LLAVES Y CLAVES DE SOSTENIBILIDAD EN LA UNIÓN EUROPEA.
Actividad del Grupo de Innovación Docente DERMERULE para el curso académico 2023-24. Se inicia el miércoles 17 de abril de 2024, en el Salón de Grados de la Facultad de Derecho de la Universidad de León, con este programa:
SESIÓN INICIAL. 17 de abril de 2024. Salón de Grados. Facultad de Derecho.
10:30 – Innovación docente y trasversalidad. Derecho Mercantil y el GID DerMerUle. ELENA F. PÉREZ CARRILLO.
10:45 – PRIMERA LLAVE. Trabajar para la Unión Europea. CARLOS PÉREZ PADILLA. Comisión Europea.
Taller: Incorporando lo aprendido.
12:20 – SEGUNDA LLAVE. Marcos institucionales cercanos.
Unas palabras desde el Decanato. PROF. DR. SALVADOR TARODO SORIA, Sr. Decano de la Facultad de Derecho.
Área de Derecho Mercantil. PROF. DRA. MARÍA ANGUSTIAS DÍAZ GÓMEZ.
Cooperación internacional. Actividades con el VICERRECTORADO DE RELACIONES INTERNACIONALES.
16:30 – TERCERA LLAVE. ¿Crimen?:Justificación y sostenibilidad Un enfoque innovador. PROF. LUIS MIGUEL RAMOS MARTÍNEZ.
Taller: Incorporando lo aprendido.
17:45 – CUARTA LLAVE. Empresa sostenible, enfoques de la UE: Políticas de sostenibilidad, Políticas de retribución e Informes de retribuciones en la gran empresa cotizada. PROF. DRA. MARTA ZABALETA DÍAZ. Universidad de Alcalá.
Taller: Incorporando lo aprendido.
19:45 – CLAVES para completar este Programa y participar en el Premio DerMerUle Sostenibilidad Empresa Justicia de Innovación Docente 2024. ELENA F. PÉREZ CARRILLO.
Para obtener Diploma y optar al PREMIO: debe asistirse al 80% de las actividades y realizar un trabajo en soporte multimedia (1 SESION Y 2 SESIÓN DE PRESENTACIÓN – presencial u online-DE LOS VIDEOS ELABORADOS POR ALUMNOS).
Coordinación: Elena F. Pérez Carrillo /// Secretaría: Luis Miguel Ramos Martínez
Las Jornadas desarrollan un magnifico programa, que se recoge en las imágenes de esta entrada, y pueden seguirse por YouTube, canal INCIBE. La sesión del jueves 4 aquí. La del viernes 5, aquí
Durante dos días se abordarán temas de actualidad- y de calado- ahondando en el análisis en forma de cuatro coloquios. Cada uno de ellos gira en torno a las correspondientes mesas de juristas expertos en los retos de las tecnologías disruptivas que están marcando nuestro presente y apuntan al futuro; a saber:
PRESENTACIÓN: Dr. Félix A Barro, Director General de Incibe. Dra. Adriana Suárez Coronas, Cátedra de Ciberseguridad de Universidad de León, Dra. Mercedes Fuertes, Catedrática de Derecho Administrativo, Universidad de León.
I. Derechos y deberes fundamentales para garantizar la ciberseguridad: Dra. Tamara Álvarez, Profesora de Derecho Constitucional, Universidad de León. Dr. José Luis Piñar, Catedrático Derecho Administrativo, CEU. Dra. Dolors Canals, Titular Derecho Administrativo Universitat Girona.
II. Normativa europea, las dificultades de armonización. Dra. Mercedes Fuertes, Catedrática de Derecho Administrativo Universidad de León. Dr. Pablo García Mexía. Letrado de las Cortes Generales. Dra. Eva Menéndez, Catedrática Derecho Administrativo Universidad de Oviedo
III, Obligaciones de las empresas, seguridad en las relaciones financieras. Dr. Germán Bercovit, Catedrático Derecho Civil, Universidad de León. Dra. Elena F Pérez-Carrillo, Profesora Derecho Mercantil, Universidad de León, Dr. Alberto Tapia, Catedrático Derecho Mercantil, Universidad Complutense de Madrid
IV. Ciberseguridad en el sector público. Dra. Isabel González, Catedrática Derecho Administrativo Universidad de Málaga. Dr. José Manuel Chaves. Magistrado TSJ Asturias. Dr. Antonio Segura Serrano. Catedrático de Derecho Internacional. Universidad de Granada.
Director General Incibe, Dr. Félix Barro
Desde la Universidad de León, la impulsora de este importante encuentro es la Profesora Mercedes Fuertes López, Catedrática de Derecho Administrativo y reputadísima experta, admirada y querida desde el Área de Derecho Mercantil de León. Confiamos en que éste sea la primera de muchas iniciativas que sirvan para poner en común, por parte de la comunidad jurídico científica de León, los retos del nuevo entorno digital super-ubícuo.
La Directiva de Diligencia Debida (DDD) se presenta como un instrumento transversal de protección frente a los impactos de las empresas en materia de Derechos Humanos (DH) y en materia de medioambiente (Ma). Introduce una nueva forma de gobernanza para las grandes empresas y para las cadenas de valor que tengan sede en la UE (así como para las que mantengan relaciones comerciales con la UE). Las organizaciones que queden sometidas a esta DDD tendrán que cumplir con una serie de obligaciones jurídicas vinculantes (y por lo tanto responderán en caso de incumplimiento).
Hace apenas algunas semanas, el futuro de esta Directiva pendía de un hilo. Fueron las abstenciones de Alemania y de Italia, en una votación crucial del Consejo (15.03.2024), las que abrieron la puerta a la próxima publicación de la Directiva. Se espera que el Parlamento Europeo apruebe el texto del borrador definitivo el 24 de abril de 2024, completando así el proceso legislativo formal, que incorpore las reformas pactadas en el Consejo
¿Qué es la diligencia debida en materia de sostenibilidad?
La «diligencia debida en materia de sostenibilidad», que se menciona en el título de la DDD, se refiere a los procesos y actuaciones que deben ponerse en marcha en las empresas para identificar y para gestionar riesgos para los DH y para el Ma, riesgos que derivan de su propia actividad y de la actividad de sus cadenas de valor. Se considera como un elemento crucial de la «empresa responsable» y así se desprende de diversos marcos internacionales.
Dentro de los marcos que precedieron a la DDD, y que en buena medida sirven de apoyo a sus postulados, destacan los Principios Rectores de las Naciones Unidas sobre las Empresas y los Derechos Humanos (llamados también «Global Pact» (como en su versión de 2011); o las Directrices de la OCDE (especialmente en la edición actualizada en 2023).
MODIFICACIONES A LA PROPUESTA DE DDD INTRODUCIDAS EN EL CONSEJO
Azaleas
La Propuesta DDD ha sido objeto de críticas por distintos motivos. Por ejemplo, fue acusada de aumentar, sin sentido, la «burocracia» en la gestión de empresa.
Sin embargo, dadas las expectativas y debates que ha despertado, si esta iniciativa quedase paralizada ahora, la agenda EU de sostenibilidad perdería credibilidad. Y, en un año de elecciones al Parlamento Europeo, hubiera tenido consecuencias en el plano de la desafectación de la opinión pública, que a su vez desincentiva la participación ciudadana en las elecciones.
Posiblemente tales razonamientos subyacen en el acuerdo alcanzado en el seno del Consejo de ministros el 15.03.2024, y que ha implicado modificar algunos aspectos, especialmente espinosos, de la Propuesta de la Comisión:
La implantación de medidas de diligencia en materia de Ma y DH se retrasa. En algunos casos no serán exigibles hasta pasados 7 años desde la publicación de la DDD. Además, se eleva el umbral del volumen de las empresas a las que se aplicará. La versión final negociada en el Consejo de Ministros de la UE se aplicará a las empresas que tengan al menos 1.000 empleados. Y cuyo volumen de negocios alcance al menos los 450 millones de euros de volumen de negocios facturados en la UE. Con todo, la DDD desplegará algunos efectos meta europeos pues se aplicará también a las empresas no pertenecientes a la UE con un volumen de negocios en la UE de al menos 450 millones de euros. Y su ámbito de aplicación también incluye a las empresas que no alcanzan el umbral de volumen de negocios pero que son la sociedad matriz última de un grupo.
