendo acciones al portador. Sin embargo, el problema es que están  inmovilizadas. Esto significa que la acción al portador debe almacenarse en una caja de seguridad bancaria de forma que el banco sabe quién es el verdadero propietario de la empresa.

En este caso ya no nos encontramos con un anonimato absoluto, eso sí, a cambio tenemos una empresa que sí puede abrir cuentas bancarias (actualmente ningún banco abrirá una cuenta bancaria a una sociedad con acciones al portador móviles).

De todas formas, nuestro holding de dominio no tiene ingresos operativos y, por lo tanto, no necesita una cuenta bancaria. Sólo tienes que pagar por tus dominios y servidores, lo que se puede hacer a través de criptomonedas, sobre todo si eliges uno de los hostings anónimos recomendados.

Resumiendo, la empresa en Islas Marshall sería la mejor manera de proteger tu sitio web de demandas, requerimientos y sanciones.

Una empresa en las Islas Marshall no es muy cara y puede fundarse conacciones al portador con un coste de fundación de 1900€ y un pago de 900€ a partir del segundo año. El pasaporte, la factura de consumo y la referencia bancaria son necesarios únicamente por motivos de cumplimiento de las normas internacionales de los procedimientos KYC (verificación del cliente).

Por supuesto que no necesariamente tienes que ir a la opción óptima. Cualquier jurisdicción offshore sin registros mercantiles públicos te ofrecerá un alto nivel de seguridad, especialmente si usas testaferros. Así, el demandante primero deberá obtener acceso al registro no público y luego a los verdaderos propietarios detrás de los testaferros.

Prácticamente ningún Estado, empresa, particular ni abogado invertirá tanto tiempo y dinero por una simple violación de la RGPD.

Quien quiera tener una compañía más barata que la de Islas Marshall, puede fundar una LLC en Nuevo México por aproximadamente 400 $. Nuevo México es el estado que ofrece mayor anonimidad en EEUU y no comparte información sobrelos propietarios de la compañía.

También se recomiendan las jurisdicciones offshore prominentes como Nieves o las Islas Cook, que son conocidas por su protección de activos. No ofrecen acciones al portador, pero a cambio una legislación igualmente ventajosa cuando te enfrentas a demandas desde el extranjero.

Por ejemplo, para presentar una demanda en Nieves deberás depositar 100.000 $ en efectivo en el juzgado, pagar a los abogados desde el primer día (que además son muy caros) y hacerte cargo de todos los costes del tribunal y de los abogados de la otra parte en el probable caso de fracaso.

Otra estrategia que podrías seguir consiste en separar a la empresa de uno mismo. En teoría, ni siquiera se necesitaría una sociedad. Puedes tener el dominio o servidor directamente a través de una fundación o una asociación. Las tres estructuras (sociedad offshore, fundación o asociación) resultan ser opciones formidables para protegerte.

Tan pronto como haya un mínimo de dos dueños, puede ser atractivo crear una asociación suiza no registrada (nicht eingetragenen Schweizer Verein) como holding de dominio. Esto sale casi gratis. Sólo se requiere una dirección física en Suiza para dar de alta la asociación. En lugar de dejar que la asociación tenga los dominios en sí, también puedes, por supuesto, hacer que la asociación participar en sociedades offshore.

Otra alternativa es crear una fundación familiar, pero incluso en el país más barato, que es Panamá, cuesta más de 2.500 $. Aún más caros son los fideicomisos (o trust) típicos de los países de la common law (Reino Unido y sus antiguas colonias).

Eso sí, hay que tener en cuante que un fideicomiso no es una entidad jurídica independiente, sino un contrato por el que se transfieren activos, tales como empresas, a un tercero. Esto a menudo proporciona protección fiscal y legal al dueño originario, y hace que sea el fideicomisario quien incumpla con la RGPD. Sin embargo, dado que los fideicomisarios suelen residir en paraísos fiscales, la probabilidad de poder demandarle con éxito es mínima.

Las opciones cuando no es posible tener un holding para los dominios y webs

Hasta ahora hemos hablado sobre la estricta separación de una compañía administradora de sitios web y el negocio operativo. Por razones comerciales, esto no siempre será posible, por lo que habrá que utilizar otras estrategias. Por ejemplo, muchas plataformas de marketing de afiliación o de venta de productos requieren que la empresa aparezca con la misma información en la página web que en sus facturas, cuenta bancaria y demás.

