Marco jurídico e implicaciones fiscales del comercio electrónico en España

2 Principios configuradores de la regulación

2.1 Normativa civil y mercantil

2.1.1 Código Civil y Código de Comercio

En la contratación electrónica resulta de plena aplicación la normativa establecida por nuestro Código Civil en materia de obligaciones y contratos y el Código de Comercio.

Asimismo, interesa destacar la aplicación del Reglamento CE 593/2008, de 17 de junio de 2008, sobre la ley aplicable a las obligaciones contractuales (Roma I), el cual se aplica a las obligaciones contractuales en materia civil y mercantil en las situaciones que impliquen un conflicto de leyes.

2.1.2 Ventas a distancia

Igualmente aplicable en la realización de ventas electrónicas resultan las normas sobre ventas a distancia y otras relevantes en este ámbito:

Para operaciones en que el comprador es empresario o profesional, debe tenerse en cuenta la Ley 7/1996, de Ordenación del Comercio Minorista, en su capítulo referido a las Ventas a Distancia, el cual nos remite a lo establecido en el Título III del Libro II del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias ("TRLGDCU") .
Para actividades de comercio electrónico dirigidas a consumidores será necesario cumplir con la normativa sobre protección al consumidor regulada en el citado TRLGDCU.

Este texto define las ventas a distancia como aquellas celebradas sin la presencia física simultanea del comprador y del vendedor, transmitiéndose la propuesta de contratación del vendedor y la aceptación del comprador de forma exclusiva por un medio de comunicación a distancia de cualquier naturaleza y dentro de un sistema de contratación a distancia organizado por el vendedor.

Esta Ley determina el contenido mínimo exigible a las propuestas de contratación a distancia (tanto con consumidores como entre empresarios), que deberán incluir, entre otros:
- La identidad del vendedor, incluido su nombre comercial.
- Las características principales del producto, el precio, los gastos de transporte y, en su caso, el coste de la utilización de la técnica de comunicación a distancia si se calcula sobre una base distinta de la tarifa básica.
- La dirección completa del establecimiento del empresario, número de teléfono y dirección de correo electrónico, y de cualquier otro medio que ponga el empresario a disposición de los consumidores o usuarios.
- Cuando proceda, que el precio se ha personalizado sobre la base de una toma de decisiones automatizadas.
- La forma de pago y modalidades de entrega o ejecución.
- El plazo de validez de la oferta y, si procede, la duración mínima del contrato.
- La existencia de un derecho de desistimiento o resolución así como, en su caso, las circunstancias y condiciones en que el vendedor podría suministrar un producto de calidad y precio equivalentes.
- El procedimiento extrajudicial de solución de conflictos al que esté adherido, en su caso, el vendedor.
- Recordatorio de la existencia de una garantía legal, que dependerá del tipo de bienes o servicios.
- Indicación de los supuestos en los que el vendedor deberá asumir los costes de devolución de los bienes.
Esta norma regula, entre otras cuestiones que afectan a los consumidores, el régimen de condiciones y cláusulas abusivas de los contratos celebrados con consumidores, y el derecho de desistimiento que corresponde a los consumidores en las ventas a distancia (catorce días naturales).
Adicionalmente, si la comercialización a distancia entre consumidores tiene por objeto servicios financieros, debe tomarse en consideración la Ley 22/2007, de 11 de julio, sobre comercialización a distancia de servicios financieros destinados a los consumidores. La referida Ley regula de forma específica la protección al consumidor en la prestación de servicios financieros a distancia mediante, entre otras medidas, la obligación genérica de facilitar información exhaustiva al consumidor sobre el contrato con carácter previo a su celebración y reconociendo al consumidor un derecho específico de desistimiento del contrato celebrado a distancia.
Cuando para el desarrollo de la contratación se pretenda incorporar cláusulas predispuestas a una pluralidad de contratos, deberemos atender a la Ley 7/1998, sobre Condiciones Generales de la Contratación.
En caso de que el objeto de la actividad desarrollada consista en la venta de bienes de consumo, debe considerarse también las garantías en la venta de bienes de consumo contenidas en el mencionado TRLGDCU, que establece las medidas tendentes a garantizar un nivel mínimo uniforme de protección de los consumidores. Dichas normas exigen al empresario establecer una garantía gratuita a favor de los consumidores por un periodo de tres años para todos los bienes de consumo (adquiridos por primera vez) y dos años en el caso de contenidos o servicios digitales¹, así como, facilitar al consumidor distintas opciones para, cuando el bien adquirido no sea conforme con los términos del contrato, ponerlo en conformidad, dándole la opción de elegir entre exigir la reparación o la sustitución del bien.