Otra modificación significativa que se introdujo en el Consejo consiste en la supresión del enfoque de los sectores de alto riesgo. Significa que la DDD no se centrará específicamente en las industrias con una mayor probabilidad de impactos ambientales o sociales adversos, frente a lo que había sido propuesto por la Comisión.
Además, la definición de la cadena de suministro se ha limitado aplicándose únicamente a los socios comerciales que realicen actividades para la empresa o en su nombre.
Por otro lado el texto acordado también introduce un planteamiento por etapas:
un periodo de aplicación de tres años para las empresas con más de 5000 empleados y 1500 millones de euros de volumen de negocios;
un periodo de aplicación de cuatro años para las empresas con más de 3000 empleados y 900 millones de euros de volumen de negocios; y
un periodo de aplicación de cinco años para las empresas con más de 1000 empleados y 450 millones de euros de volumen de negocios.
REPASO A LOS CONTENIDOS DE LA DDD
Rododendro
La DDD será una disposición armonizadora cuya eficacia dependerá de la incorporación del derecho europeo en cada Estado. En efecto, conforme a la Propuesta se exige a los Estados miembros de la UE (art 4) que velen por que las empresas ejerzan la diligencia debida en materia de DH y Ma, mediante el cumplimiento de los requisitos específicos de los artículos 5 a 11 de la Directiva. Los requisitos contemplados en esos artículos están muy relacionados con las políticas empresariales -que serán actualizadas anualmente-. Y con la integración horizontal de la diligencia mediante la adopción códigos de conducta y procedimientos (que deberán seguir todos los miembros del personal de cada organización o de cada grupo).
DOBLE MATERIALIDAD
La futura Directiva pretende implantar la “doble materialidad” es decir, la obligación de las empresas de averiguar los efectos negativos sobre los DH y sobre el Ma (art 6), de modo que, una vez conocidos, la organización aplique esfuerzos para prevenirlos y mitigarlos (art 7) o para eliminarlos cuando no se puedan evitar (art 8). Y, abre la vía a las demandas -individuales o colectivas- cuando los efectos negativos sobre la empresa o sobre su cadena de valor afecten y dañen a terceros. También establece la obligación de realizar verificaciones periódicas en las empresas.
Cada Estado tendrá que legislar en su territorios (art 10), obligando a que se publiquen los resultados conforme a la legislación de trasparencia (Dir 2013/34/UE) o conforme a la propia Directiva de Diligencia Debida.
CLAUSULAS TIPO Y ORIENTACIONES DE LA COMISIÓN EUROPEA
Torre de San Miguel, Palencia
Para facilitar el cumplimiento, la Comisión publicará clausulas contractuales tipo (no vinculantes, en si mismas). Y podrá emitir orientaciones o directrices destinadas a sectores concretos(Art 13). Estas cláusulas serán redactadas previa consulta con la Agencia de los Derechos Fundamentales de la Unión Europea, la Agencia Europea de Medio Ambiente o, con organismos internacionales especializados en materia de diligencia debida.
Por otra parte, los Estados y la propia Comisión tendrán que aprobar y poner en marcha “medidas de acompañamiento” hechas públicas en webs y lugares de fácil acceso de modo que sean visibles e identificables. Estas medidas deben aprobarlas las empresas que quedan dentro del ámbito de aplicación de la Directiva pero también las organizaciones que formen parte de las cadenas de valor mundiales y que se vean indirectamente afectados por las obligaciones de la Directiva
En términos específicos del medio ambiente, el art 15 de la Propuesta de DDD establece que los Estados miembros velarán por que determinadas empresas adopten un plan para garantizar que su modelo de negocio y su estrategia sean compatibles con la transición a una economía sostenible y con la limitación del calentamiento global a 1,5C en consonancia con el Acuerdo de París.
En la Propuesta de DDD se regula la obligación de nombrar a un representante en la UE, por parte de las empresas extranjeras que vayan a operar en territorio de la UE (art 16) así como autoridades nacionales de control (art 17 y 18) y la necesidad de establecer canales de denuncia de las empresas ante el estado en relación con lo mandado en la Directiva
DEBER DE DILIGENCIA DE LOS ADMINISTRADORES SOCIALES
El art 25 de la DDD, conforme a la Propuesta, se centra en el deber de diligencia de administradores:
Apartado1.Los Estados miembros velarán por que, al cumplir su deber de actuar en el mejor interés de la empresa, los administradores de las que estén sujetas a la DDD (son aquellas a las que se refiere el artículo 2, apartado 1), tengan en cuenta las consecuencias de sus decisiones en materia de sostenibilidad, incluidas, cuando proceda, las consecuencias para los derechos humanos, el cambio climático y el medio ambiente a corto, medio y largo plazo.
Apartado 2.Los Estados miembros se asegurarán de que las disposiciones legales, reglamentarias y administrativas que regulen el incumplimiento de las obligaciones de los administradores se apliquen también a lo dispuesto en el presente artículo.
El artículo 26 establece la obligación de los administradores de las empresas de la UE de poner en marcha y supervisar la ejecución de los procesos y de las medidas de diligencia debida de las empresas en materia de sostenibilidad. Y, de adaptar la estrategia de la empresa a la diligencia debida.
RELACIONES CON OTROS ACTOS
La DDD no se entiende por sí sola. Acompaña a la Taxonomía verde o ambiental y los European Sustainability Reporting Standards (ESRS). Las tres, desde diferentes ángulos, forman parte de un conjunto de directivas, promovidas por la EFRAG y la Comisión Europea
Azalea rosa
Los European Sustainability Reporting Standards pretenden dar respuesta a las demandas de información de la comunidad inversora y otros stakeholders, dándoles acceso a datos fiables y comparables. La denominada “Taxonomía verde” europea, está, por su parte, enfocada en los impactos ambientales, permitiendo a inversores y empresas diferenciar qué proyectos afectan al clima y al medio ambiente.
Así se ha pronunciado la Sentencia del Tribunal de Justicia de 21 de marzo de 2024 en el asunto C-76/23 | Cobult
La petición de decisión prejudicial, planteada sobre la base del art. 267 TFUE, por el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno, Alemania), tiene por objeto la interpretación de los artículos 7, apartado 3, y 8, apartado 1, letra a), del Reglamento (CE) n.º 261/2004 del Parlamento Europeo y del Consejo, de 11 de febrero de 2004, por el que se establecen normas comunes sobre compensación y asistencia a los pasajeros aéreos en caso de denegación de embarque y de cancelación o gran retraso de los vuelos, y se deroga el Reglamento (CEE) n.º 295/91.
Tal petición fue presentada en el marco de un litigio entre Cobult UG, cesionaria de los derechos de un pasajero, y TAP Air Portugal SA, un transportista aéreo, en relación con el reembolso del billete de ese pasajero cuyo vuelo fue cancelado. Para situar la petición, se trataba de que un pasajero reservó con TAP Air Portugal, por 1447,02 euros, un vuelo con conexión directa programado para el 1 de julio de 2020 con salida desde Fortaleza (Brasil) y con destino a Fráncfort del Meno (Alemania) vía Lisboa (Portugal), que fue cancelado.
Desde el 19 de mayo de 2020, el citado transportista aéreo puso a disposición de los pasajeros, en la página de inicio de su sitio web, un procedimiento para presentar las solicitudes de reembolso, particularmente respecto a los vuelos cancelados. Conforme a dicho procedimiento, los pasajeros pueden optar entre un reembolso inmediato en forma de bonos de viaje cumplimentando un formulario en línea y un reembolso en forma distinta, por ejemplo, una suma de dinero, siempre que contacten previamente con su servicio de atención al cliente, para que este último compruebe los hechos.