Se puede intentar una separación, sin embargo, correrás el riesgo de violar las condiciones de uso. En muchas jurisdicciones offshore en las que tiene sentido tener tu holding de dominio, puedes elegir libremente añadir las siglas de otras formas jurídicas. Por ejemplo, podrías tener una una IBC en Nieves con las siglas de una SL, LTD o GmbH y alquilar una oficina virtual en España, Argentina, México, Reino Unido o Alemania. Así aparentará ser una empresa onshore “normal”, pero sin estar inscrita en el registro mercantil, claro.

El llamado «Name Mismatch» es una estrategia común, pues a menudo es algo que se pasa por alto. En muchos casos será suficiente si el holding de dominio tiene el mismo nombre que la compañía operativa. Por ejemplo, alguien que constituya una sociedad conacciones al portador en las Islas Marshall y que, por lo tanto, no tiene una cuenta bancaria, simplemente puede fundar una segunda sociedad en Islas Marshall sin acciones al portador con una cuenta que lleve el mismo nombre pero con un pequeño cambio. La «l» minúscula y la «I» mayúscula son casi iguales, como también son difíciles de diferenciar el 0 (cero) y la «O» mayúscula, o «nn» de «m».

Sea como sea, es claramente mejor unir la protección ante la RGPD a la optimización fiscal y de eso es de lo que vamos a hablar a continuación.

En este caso, dado que la empresa se utiliza de forma operativa (va a facturar a clientes), entran en juego los aspectos antievasión fiscal, al menos será así si la administración o los socios tienen su residencia en un país de fuerte presión fiscal (como México, Argentina, España, Chile, etc.).

Ni los turistas perpetuos ni quien resida en un país con tributación territorial o nula tendrán problemas con estas leyes y, en principio, no necesitan seguir leyendo lo que explicamos en este apartado, el holding de dominio del que hablábamos antes será suficiente para ellos, simplemente tendrán que usarlo de forma operativa.

Para los que todavía residen fiscalmente en un país de alta presión fiscal quedan dos opciones (en la parte fiscal):

• Montar una empresa extranjera que construye sustancia
• Montar una empresa extranjera que opera anónimamente

La segunda variante implica evasión fiscal, por lo que no profundizaremos en ella.

Al final, el propietario de la empresa debe decidir si quiere intentar que se reconozca su empresa extranjera o si prefiere pagar impuestos como si se tratase de una empresa nacional (régimen de transparencia fiscal internacional). Debido a las estrictas regulaciones con respecto a las empresas extranjeras en algunos países, intentar que se reconozcan las ventajas fiscales de la residencia de las empresas extranjeras solo vale la pena a partir de un cierto beneficio de entre 70.000 € y 100.000 € anuales.

Bulgaria es atractiva porque, además del bajo impuesto de sociedades del 10%, es uno de los países más baratos de la UE para construir sustrato empresarial. Después de todo, los costes de un establecimiento, director y empleados locales son muy bajos.

Sin embargo, debido al probable registro europeo de beneficiarios (Beneficial Owner Register), podría ser mejor (desde el punto de vista de protección ante la RGPD) montar una empresa fuera de la UE. En este caso, se debe prestar atención a que exista un convenio de doble imposición con el país de residencia, pues de este modo los requisitos al sustrato empresarial son mucho más fáciles de cumplir en comparación con lo que ocurre sin dicho convenio.

Los países típicos son de nuevo EEUU, así como también Suiza, Liechtenstein, Singapur, Hong Kong, Georgia o una empresa de una zona de libre comercio de los Emiratos, en la que el anonimato se puede garantizar en gran medida con testaferros.

No poseas nada, contrólalo todo

Dentro del holding de dominio ya he tratado la posibilidad de los fideicomisos, fundaciones y asociaciones. Me gustaría repetir esto aquí otra vez. Al fin y al cabo, estas estructuras se suelen ignorar por completo. Además del lema de la teoría de las banderas «Ve allí donde te traten mejor», tenemos también el lema de la protección de activos «no poseas nada,contrólalo todo», que es igual de importante.

Mientras que los ricos de este mundo han vivido bajo este lema durante siglos, la clase media ha desarrollado un orgullo exorbitado por la «propiedad» y de ninguna manera quiere transferirla a otros (menos todavía en las culturas latinas).

Sin embargo, esta actitud debería reconsiderarse, especialmente en el caso del alto riesgo que suponen normativas como la RGPD, el modelo 720 en España, las nuevas normativas respecto a criptomonedas, impuestos sobre el patrimonio, exit tax y demás.

Como describíamos anteriormente, en ciertos casos la limitación de responsabilidad puede quedar sin efecto y se puede atribuir un delito a los propietarios de la empresa («levantamiento del velo corporativo» piercing the corporate veil).