2.1.3 Otras disposiciones relevantes

Conforme a lo previsto en la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, las empresas que presten servicios al público en general de especial trascendencia económica y que tengan cierta dimensión, están obligadas a facilitar a sus usuarios un medio de interlocución telemática que, mediante uso de certificados reconocidos de firma electrónica, les permita realizar, al menos, los trámites de: (a) contratación electrónica, modificación y finalización de contratos; (b) consulta de sus datos de cliente (incluyendo el historial de facturación de al menos los 3 últimos años) y el contrato suscrito, con las condiciones generales; (c) presentación de quejas, incidencias, sugerencias y reclamaciones (garantizando la constancia de su presentación y atención personal directa); y (d) ejercicio de los derechos que prevé la normativa de protección de datos.

Esta obligación aplica a aquellas empresas que presten servicios al público en general de especial trascendencia económica siempre que agrupen a más de 100 trabajadores o cuyo volumen anual de operaciones (según la normativa del IVA) exceda de 6.010.121,04 €. Las empresas que la Ley 56/2007 incluye en esta categoría son las que operan en los siguientes sectores: (i) servicios de comunicaciones electrónicas a consumidores; (ii) servicios financieros destinados a consumidores (bancarios, de crédito o de pago, servicios de inversión, seguros privados, planes de pensiones y la mediación de seguros); (iii) suministro de agua a consumidores; (iv) suministro de gas al por menor; (v) suministro eléctrico a consumidores finales; (vi) agencia de viajes; (vii) transporte de viajeros por carretera, ferrocarril, por vía marítima, o por vía aérea; y (viii) comercio al por menor (aunque para éstas últimas solamente se exige que el medio de interlocución telemática permita lo previsto en las letras (c) y (d) anteriores).
Por su especial trascendencia en el comercio electrónico merece destacar también algunas normas relativas a los servicios de pago:
1. El Real Decreto-Ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera es la norma que transpone en España la Directiva (UE) 2015/2366 de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior (conocida como Directiva PSD2). Este Real Decreto-Ley ha derogado la Ley 16/2009, de 13 de noviembre, de Servicios de Pago (LSP). La normativa de servicios de pago afecta principalmente a las operaciones de pago más utilizadas en el entorno del comercio electrónico: transferencias, domiciliaciones y tarjetas, estableciendo como regla general que el ordenante y el beneficiario de la operación han de asumir cada uno de los gastos cobrados por sus respectivos proveedores de servicios de pago. En todo caso, cuando se trate de operaciones con consumidores la normativa específica (Real Decreto Legislativo 1/2007) prohíbe que el empresario cobre al consumidor cargos por el uso de medios de pago que excedan del coste soportado por el empresario por el uso de tales medios de pago.
  
  Debido al volumen y a la importancia de los datos que pueden intercambiarse con motivo de las transacciones económicas realizadas en un entorno de comercio electrónico, resulta especialmente relevante la protección de los datos personales que estas puedan contener. En este sentido, resulta relevante tener en cuenta las Directrices 6/2020 sobre la interacción de la Segunda Directiva sobre servicios de pago y el Reglamento general de protección de datos, adoptadas por el Comité Europeo de Protección de Datos (“EDPB”), el 15 de diciembre de 2020.
  