Las condiciones de reembolso, sólo en lengua inglesa, que el pasajero debe aceptar después de haber facilitado la información requerida (número del billete, apellido, dirección de correo electrónico y número de teléfono), advierten que, en caso de optar por el reembolso en forma de un bono de viaje, se excluye el reembolso del billete en dinero.
Según TAP Air Portugal, el pasajero afectado solicitó, el 4 de junio de 2020, el reembolso mediante un bono de viaje, que recibió por correo electrónico por un importe de 1737,52 euros, correspondiente al precio del billete inicial, más un recargo.
El 30 de julio de 2020, el pasajero cedió sus derechos frente a TAP Air Portugal a Cobult, que ese mismo día solicitó al transportista aéreo que, en el plazo de catorce días, reembolsara en dinero el precio del vuelo cancelado.
Ante la negativa de TAP Air Portugal a dicho reembolso, Cobult presentó una demanda ante el órgano jurisdiccional de primera instancia competente, que fue desestimada por considerar que los derechos del pasajero cedente se habían extinguido con el reembolso en forma de bono de viaje.
Interpuesto recurso de apelación por Cobult contra esa sentencia ante el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno, Alemania), a este órgano jurisdiccional se le suscitan dudas respecto a la interpretación del art. 7, apartado 3, del Reglamento n.º 261/2004, en virtud del cual el billete solo puede reembolsarse en forma de un bono de viaje «previo acuerdo firmado por el pasajero». Particularmente, se pregunta por el alcance del concepto de «previo acuerdo firmado por el pasajero» («mit schriftlichem Einverständnis» en la versión en lengua alemana del Reglamento) para apreciar si las modalidades de reembolso impuestas por TAP Air Portugal en su sitio web se ajustan a dicha norma. Y ello porque, en opinión del órgano jurisdiccional, si se plantea de una determinada manera, podría entenderse que la exigencia de un previo acuerdo firmado por el pasajero constituye un requisito de forma adicional dirigido a proteger al pasajero frente a una elección precipitada e irreflexiva de un bono de viaje; modalidad de reembolso que el legislador de la Unión consideró menos favorable para el pasajero. En estas circunstancias, el art. 7, apartado 3, del citado Reglamento se opone, según el órgano jurisdiccional, a un procedimiento de reembolso del billete en forma de un bono de viaje como el realizado por TAP Air Portugal. En cambio, si se plantea de otra manera, el exigir un previo acuerdo firmado por el pasajero transmitido por correo postal o por vía electrónica puede alargar los plazos de reembolso con la consiguiente carga derivada de la gestión administrativa de los reembolsos para los transportistas aéreos. Así interpretado, según el órgano jurisdiccional remitente, puede considerarse que un procedimiento de reembolso en línea, compuesto de varias etapas, como el controvertido en el litigio principal, cumple los requisitos del art. 7, apartado 3, del referido Reglamento.
Así las cosas, el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Debe interpretarse el artículo 7, apartado 3, del [Reglamento n.º 261/2004], en el sentido de que existe un previo acuerdo firmado por el pasajero para el reembolso del coste del billete con arreglo al artículo 8, apartado 1, letra a), primer guion [de ese Reglamento], en forma de un bono de viaje si el pasajero elige dicho bono, con exclusión del reembolso posterior del coste del billete en dinero, en el sitio web del transportista aéreo encargado de efectuar el vuelo y lo recibe por correo electrónico, mientras que el reembolso del coste del billete en dinero solo es posible previo contacto con el transportista aéreo encargado de efectuar el vuelo?»
León. Semana Santa. By M.A. Díaz
Lo que está preguntando el órgano jurisdiccional, a través de la cuestión prejudicial, es si el art. 7, apartado 3, en relación con el art. 8, apartado 1, letra a) del referido Reglamento, debe interpretarse en el sentido de que, en el supuesto de cancelación de un vuelo por el transportista aéreo, se considera que existió el «previo acuerdo firmado» por el pasajero para el reembolso del billete en forma de un bono de viaje cuando este cumplimentó un formulario en línea en el sitio web del transportista aéreo, a través del cual eligió esta modalidad de reembolso, con exclusión del reembolso en forma de una suma de dinero, mientras que esta última modalidad de reembolso quedaba supeditada a un procedimiento que incluía etapas adicionales cuya tramitación debía realizarse con el servicio de atención al cliente del transportista aéreo.
Como recuerda el Tribunal, conforme al art. 8, apartado 1, letra a), del Reglamento n. 261/2004, en relación con el art. 5, apartado 1, letra a), de ese Reglamento, el pasajero dispone, en caso de cancelación de un vuelo, de un derecho al reembolso del billete en siete días, según las modalidades previstas en el art. 7, apartado 3, de dicho Reglamento, por el precio al que se compró. Refiriéndose a las modalidades de reembolso del billete en caso de cancelación, esta última disposición indica que se abonará en metálico, por transferencia bancaria electrónica, transferencia bancaria, cheque o, previo acuerdo firmado por el pasajero, bonos de viaje u otros servicios. Y ello teniendo presente que el reembolso del billete se efectuará, principalmente, en forma de una suma de dinero, de modo que el reembolso en forma de bonos de viaje constituye una modalidad subsidiaria de reembolso, que está supeditado al requisito de un «previo acuerdo firmado por el pasajero».
El Reglamento n.º 261/2004 no define qué debe entenderse por «previo acuerdo firmado por el pasajero». Aclara el Tribunal, que el concepto de «acuerdo» en el contexto del art. 7, apartado 3, del Reglamento, requiere el consentimiento libre e informado del pasajero dirigido a obtener el reembolso de su billete en forma de un bono de viaje. Indica también, en cuanto a la exigencia del acuerdo «firmado» del pasajero, que si bien existe divergencia entre las versiones lingüísticas de esta disposición, tal divergencia debe interpretarse en función de la estructura general y de la finalidad de la normativa de la que forma parte. Y en esta línea, resulta, de los considerandos 1, 2 y 4 del Reglamento que éste tiene por objeto garantizar un elevado nivel de protección de los pasajeros, protegiendo sus derechos en situaciones varias en que se vean gravemente perturbados. Y precisamente del considerando 20 del citado Reglamento resulta que a los pasajeros cuyo vuelo haya sido cancelado se les debe informar exhaustivamente de sus derechos, en orden a ejercerlos eficazmente.
A este respecto, el Tribunal de Justicia señala que el transportista aéreo debe proporcionar a los pasajeros la información necesaria que les permita elegir debidamente y con conocimiento de causa, “sin que la posibilidad de disfrutar de ese derecho al reembolso exija del pasajero una contribución activa”. Y, declara el Tribunal que, teniendo presente el objetivo de garantizar un elevado nivel de protección de los pasajeros aéreos y del deber de información que compete al transportista aéreo, “procede considerar que el concepto de «previo acuerdo firmado por el pasajero», tal como se establece en el artículo 7, apartado 3, de dicho Reglamento, presupone, en primer lugar, que ese pasajero haya podido elegir debidamente y con conocimiento de causa el reembolso de su billete en forma de un bono de viaje en vez de en forma de una suma de dinero y que, por consiguiente, haya podido dar su consentimiento libre e informado”. En este sentido, indica el Tribunal que “incumbe a dicho transportista aéreo aportar, de manera leal, al pasajero cuyo vuelo ha sido cancelado información clara y completa sobre las distintas modalidades de reembolso de su billete de las que dispone en virtud del artículo 7, apartado 3, del citado Reglamento”. En el supuesto de que no proporcionase esa información “no cabe considerar que el pasajero tenga la posibilidad de elegir debidamente y con conocimiento de causa el reembolso en forma de un bono de viaje y, por consiguiente, de dar su consentimiento libre e informado”.