Como decíamos, este levantamiento del velo se dará especialmente si el negocio consiste en una marca personal, es decir, el sitio web no puede hacerse de forma anónima (el típico negocio de coaching).

Ciertas estructuras, como las fundaciones o las asociaciones, son una gran solución en este caso, porque se pertenecen a sí mismas. No hay ningún propietario a quien se le pueda atribuir un delito.

En lugar de externalizar la posesión de tu web cediéndosela a un holding de dominio, puedes hacerlo al revés: sacas todos tus bienes y  los dejas en fundaciones y fideicomisos que controlas.

Christoph, por ejemplo, trabaja con una fundación familiar en Panamá y no posee nada más que su equipaje de mano. En este caso puedes mantener los dominios a tu nombre o el de tu empresa, porque de todos modos no hay nada que sacar. En el peor de los casos la empresa se declararía en quiebra o tú mismo como insolvente.

Esto ni siquiera requiere fundaciones. Si de todos modos no tienes dinero, no hay nada que conseguir. Por supuesto, también podrías registrar tus dominios a nombre de personas sin patrimonio, que recibirán una pequeña compensación por cualquier riesgo de inconvenientes.

Estas personas pueden estar ubicadas en cualquier parte del mundo, solo hay que elegir bien el dominio. Aquí puedes encontrar posibilidades rápidamente a través de los portales de empleo online más comunes. De este modo, el riesgo que supone el incumplimiento de la RGPD disminuye drásticamente.

Por supuesto que, teóricamente, estás cediendo la propiedad de dominio, que probablemente sea valiosa, pero puedes disponerlo todo de tal manera que todavía puedas controlar el dominio y transferirlo en cualquier momento, especialmente si tratas con alguien que no sepa cómo funciona lo de los dominios.

Puedes, por ejemplo, fundar una asociación alemana con empresarios amigos para usarla como holding de dominio con el único propósito de administrar los sitios web y dominios. Se excluye la responsabilidad de los miembros de la asociación. Sólo se debe nombrar como administrador a una persona “sin un céntimo”, ya que en caso de duda puede considerarse responsable.

Como decíamos, cuando no es posible optar por un holding de dominio, el empresario siempre puede proteger su patrimonio privado a través de asociaciones o fundaciones.

Una alternativa más recomendable es la sociedad operativa propiedad de la asociación o fundación. Una opción de diseño interesante en los países de habla alemana es la English o Irish Foundation-Limited (Limited by guarantee). Gracias a la legislación de la UE, teóricamente también se puede inscribir una fundación limitada irlandesa en el registro mercantil alemán.

En los casos en que tienes que aparecer públicamente en tus páginas web o tienes que ser público por determinados motivos, puedes actuar de forma relativamente segura con la RGPD. Porque una fundación limitada se pertenece a sí misma y, por lo tanto, no es embargable.

En términos fiscales es tratada como una sociedad nacional, pero en cuanto al derecho de sociedades se aplica la ley irlandesa o inglesa. Eso sí, dado que este tipo de fundación operativa no existe en el derecho alemán, muchos notarios rechazan ahora la inscripción en el registro mercantil alemán, que en realidad es legal en virtud del derecho de la UE. Las cuentas de negocios también son difíciles de abrir.

El funcionamiento de las fundaciones y asociaciones puede ser muy complicado, sin embargo, si solo las usas para mantener una página web, las consideraciones sobre el derecho fiscal y de fundaciones son totalmente secundarias. Aun así, está claro que deberías dejarte asesorar por un experto en esta materia en el momento de la creación.

Resumen de las opciones para quien no pueda o quiera cumplir con la nueva ley de protección de datos (RGPD)

Resumamos ahora brevemente las posibilidades que tienes de acuerdo con la situación personal:

• Residente en la UE, persona pública: uso de fundaciones o asociaciones
• Residente en la UE, anónimo, holding de dominio: registro de una empresa offshore (fiduciario/ acciones al portador)
• Residente en la UE, anónimo, empresa operativa sin sustrato: empresa extranjera que tributa como si se tratase de una empresa local
• Residente en la UE, anónimo, empresa operativa con sustrato: creación de sustrato empresarial en la UE o en países con convenio de doble imposición
• Residente fuera de la UE, persona pública: uso de trusts, fundaciones o asociaciones
• Residente fuera de la UE, anónimo, holding de dominio: creación de una empresa offshore
• Residente fuera de la UE, empresa anónima y operativa: en general, cualquier empresa no perteneciente a la UE. Mayor anonimato mediante testaferros.