  Por último, tanto el Real Decreto-Ley 19/2018 como la normativa de consumidores prevén para los contratos a distancia que, en caso de que el importe de una compra o de un servicio se haya cargado fraudulenta o indebidamente utilizando el número de una tarjeta de pago, el consumidor podrá pedir la inmediata anulación del cargo.
  
  Como una de las grandes novedades del Real Decreto-Ley 19/2018, este regula los servicios de iniciación de pagos y los servicios de agregación de información de cuentas.
2. La regulación de las tasas de intercambio introducida por el Real Decreto-ley 8/2014, de 4 de julio y la Ley 18/2014, de 15 de octubre. Esta norma establece un régimen de límites máximos a las tasas de intercambio en operaciones con tarjeta en el entorno español (aplicándolas a TPVs situados en España), mediante tarjeta de crédito o débito, con independencia del canal de comercialización utilizado (es decir, incluyendo TPVs físicos y virtuales), siempre que requieran la participación de proveedores de servicios de pago establecidos en España.
  
  Las limitaciones, aplicables desde el 1 de septiembre de 2014, son las siguientes:
  1. Tarjetas de débito: La tasa de intercambio por operación no puede exceder el 0,2% del valor de la operación, con un máximo de 7 céntimos de euro. Pero si el importe no excede de veinte euros, la tasa de intercambio no podrá exceder del 0,1% del valor de la operación.
  2. Tarjetas de crédito: La tasa de intercambio por operación no puede exceder del 0,3% del valor de la operación. Pero si el importe no excede de veinte euros, la tasa de intercambio no podrá exceder del 0,2% del valor de la operación.
  Estas limitaciones no afectan a operaciones realizadas mediante tarjetas de empresa ni a las retiradas de efectivo en cajeros automáticos. Además, los sistemas de tarjetas de pago tripartitos quedan excluidos de la aplicación de estas limitaciones, excepto en determinados casos que la norma identifica.
Merece destacarse, también, la Ley 29/2009, de 30 de diciembre, por la que se modifica el régimen legal de la competencia desleal y de la publicidad para la mejora de la protección de los consumidores y usuarios. En especial, debe destacarse la consideración como práctica desleal de la realización de propuestas comerciales no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo que esté justificado legalmente para hacer cumplir una obligación contractual. Asimismo, el empresario o profesional deberá utilizar en estas comunicaciones sistemas que permitan al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional, para lo cual, en caso de realizarse telefónicamente, las llamadas deberán realizarse desde un número de teléfono identificable.
Es conveniente tener en cuenta la normativa derivada de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. En España, esa Directiva ha sido incorporada al derecho local por medio del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información el cual, a su vez, ha sido desarrollada por el Real Decreto 43/2021, de 26 de enero. Esta normativa es de aplicación a operadores de servicios esenciales y a prestadores de servicios digitales, tal como se definen en ella (entendiéndose por servicios digitales los servicios de almacenamiento de información -cloud computing, los buscadores en línea y los mercados en línea –marketplaces-). En particular, estos marketplaces son una forma cada vez más habitual de desarrollar actividades de comercio electrónico.

Cabe destacar que la citada Directiva (UE) 2016/1148 ha sido recientemente derogada por la Directiva (UE) 2022/2555, de 14 de diciembre de 2022 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS 2).

Los objetivos principales de esta nueva Directiva son: eliminar las divergencias que han surgido entre la regulación nacional de ciberseguridad de los Estados miembros y su aplicación, concretamente mediante la definición de normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a la obligaciones de ciberseguridad, y la disponibilidad de vías de recurso y medidas de ejecución eficaces para garantizar el cumplimiento efectivo de dichas obligaciones. Sin embargo, aunque esta Directiva ha entrado en vigor el día 16 de enero de 2023, la fecha prevista como límite para su transposición será el 17 de octubre de 2024, por lo que hasta que se apruebe su transposición en España, seguirá siendo de aplicación lo establecido en el Real Decreto-ley 12/2018.