A juicio del Tribunal “no puede entenderse que existe el «previo acuerdo» de un pasajero, en el sentido del artículo 7, apartado 3, del Reglamento, cuando el transportista aéreo encargado de efectuar el vuelo presenta, en particular, en su sitio web, información sobre las modalidades de reembolso del billete de modo ambiguo o parcial o en una lengua que no puede esperarse razonablemente que el pasajero domine, o incluso de manera desleal, en especial supeditando el reembolso de dicho billete en forma de una suma de dinero a un procedimiento que incluye etapas adicionales al del reembolso en forma de un bono de viaje”. En esta dirección, señala el Tribunal que añadir “etapas adicionales” puede dificultar el reembolso mediante una suma de dinero e invertir así la relación entre las dos modalidades de reembolso fijadas por el legislador de la Unión, lo que iría en contra de la finalidad de garantizar un elevado nivel de protección de los pasajeros aéreos perseguido por el Reglamento.
En lo que concierne a la forma del acuerdo del pasajero, determina el Tribunal de Justicia que “siempre que dicho pasajero haya recibido información clara y completa, su «previo acuerdo firmado», puede cubrir su aceptación expresa, definitiva y unívoca del reembolso del billete en forma de un bono de viaje, mediante el envío de un formulario cumplimentado por el pasajero en el sitio web del transportista aéreo encargado de efectuar el vuelo sin que dicho formulario contenga la firma manuscrita o digitalizada del pasajero”.
En palabras del Tribunal esta interpretación “respeta el equilibrio entre los intereses de los pasajeros aéreos y de los transportistas aéreos encargados de efectuar un vuelo que el legislador de la Unión pretendía alcanzar mediante la adopción del Reglamento”. Y, continuando con esta argumentación manifiesta que “no solo parece excesivo, sino también inapropiado excluir que el «previo acuerdo firmado por el pasajero» para el reembolso del billete en forma de un bono de viaje pueda adoptar la forma de un formulario que el pasajero deba cumplimentar en el sitio web del transportista aéreo encargado de efectuar el vuelo, ya que tal exclusión aumentaría la carga vinculada a la gestión administrativa de los reembolsos para ese transportista aéreo y podría retrasar el proceso de reembolso para el pasajero, lo que, en última instancia, podría resultar contrario a los intereses de éste”.
Semana Santa. By M.A. Díaz
Teniendo en cuenta las consideraciones anteriores, el Tribunal de Justicia declara que el art. 7, apartado 3, del Reglamento (CE) n.º 261/2004, puesto en relación con el art. 8, apartado 1, letra a), de dicho Reglamento y en conexión con el considerando 20 de éste, debe interpretarse en el sentido de que:
«en caso de cancelación de un vuelo por el transportista aéreo encargado de efectuar el vuelo, se considera que existió el «previo acuerdo firmado» por el pasajero para el reembolso del billete en forma de un bono de viaje cuando este cumplimentó un formulario en línea en el sitio de web de dicho transportista aéreo, mediante el cual eligió esta modalidad de reembolso, con exclusión del reembolso en forma de una suma de dinero, siempre que ese pasajero haya podido elegir debidamente y con conocimiento de causa el reembolso en forma de un bono de viaje en lugar del reembolso en dinero, y que, por consiguiente, haya podido dar su consentimiento libre e informado, lo que implica que dicho transportista aéreo haya facilitado, de manera leal, a dicho pasajero, información clara y completa sobre las distintas modalidades de reembolso que están a su disposición”.
La Sentencia completa y, en su caso, el resumen puede verse aquí.
Las cuestiones fundamentales que trata de despejar el Tribunal de Justicia en esta Sentencia son, fundamentalmente, las siguientes:
¿Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante «RGPD») constituye un dato personal una cadena de letras y caracteres que capta, de manera estructurada y legible mecánicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales? y
¿Quién es “responsable” o “corresponsable del tratamiento?
En efecto, a estos extremos se refiere el Tribunal de Justicia en la Sentencia del de 7 de marzo de 2024 en el asunto C-604/22 (IAB Europe), con motivo de una petición de decisión prejudicial planteada conforme al artículo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica).
Jara en el Bierzo (León). By M.A. Díaz
Esta petición de decisión prejudicial tiene por objeto la interpretación de los arts 4, puntos 1 y 7, y 24, apartado 1, del RGPD, y en consonancia con los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
Esta petición se presentó en el contexto de un litigio entre IAB Europe y la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica; en adelante, «APD») en relación con una resolución de la Sala de Controversias de la APD adoptada contra IAB Europe por la presunta infracción de varias disposiciones del RGPD.
IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. Son miembros de IAB Europe tanto empresas pertenecientes al sector publicitario (así editores, empresas de comercio electrónico y de marketing e intermediarios) como asociaciones nacionales, entre ellas las IAB (Interactive Advertising Bureau) nacionales, entre cuyos miembros figuran empresas de dicho sector. Y precisamente entre los miembros de IAB Europe se incluyen empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.
IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en adelante, «TCF»), que es un marco de normas compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permiten tanto al proveedor de un sitio de Internet o de una aplicación como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicación.
Idhún. ¿Primavera ya? By M.A. Díaz
El TCF pretende fundamentalmente favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo Open RTB, uno de los más utilizados para el Real Time Bidding, que es un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. A la vista de determinadas prácticas realizadas por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe presentó el TCF como una solución para adaptar el sistema de subastas al RGPD. Y ello teniendo en consideración que técnicamente cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas de tecnología publicitaria, y en concreto los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con un objetivo claro: difundir en ese espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.
Eso sí, antes de mostrar esa publicidad dirigida, habrá de obtenerse el consentimiento del usuario, de forma que cuando éste consulta un sitio de Internet o una aplicación por primera vez, una plataforma de gestión del consentimiento llamada «Consent Management Platform» (en adelante, «CMP») aparece en una ventana emergente en la cual el usuario, puede o bien dar su consentimiento al proveedor del sitio de Internet o de la aplicación para la recogida y el tratamiento de sus datos personales (localización del usuario, edad, historial de búsquedas y sus compras recientes) con fines previamente definidos -como la comercialización o publicidad- o para el intercambio de esos datos con determinados proveedores, o bien oponerse a diferentes tipos de tratamiento de datos o al intercambio de dichos datos.
De esta manera, el TCF constituye un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a través de la CMP. Posteriormente, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String(en adelante, «TC String»), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos conozcan en qué ha consentido el usuario o a qué se ha opuesto. La CMP coloca también una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario.
Así las cosas, el TCF tiene protagonismo en el funcionamiento del protocolo OpenRTB, pues permite transcribir las preferencias del usuario para su comunicación a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, particularmente, ofrecer publicidad a medida. El TCF se dirige, principalmente a garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a través de la TC String.
Enumerada las circunstancias que sitúan estos temas, cabe reseñar que las cuestiones prejudiciales a que se debe esta Sentencia del Tribuna de Justicia responden, básicamente, a una serie de hechos que han venido produciéndose desde 2019, en relación con estos temas, que van a describirse a continuación.
La APD ha recibido varias denuncias contra IAB Europe, respecto a la conformidad del TCF con el RGPD, originarias no sólo de Bélgica sino también de terceros países. Examinadas estas denuncias, la APD, como autoridad de control principal, en el sentido del art. 56, apartado 1, del RGPD, activó el mecanismo de cooperación y coherencia, derivado de los arts. 60 a 63 de dicho Reglamento, a fin de llegar a una decisión común aprobada conjuntamente por las veintiuna autoridades de control nacionales que participan en este mecanismo. Pues bien, la Sala de Controversias de la APD, por resolución de 2 de febrero de 2022, declaró que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una TC String, la cual, según la Sala de Controversias de la APD, está asociada a un usuario identificable. Además, en esa resolución, la Sala de Controversias de la APD ordenó a IAB Europe, conforme al art. 100.1, punto 9.º, de la Ley APD, que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa administrativa.