En el mejor de los casos, estas opciones se combinan si uno puede permitirse crear una estructura de fundaciones y varias empresas, algo solo posible con la residencia personal adecuada. De este modo, puedes desarrollar una estructura imposible de romper por ningún abogado.

Hay que tener en cuenta que, con cada pequeño paso o protección que añadimos estamos aumentando enormemente el coste por parte de la parte demandante, de modo que al final nos convertimos en una presa demasiado difícil, que no merece la pena.

Proveedores de alojamiento y registro de dominios anónimos

Si estás usando la estructura apropiada ya no tendrás que preocuparte más. No supone ningún problema que el abogado se haga con los datos de la empresa en Islas Marshall ya que no descubrirá quién está detrás (especialmente si se trata de una empresa con acciones al portador móviles).

Así, la anonimización del alojamiento y dominio es sólo una medida más para aumentar las dificultades a las que se enfrenta quien quiera demandarte por no cumplir con la ley europea de protección de datos.

Crear una infraestructura anónima para la web es mucho más importante para aquellos que, por el motivo que sea, quieren prescindir de las posibilidades mencionadas anteriormente.

No bastará con hacer anónimo el dominio a través de la protección con el protocolo TCP WHOIS y del servidor a través del sistema DNS. Este es, sin duda, un paso recomendado para aumentar los costes para identificar al operador del sitio web, pero no para la protección completa.

Los proveedores europeos suelen ceder los datos de los dueños cuando se encuentran con amenazas por parte de abogados, como tarde cuando se encuentran con una sentencia judicial. Por esta razón, es aconsejable que tus sitios web estén alojados en países que garanticen el mayor anonimato posible y que no revelen tus datos, incluso si las autoridades extranjeras lo solicitan.

La mejor opción es alojar los sitios web en países nórdicos: Islandia, Noruega y Rusia siguen siendo bastante recomendables.

Si puedes, también es interesante usar el dominio de diversos países diminutos. Son muy conocidos, por ejemplo, .to (Tonga), .io (Territorio Británico del Océano Índico), .tv (Tuvalu) o también .is (Islandia). Por supuesto, usar estos dominios puede traer otras desventajas (en cuanto al SEO o la confianza que despierta tu página web).

El bloqueo de estos dominios es mucho más difícil que con un dominio de la UE, por ejemplo. El dominio suizo .ch también es interesante porque Suiza no participa en la RGPD.

A la hora de registrar tus dominios puedes usar servicios fiduciarios como los de nja.la. Emn este caso firmas un contrato con ellos que te asegura el control total de los dominios a pesar de estar a nombre de Njalla.

Lo que también debes tener en cuenta al anonimizar tus sitios web es mantener en orden el flujo de pagos.

No sirve de nada tener toda la estructura de la empresa de forma anónima si tus datos privados se pueden rastrear por los pagos con tarjeta de crédito. Por lo tanto, tienes que pagar a los proveedores correspondientes a través de Bitcoin, Paysafecard o métodos anónimos similares, nunca con una tarjeta de crédito personal o de la empresa operativa. Si tu alojamiento no acepta criptomoneda, quizás deberías buscar otro.

En conclusión, debes tener presente nuevamente los cuatro principios centrales para reducir al mínimo el peligro de convertirte en una víctima del Reglamento General de Protección de Datos. Estos cuatro principios son:

• Teoría de las banderas (“Ve allí donde te traten mejor»)
• Protección de activos (“No poseas nada, contrólalo todo»)
• Arbitraje regulador (“Con cada regulación aparecen nuevos huecos legales”).
• Ocultación (“Ojos que no ven corazón que no siente”)

Lo ideal sería registrar primero una empresa en la jurisdicción que te ofrezca mayor anonimidad y ventajas (teoría de las banderas), gestionada por una estructura que se pertenezca a sí misma (protección de activos) y que cumpla al menos parte de las directrices dla RGPD (arbitraje regulador), además de ocultar en lo posible quién está detrás (ojos que no ven…). Si incorporas los cuatro principios en tu estrategia anti-RGPD, tendrás poco de qué preocuparte.

Sin embargo, incluso si sólo aplicaras uno de los cuatro principios mencionados anteriormente, ya habrás conseguido mucho, los costes para aquel que quiera demandarte o amenzarte aumentarán considerablemente, de forma que no les valdrá la pena y lo dejarán estar.

Si tras leer este artículo todavía te quedan dudas, puedes contratar una consulta personal en la que estudiaremos tu caso y buscaremos la mejor opción. Por supuesto, también puedes ponerte en contacto con nosotros para registrar a través de nuestros socios una sociedad en Islas Marshall o una fundación en Panamá.

¡Porque tu vida es tuya!