Dejamos simplemente apuntada esta legislación porque, aunque solo aplica a determinados tipos de prestadores de servicios, resulta muy importante su cumplimiento, especialmente respecto a los sujetos obligados del Real Decreto-ley 12/2018, y aquellos otros que recoja la norma que transponga la Directiva NIS 2, de acuerdo con las nuevas actividades y criterios para determinar si una entidad es sujeto obligado que incluye la Directiva en su ámbito de aplicación.

Todo sujeto obligado deberá tener en cuenta esta normativa, que, entre otros, implica la obligación de notificación previa a las autoridades competentes y el cumplimiento de otras obligaciones en materia de seguridad de la información (como, por ejemplo: medidas de gobernanza, políticas de organización interna y la exigencia de un mayor control sobre los subcontratistas), pudiendo suponer su incumplimiento la imposición de elevadas sanciones (hasta 10 millones de euros o un máximo de, al menos el 2% del volumen de negocios anual total a nivel mundial de la empresa a la que pertenece la entidad esencial durante el ejercicio financiero anterior, optándose por la de mayor cuantía).
Por último, resulta importante destacar el Reglamento (UE) 2022/2554, de 14 de diciembre de 2022 sobre resiliencia operativa digital del sector financiero (“DORA”), que entró en vigor el 16 de enero de 2023 y cuya fecha de aplicación obligatoria en todos los Estados Miembros será el 17 de enero de 2025.

La resiliencia operativa digital se define como la capacidad de una entidad financiera para construir, asegurar y revisar su integridad y fiabilidad operativas asegurando, directa o indirectamente mediante el uso de servicios prestados por proveedores terceros de servicios de TIC, toda la gama de capacidades relacionadas con las TIC necesarias para preservar la seguridad de las redes y los sistemas de información que utiliza una entidad financiera² y que sustentan la prestación continuada de servicios financieros y su calidad, incluso en caso de perturbaciones.

En este sentido, el objeto del Reglamento DORA es establecer unos requisitos uniformes para la seguridad de las redes y sistemas de información: (i) que sean aplicables a entidades financieras (p.ej.: sobre gestión del riesgo TIC, notificación de incidentes graves TIC y de pagos, pruebas de resiliencia operativa digital); (ii) requisitos sobre acuerdos contractuales con proveedores TIC; (iii) normas para el marco de supervisión de proveedores terceros esenciales TIC; y (iv) normas sobre cooperación entre autoridades.

Por todo ello, esta norma contiene importantes exigencias organizativas, de análisis y técnicas, para las entidades obligadas a su cumplimiento. Así, se establece la responsabilidad del máximo órgano de dirección de la organización para definir, aprobar y supervisar un marco de gestión y gobernanza sobre la organización para cumplir con la gestión del riesgo TIC y las obligaciones previstas en la norma.

¹De acuerdo con el art. 16.7 del Real Decreto-ley 7/2021, de 27 de abril, por el que se modifica, entre otros, el art. 120 del TRLGDCU: el plazo de manifestación de la falta de conformidad en el caso del contrato de compraventa de bienes se modifica de dos a tres años, con efectos para los bienes comprados con posterioridad al 1 de enero de 2022.

²El ámbito de aplicación del Reglamento DORA incluye una amplia lista de entidades, como, por ejemplo: entidades de crédito, de pago, proveedores de servicios de información sobre cuentas, entidades de dinero electrónico, empresas de servicios de inversión y proveedores de terceros de servicios TIC.

Cookie	Duración	Descripción
_ga	2 años	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a visitantes únicos.
_gat_gtag_UA_51756832_11	1 minuto	Establecido por Google para distinguir a los usuarios.
_gid	1 día	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente & el estado de CCPA. Funciona solo en coordinación con la cookie principal.
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.