IAB Europe interpuso recurso contra dicha resolución ante el hof van beroep te Brussel(Tribunal de Apelación de Bruselas, Bélgica). IAB Europe solicita a dicho órgano jurisdiccional que anule la resolución de 2 de febrero de 2022, oponiéndose a que se considere que actuó como responsable del tratamiento y, manteniendo además que, al declarar que la TC String es un dato personal, en el sentido del artículo 4.1 del RGPD, dicha resolución no está suficientemente matizada ni motivada y que es errónea. Destaca asimismo IAB Europe que sólo los demás participantes en el TCF podrían combinar la TC String con una dirección IP para transformarla en un dato personal, que la TC String no es específica de un usuario y que ella no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros. En esta línea de razonamiento argumenta la APD lo siguiente: que las TC Strings constituyen datos personales en la medida en que las CMP pueden vincular las TC Strings a las direcciones IP; que, además, los participantes en el TCF también pueden identificar a los usuarios sobre la base de otros datos; que IAB Europe tiene acceso a la información requerida para ello y que esta identificación del usuario es precisamente la finalidad de la TC String, encaminada a facilitar la venta de la publicidad dirigida. Aparte de esto, la APD manifiesta que el hecho de que IAB Europe deba ser considerada responsable del tratamiento en el sentido del RGPD se desprende de su función determinante en el tratamiento de las TC Strings. Y junto a ello la APD aduce que esta organización determina, respectivamente, los fines y los medios del tratamiento, el modo en que se generan, modifican y leen las TC Strings, de qué forma y dónde se almacenan las cookiesnecesarias, quién recibe los datos personales y sobre la base de qué criterios pueden establecerse los plazos de conservación de las TC String.
El órgano jurisdiccional hof van beroep te Brussel (Tribunal de Apelación de Bruselas) alberga dudas sobre si una TC String, combinada o no con una dirección IP, constituye un dato personal y, de ser así, si IAB Europe debe ser calificada de responsable del tratamiento de los datos personales en el marco del TCF, en particular en relación con el tratamiento de la TC String.Y ello porque entiende dicho órgano jurisdiccional que aunque la resolución de 2 de febrero de 2022 refleja la posición común adoptada conjuntamente por las diferentes autoridades de control nacionales implicadas en el caso de autos, el Tribunal de Justicia aún no ha tenido ocasión de pronunciarse sobre esta nueva tecnología intrusiva que constituye la TC String.
En este contexto, el Tribunal de Apelación de Bruselas decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
Primavera ya, Idhún. By M.A. Díaz
«1) a) ¿Debe interpretarse el artículo 4, punto 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una cadena de caracteres que recoge las preferencias de un usuario de Internet en relación con el tratamiento de sus datos personales de forma estructurada y legible mecánicamente constituye un dato personal en el sentido de la citada disposición en relación con (1) una organización sectorial que pone a disposición de sus miembros un estándar por el que les prescribe las modalidades prácticas y técnicas conforme a las que debe generarse, almacenarse o difundirse tal cadena de caracteres, y (2) las partes que han aplicado dicho estándar en sus sitios web o en sus aplicaciones y, de este modo, tienen acceso a dicha cadena de caracteres?
b) ¿Tiene alguna relevancia a este respecto el hecho de que la aplicación del estándar implique que esta cadena de caracteres esté disponible junto a una dirección IP?
c) ¿Sería distinta la respuesta a las [letras a) y b) de la primera cuestión] si esta organización sectorial normativa no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho estándar?
2) a) ¿Deben interpretarse los artículos 4, punto 7, y 24, apartado 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una organización sectorial normativa debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?
b) ¿Sería distinta la respuesta a la [letra a) de la segunda cuestión prejudicial] si esta organización sectorial no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este estándar?
c) Si se califica (o si debe calificarse) a la organización sectorial normativa de responsable o de corresponsable del tratamiento respecto a las preferencias de los usuarios de Internet, ¿se extiende esta responsabilidad o corresponsabilidad de la organización sectorial normativa automáticamente a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en línea dirigida, realizada por editores y vendedores?»
El Tribunal de Justicia en su sentencia responde a estas cuestiones prejudiciales:
confirmando, en primer lugar, que la TC String contiene información relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. Y ello porque, cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo.
En segundo lugar, manifiesta que IAB Europe debe ser considerada «corresponsable del tratamiento», en el sentido del RGPD. En este sentido, indica que, sin perjuicio de las comprobaciones que competen al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que están en el origen de las mismas. Así las cosas, mantiene que, al margen de la eventual responsabilidad civil derivada del Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que acontezcan después de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo que pueda acreditarse que dicha asociación ha influido en la determinación de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio.
En efecto, así se pronuncia el Tribunal de Justicia, cuando declara literalmente:
«1) El artículo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que una cadena compuesta por una combinación de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposición, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la dirección IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribución externa, una organización sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposición.
2) Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que,
por una parte, una organización sectorial, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas técnicas vinculantes, sino también normas que precisan de manera detallada las modalidades de almacenamiento y de difusión de los datos personales referentes a dicho consentimiento, debe calificarse de «corresponsable del tratamiento», en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuestión y determina, así, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organización sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condición de corresponsable del tratamiento en el sentido de dichas disposiciones;
por otra parte, la corresponsabilidad de dicha organización sectorial no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros —como los proveedores de sitios de Internet o de aplicaciones— en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea».
Como puede apreciarse, esta Sentencia posee una relevancia nada desdeñable respecto a la clarificación de los temas planteados, particularmente la interpretación del concepto de datos personales y la responsabilidad que, conforme al RGPD, pueda acarrear el tratamiento de dichos datos, especialmente, a efectos publicitarios.
El texto íntegro de la sentencia puede verse aquí.
Así se pronuncia el Tribunal General en su sentencia de 6 de marzo de 2024 en el asunto T-647/22 (Puma / EUIPO Handelsmaatschappij J. Van Hilst), confirmando la resolución de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO).
La empresa de los Países Bajos Handelsmaatschappij J. Van Hilst (HJVH) solicitó la declaración de nulidad de un dibujo o modelo comunitario de zapatillas deportivas que había sido registrado a nombre de la empresa alemana Puma en agosto de 2016.
Fuente: Sentencia del Tribunal General.
– Fundamentaba la solicitud en el art. 25.1, b), del Reglamento (CE) núm. 6/2002 del Consejo, de 12 de diciembre de 2001, sobre los dibujos y modelos comunitarios, leído conjuntamente con el art. 4.1, según el cual el dibujo o modelo será protegido como dibujo o modelo comunitario si es nuevo y posee carácter singular. Según la empresa de los Países Bajos Handelsmaatschappij J. Van Hilst el dibujo o modelo estaba desprovisto de carácter singular en el sentido del art. 4.1 del Reglamento, puesto en relación con el art. 6 del Reglamento puesto que había sido divulgado por el solicitante antes del plazo de doce meses a que se refiere el art. 7.2, b) del Reglamento (el denominado “periodo de gracia”).
– Con el fin de argumentar y apoyar su solicitud de declaración de nulidad, HJVH había aportado imágenes extraídas de tres publicaciones en la cuenta de Instagram «badgalriri» subidas a mediados de diciembre de 2014, que contaban con más de 300000 me gusta, en las que publicitaba el nombramiento de Rihanna como nueva directora artística de Puma. En dichas imágenes, publicadas en varios artículos en periódicos en línea, se podía ver a Rihanna con un par de zapatillas de deporte blancas con una suela negra gruesa.
Por decisión de 19 de marzo de 2021 la División de Anulación de la EUIPO admitió la solicitud de declaración de nulidad considerando básicamente que el dibujo o modelo no poseía el carácter singular exigido por el art. 6 del Reglamento núm. 6/2002, teniendo en cuenta la comparación entre la impresión global producida por el dibujo o modelo en cuestión y la impresión global creada por el dibujo o modelo que aparecía en las imágenes a que se hacía referencia más arriba.
Contra la decisión de la Division de anulación Puma formuló recurso ante la Cámara de Recursos de la EUIPO el 21 abril 2021, que fue desestimado íntegramente. La EUIPO, en Resolución de 11 de agosto de 2022, declaró la nulidad de dicho dibujo o modelo comunitario, fundamentando su Resolución en que se había producido una divulgación antes de los doces meses anteriores a la presentación de la solicitud de registro. Y ello porque Robyn Rihanna Fenty (más conocida como Rihanna) se había exhibido llevando unos zapatos representativo de un dibujo o modelo anterior de idénticas características que el dibujo o modelo registrado. Así las cosas, la EUIPO resolvió que dicho dibujo o modelo anterior se había hecho público, razón por la cual procedía anular el dibujo o modelo registrado.
Interpuesto recurso por Puma contra dicha Resolución el Tribunal General lo desestima, considerando, -como lo había hecho la EUIPO- que las imágenes aportadas por HJVH bastan para demostrar que el dibujo o modelo anterior había sido divulgado y que los círculos especializados del sector en cuestión pudieron tener conocimiento de esa divulgación.
Zapatillas Puma. Rihanna. Fuente: sentencia del Tribunal General
El Tribunal General confirma la apreciación de la EUIPO de que las referidas imágenes bastan para constatar que el dibujo o modelo anterior había sido divulgado y que los círculos especializados del sector de que se trata pudieron tener conocimiento de esa divulgación. A juicio del Tribunal las imágenes extraídas de la cuenta de Instagram «badgalriri», difundidas en diciembre de 2014, permiten identificar, a simple vista o realizando una ampliación de las fotos, todas las características esenciales del dibujo o modelo anterior. Y ello en contra de la opinión de Puma, para quien estas imágenes no permiten reconocer todas las carácterísticas del modelo o dibujo en cuestión.
Por todo ello, el Tribunal General desestima las alegaciones de Puma conforme a las cuales nadie se interesó en el calzado de Rihanna en diciembre de 2014 y, consiguientemente, nadie se percató del dibujo o modelo anterior. A este propósito, como declara el Tribunal, en diciembre de 2014 Rihanna era una estrella del pop mundialmente conocida y eso supone que entre sus fans y los círculos especializados en el ámbito de la moda se había despertado ya en esa fecha un interés particular por los zapatos que llevaba el día de la firma del contrato por el que se erigió en la directora artística de Puma.
zapatillas Puma Fuente: Sentencia Tribunal General
Teniendo esto en cuenta es razonable pensar que buena parte de las personas que se interesan por la música o la persona de Rihanna y en su vestimenta, se ha interesado en 2014 también por las fotos en cuestión fijándose en los zapatos que la estrella llevaba, reconociendo así las características del dibujo o modelo
A la vista de todas estas consideraciones, el Tribunal General manifiesta que la EUIPO pudo considerar fundadamente que el dibujo o modelo anterior había sido divulgado en diciembre de 2014, razón por la cual queda justificada la anulación del dibujo o modelo registrado por Puma para zapatillas deportivas.
Contra esta Resolución del Tribunal General cabe interponer recurso de casación ante el Tribunal de Justicia, limitado a las cuestiones de Derecho, en un plazo de dos meses y diez días a partir de la notificación de la resolución.
El resumen de la sentencia puede verse aquí. El texto íntegro de la sentencia puede verse aquí.
Con el desarrollo de la certificación de ciberseguridad a escala de la UE se pretende armonizar el reconocimiento del nivel de ciberseguridad de las soluciones TIC en toda la Unión.
Los sistemas de certificación de la UE son desarrollados por ENISA dentro del marco definido en el Reglamento sobre Ciberseguridad (Reglamento 881 /2019), mediante los procedimientos y sistemas de trabajo de esta Agencia y teniendo en cuenta los sistemas y normas existentes de los que se nutren los esquemas.
Son esquemas europeos de ciberseguridad que se irán aprobando son -en principio- voluntarios. Su seguimiento potencia el Mercado Único Digital de la UE. Sirven para demostrar el cumplimiento de sus requisitos. En algunos casos, a través de normas de derecho positivo escrito, pueden llegar a ser obligatorios. En particular, alguna legislación ya alude a los esquemas europeos de certificación de ENISA:
Definición de Esquema europeo de certificación de la ciberseguridad de la UE: es un conjunto completo de reglas, requisitos técnicos de ciberseguridad, normas y procedimientos de evaluación, definidos a nivel de la UE y aplicables a la certificación de productos, servicios o procesos específicos de TIC.
Cada certificado de ciberseguridad de la UE acredita que un producto, proceso o servicio de TIC ha superado una evaluación de conformidad con dicho régimen y que cumple los requisitos y normas de ciberseguridad especificados.
La certificación la realiza un organismo de evaluación de la conformidad (OEC/CAB), que puede auditar y/o probar y/o certificar. Todos los certificados serán publicados por ENISA en un sitio web específico.
Dependiendo del riesgo de ciberseguridad asociado al uso previsto de la solución TIC que se va a certificar, se puede elegir un nivel de ciberseguridad diferente que el solicitante define. Cada esquema indica si la certificación tiene un nivel de garantía «básico», «sustancial» o «alto»
Los primeros EEC::
Rododendro
EUCC. El Esquema Europeo de Certificación de Ciberseguridad sobre Criterios Comunes, el primer esquema, se dirige a las TIC, tales como productos y componentes de hardware y software. El 31 de enero de 2024, la Comisión Europea aprobó el acto de ejecución por el que se pone en marcha el sistema de certificación. ENISA está publicando los documentos de referencia que respaldan el sistema y que se enumeran en su Anexo 1.
A continuación:
EUCS El Esquema Europeo de Certificación de Servicios en la Nube se encuentra en trámite de análisis por parte del ECCG.
EU5G El Esquema Europeo de Certificación de Ciberseguridad para 5G se desarrolla en dos fases. Durante una primera fase que finalizó en otoño de 2022, ENISA, los expertos reunidos en un grupo de trabajo ad hoc con la Comisión de la UE y los Estados miembros analizaron las evaluaciones industriales existentes y los esquemas de certificación y sus actualizaciones necesarias para cumplir con la Ley de Ciberseguridad. La segunda fase se abre con una consulta pública
¿Inteligencia Artificial? Con vistas a la adopción del proyecto de Reglamento de la UE sobre Inteligencia Artificial, ENISA está evaluando si la IA podría ser objeto de certificación en materia de ciberseguridad y de qué manera, así como el modo en que podrían reutilizarse los esquemas en curso de elaboración. Este trabajo es preparatorio, ya que ENISA no ha recibido una solicitud para desarrollar un esquema de certificación por parte de la Comisión Europea
Arquitectura en la elaboración y utilización de los EEC
Hortensia atlántica
Comisión Europea La iniciativa de elaborar un EECC es de la Comisión Europea que lo plantea a ENISA. ENISA, una vez que tiene una propuesta, la remite a la Comisión quien la adopta a través de legislación administrativa, Reglamentos de Ejecución
ENISA. La elaboración corresponde a ENISA que actúa como coordinadora y anfitriona de grupos de trabajo
Partes interesadas y público general Al desarrollar los esquemas de ciberseguridad de la UE, ENISA trabaja con una amplia variedad de partes interesadas en la ciberseguridad. Por ejemplo, las partes interesadas pueden formar parte del «grupo de trabajo ad hoc» de expertos que apoya a la ENISA en el desarrollo de un determinado esquema. Asimismo, es posible invitar a las partes interesadas a participar en proyectos piloto o «pruebas de concepto» para poner a prueba algunos o más elementos de un régimen de la UE (por ejemplo, viabilidad, posibles procedimientos o procesos o métodos de evaluación) antes de su aplicación. Por otro lado, cuando un esquema se encuentra en una fase avanzada de desarrollo, también puede haber consultas públicas, por ejemplo sobre proyectos de regímenes. Una vez implantado, el sistema debe actualizarse y adaptarse a los cambios que se produzcan en el entorno de la ciberseguridad. Los procesos, procedimientos y métodos de evaluación deben mantenerse, evaluarse y revisarse y en estos procesos también participan las partes interesadas por invitación de ENISA.
Entrada en vigor: Para ser efectivo, un proyecto de esquema elaborado por ENISSA a petición de la Comisión debe ser aprobado por un acto legislativo de la UE , «acto de ejecución» y en él se establece un periodo para que los Estados miembros preparen el funcionamiento del sistema antes de expedir los certificados.
Organismos de Evaluación de la Conformidad (OEC/CAB) .Los OEC/CAB que estarán acreditados para emitir certificados o realizar actividades de evaluación (ensayos, auditorías) para estos esquemas.. Los sistemas de certificación de ciberseguridad crean un mercado europeo para organismos de evaluación de la conformidad (OEC/CAB ) que podrán ofrecer sus servicios de certificación así como herramientas y servicios de evaluación relacionados en toda la UE. Estos OEC/CAB trabajar en los esquemas de certificación de la UE de dos formas distintas: como evaluadores (mediante auditorías/ensayos) y/o como certificadores. Deben cumplir una serie de requisitos antes de poder realizar tales actividades:
– Para poder evaluar y certificar de acuerdo con los regímenes de certificación de la UE, los OEC deberán estar acreditados por su organismo nacional de acreditación.
– Una vez acreditados para un esquema europeo de certificación de la ciberseguridad, la Autoridad Nacional de Certificación de la Ciberseguridad (ANC) deberá notificar su acreditación a la Comisión.
– Si un OEC quiere ser elegible para certificar una solución TIC bajo el nivel de garantía «alto», puede necesitar cumplir requisitos adicionales. El procedimiento para cumplir estos requisitos lo realiza la ANC y se denomina «autorización». Esta «autorización» también debe notificarse a la Comisión.
Usuarios de los certificados Los certificados de ciberseguridad de la UE se conceden a productos y servicios TIC certificados con arreglo a los regímenes de certificación de ciberseguridad de la UE. Demuestran que las soluciones probadas son resistentes a determinados niveles de seguridad y establecen procesos de reparación teniendo en cuenta los últimos avances del estado de la técnica. Como están reconocidos en toda la UE permiten a los proveedores de productos y servicios mostrar la conformidad de su solución con un esquema específico, nivel de garantía, ámbito de aplicación y, potencialmente, extensión o perfiles de seguridad. Los usuarios de soluciones TIC pueden considerar los certificados de ciberseguridad como una demostración de que una solución específica cumple los requisitos de seguridad definidos.
Autoridades Nacionales de Certificación en Ciberseguridad ( ANC). Como exige la Directiva sobre Ciberseguridad, cada Estado miembro ha designado una ACNC que se responsabilizará de supervisar, acreditar y controlar la certificación de ciberseguridad de la UE a nivel nacional y de intercambiarla a nivel de la UE. Cada Estado miembro puede optar por expedir certificaciones de conformidad de ciberseguridad de la UE. Las Autoridades Nacionales de Certificación en Ciberseguridad («ANC») supervisan y controlan el cumplimiento del régimen de los certificados expedidos por las OEC en su Estado miembro.
Sistemas nacionales. Cada sistema de certificación de ciberseguridad de la UE prevé un periodo de transición tras el cual los sistemas nacionales pertinentes dejan de tener efecto.
En otras palabras, los certificados expedidos en virtud de estos regímenes dejan de ser válidos. Para garantizar una aplicación sin problemas, la transición de los regímenes existentes a los regímenes de la UE se lleva a cabo en estrecha colaboración con todas las partes interesadas; por ejemplo, se elaborarán orientaciones para los organismos de certificación de ciberseguridad que operan con regímenes nacionales. Por lo tanto, los OEC no deben interrumpir sus actividades relacionadas con los regímenes existentes.
Duración. Los certificados son válidos durante un tiempo limitado que puede ampliarse mediante una nueva evaluación de la solución.
Certificación la certificación es voluntaria, a menos que la normativa de la UE o de los Estados miembros especifique lo contrario.
La Comisión presentó una propuesta de nueva Ley de Ciberresiliencia o Reglamento Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (COM(2022) 454 final). Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Sobre aquella propuesta habíamos comentado aquí.
La propuesta se basa en el nuevo marco legislativo de la UE en materia de productos y establece por un lado, normas para la comercialización de productos con elementos digitales para garantizar su ciberseguridad; por otro requisitos esenciales para el diseño, el desarrollo y la producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos; también requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores económicos en relación con estos procesos, incluyendo obligaciones de los fabricantes de informar de las vulnerabilidades e incidentes explotados activamente. Además, establece normas sobre vigilancia del mercado y aplicación de la legislación. En conjunto, esta propuesta llamada «Ley de Ciber resiiencia» refuerza las normas de ciberseguridad para garantizar productos de hardware y software más seguros.
Gladiolo
Debe recordarse que los productos de hardware y software son cada vez más objeto de ciberataques con éxito. Ello implica un coste anual mundial estimado de 5,5 billones de euros para 2021. Estos productos adolecen de dos grandes problemas, un bajo nivel de ciberseguridad con vulnerabilidades generalizadas y suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensión y un acceso a la información insuficientes por parte de los usuarios (les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura).
Hoy, la mayoría de los productos de hardware y software no están cubiertos la legislación de la UE sobre ciberseguridad. En particular, el actual marco jurídico de la UE no aborda la ciberseguridad de los programas informáticos no integrados, aun cuando son objeto de ciberataques a menudo.
La propuesta tiene dos objetivos principales, en relación con los productos.
crear las condiciones para el desarrollo de productos seguros con elementos digitales, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y velando por que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto; y
crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.
Y cuatro objetivos específicos:
que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida;
garantizar un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los fabricantes de hardware y software
aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
fomentar que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura.
Documentación técnica (art 23 de la propuesta)
La documentación técnica debe elaborarse antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendrá permanentemente actualizada durante la vida útil prevista del producto o durante cinco años a partir de la introducción del producto con elementos digitales en el mercado, si este período fuese más breve
Marcado CE «Conformité Européenne (preámbulo 32 y art 21 de la propuesta)
El marcado CE indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.º 765/2008 Ahora, con esta propuesta de ciber resiliencia se establecen disposiciones relativas a la colocación del marcado CE en productos con elementos digitales, siendo el marcado CE el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos Téngase en cuenta que cuando existe reserva de Marcado CE, esta mención es obligatoria. Conforme a la propuesta, los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno.
El marcado CE, tal como se define en el artículo 3, punto 32, estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) n.º 765/2008.: ««marcado CE»: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Unión aplicables que armonicen las condiciones para la comercialización de productos (las «normas de armonización de la Unión») y prevean su colocación»
Se siguen las reglas de colocación, tamaño etc del art 22
En relación con este marcado la Comisión estará facultada para adoptar actos de ejecución con el fin de especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas informáticos, especificar los esquemas europeos de certificación de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en el presente Reglamento, adoptar especificaciones comunes, establecer especificaciones técnicas para la colocación del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata destinada a preservar el buen funcionamiento del mercado interior.
Tareas encomendadas a ENISA
Recibir notificaciones de los fabricantes relativas a las vulnerabilidades presentes en los productos con elementos digitales y sobre los incidentes que repercutan en la seguridad de dichos productos.
Transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad informática (CSIRT) pertinentes o, según corresponda, a los puntos de contacto únicos de los Estados miembros designados de conformidad con DNIS2, así como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada.
elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación
apoyar el proceso de ejecución del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categorías de productos para las que deban organizarse acciones de control simultáneas coordinadas.
En circunstancias excepcionales que requieran una intervención inmediata, la ENISA, a petición de la Comisión, debe poder llevar a cabo evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.
Evaluación de conformidad (arts. 25 ss. de la Propuesta)
Recuérdese que la conformidad de un producto se efectúa antes de su comercialización. Consiste en demostrar que se cumplen todos los requisitos legislativos. Incluye pruebas, inspección y certificación.
El procedimiento para cada producto se especifica en la legislación de producto aplicable.
En general, la legislación de productos describe los procedimientos de evaluación de la conformidad para cada producto. Cada fabricante puede elegir entre diferentes procedimientos de evaluación de la conformidad disponibles para sus productos, en su caso. La evaluación la realizaría el fabricante salvo cuando a legislación requiere la intervención de un organismo de evaluación de conformidad. Como parte de la evaluación de la conformidad, el fabricante o el representante autorizado debe redactar una declaración de conformidad (DoC). La declaración debe contener toda la información para identificar:
Producto
Legislación aplicable a ese producto
Fabricante o el representante autorizado
Organismo notificado si procede
Una referencia a normas armonizadas u otros documentos normativos, cuando proceda
En relación con esta Propuesta, los Estados miembros notificarán a la Comisión y a los demás Estados miembros los organismos de evaluación de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.
Azaleas
A propósito de los organismos notificados los organismos de evaluación de conformidad (art 29 ss de la Propuesta). Y repaso al sistema de acreditación
Con carácter general organismo notificado es una organización designada por un país de la UE para evaluar la conformidad de determinados productos antes de su comercialización. Estos organismos llevan a cabo tareas relacionadas con los procedimientos de evaluación de la conformidad establecidos en la legislación aplicable a petición de terceros como los fabricantes. La Comisión Europea publica una lista de dichos organismos notificados. En España, los Organismos Notificados deben contar con la aprobación previa de ENAC (Entidad Nacional de Acreditación). Conforme al Reglamento (CE) n.o 765/2008 la ENAC es ,en España, el organismo de acreditación: el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones. Estas acreditaciones son también definidas en el mismo Reglamento: declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad
Rasgos de estos ONEC:
Imparcialidad: su personal tiene competencia técnica libre de incentivos económicos que tienten su criterio
Confidencialidad: garantizan el secreto profesional y tienen seguro de responsabilidad civil
Independencia: tienen personalidad jurídica propia e independiente de la organización evaluada. En este sentido, ni los directivos ni el personal podrán diseñar, instalar, proveer, fabricar, mantener…nada que pueda entrar en conflicto con su independencia, en especial los servicios de consultoría. Los organismos notificados de certificación, son conforme al R (CE) 765/2008 organizaciones que desempeñan actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección. Algunas de las características de los organismos notificados de evaluación son:
En la Propuesta se establecen requisitos específicos para los organismos notificados, como su sometimiento a las reglas de notificación (art 29, apartados 2 a 12).
.Los organismos de evaluación de la conformidad se establecerán con arreglo al Derecho nacional y tendrán personalidad jurídica. Y, serán terceros organismos independientes de la organización o el producto que evalúen. Pueden pertenecer a una asociación comercial o una federación profesional que represente a las empresas que participan en el diseño, el desarrollo, la producción, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que evalúen, a condición de que se demuestre su independencia y la ausencia de conflictos de interés.
El organismo de evaluación de la conformidad, sus directivos de alto rango y el personal responsable de la realización de las tareas de evaluación de la conformidad no serán el diseñador, el desarrollador, el fabricante, el proveedor, el instalador, el comprador, el dueño, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse, ni el representante autorizado de ninguno de ellos. Ello no será óbice para que usen los productos evaluados que sean necesarios para el funcionamiento del organismo de evaluación de la conformidad, ni para que usen dichos productos con fines personales. Tampoco intervendrán directamente en el diseño, el desarrollo, la producción, la comercialización, la instalación, el uso ni el mantenimiento de estos productos, ni representarán a las partes que participen en estas actividades. No realizarán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que hayan sido notificados. Ello se aplicará, en particular, a los servicios de consultoría.
Los organismos de evaluación de la conformidad se asegurarán de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluación de la conformidad.
Los organismos de evaluación de la conformidad y su personal llevarán a cabo las actividades de evaluación de la conformidad con el máximo nivel de integridad profesional y con la competencia técnica exigida para el campo específico, y estarán libres de cualquier presión o incentivo, especialmente de índole financiera, que pudieran influir en su apreciación o en el resultado de sus actividades de evaluación de la conformidad, en particular por parte de personas o grupos de personas que tengan algún interés en los resultados de estas actividades.
El organismo de evaluación de la conformidad será capaz de realizar todas las tareas de evaluación de la conformidad especificadas en el anexo VI y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.
En todo momento, para cada procedimiento de evaluación de la conformidad y para cada tipo o categoría de productos con elementos digitales para los que ha sido notificado, el organismo de evaluación de la conformidad dispondrá:
de personal con conocimientos técnicos y experiencia suficiente y adecuada para realizar las tareas de evaluación de la conformidad;
de las descripciones de los procedimientos con arreglo a los cuales se efectúa la evaluación de la conformidad, garantizando la transparencia y la posibilidad de reproducción de estos procedimientos; dispondrá también de las políticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;
de procedimientos para desempeñar sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnología del producto y el carácter masivo o en serie del proceso de producción.
dispondrá de los medios necesarios para realizar adecuadamente las tareas técnicas y administrativas relacionadas con las actividades de evaluación de la conformidad y tendrá acceso a todo el equipo o las instalaciones que necesite. El personal encargado de llevar a cabo las tareas de evaluación de la conformidad dispondrá de:
una buena formación técnica y profesional para realizar todas las actividades de evaluación de la conformidad para las que el organismo de evaluación de la conformidad haya sido notificado;
un conocimiento satisfactorio de los requisitos de las evaluaciones que efectúe y la autoridad necesaria para efectuarlas
un conocimiento y una comprensión adecuados de los requisitos esenciales, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonización de la Unión aplicables, así como de las normas de aplicación correspondientes;
capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.
Se garantizará la imparcialidad de los organismos de evaluación de la conformidad, de sus directivos de alto rango y del personal de evaluación.
La remuneración de los directivos de alto rango y del personal de evaluación de los organismos de evaluación de la conformidad no dependerá del número de evaluaciones realizadas ni de los resultados de dichas evaluaciones.
Garantías frente a responsabilidad
El organismo de evaluación de la conformidad suscribirá un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.
Secreto
El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información recabada en el ejercicio de sus tareas, con arreglo al anexo VI o a cualquier disposición de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se protegerán los derechos de propiedad. El organismo de evaluación de la conformidad contará con procedimientos documentados que garanticen el cumplimiento del presente apartado.
Zarzas y lila
Otras cuestiones
Los organismos de evaluación de la conformidad participarán en las actividades pertinentes de normalización y las actividades del grupo de coordinación de los organismos notificados establecido con arreglo al artículo 40, o se asegurarán de que su personal de evaluación esté informado al respecto, y aplicarán a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.
Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relación con las tasas.
Presunción de conformidad/ subcontrataciones y filiales de los organismos notificados
Artículo 30.- Presunción de conformidad de los organismos notificados. Si un organismo de evaluación de la conformidad demuestra su conformidad con los criterios establecidos en las normas armonizadas pertinentes, o partes de ellas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, se presumirá que cumple los requisitos establecidos en el artículo 29 en la medida en que las normas armonizadas aplicables cubran estos requisitos.
Artículo 31. Subcontrataciones y filiales de los organismos notificados: 1.Cuando un organismo notificado subcontrate tareas específicas relacionadas con la evaluación de la conformidad o recurra a una filial, se asegurará de que el subcontratista o la filial cumplen los requisitos establecidos en el artículo 29 e informará a la autoridad notificante en consecuencia. 2.El organismo notificado asumirá la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de dónde estén establecidos. 3.Las actividades solo podrán subcontratarse o delegarse en una filial previo consentimiento del fabricante. 4.Los organismos notificados mantendrán a disposición de la autoridad notificante los documentos pertinentes sobre la evaluación de las cualificaciones del subcontratista o de la filial, así como sobre el trabajo que estos realicen con arreglo al presente Reglamento.
Esta entrada se relaciona con la aspiración de la Comisión Europea de facilitar la consolidación de datos en los mercados de capitales de la UE
La acción 14 , relacionada con el objetivo n.º 3 del Plan de Acción de la Unión de los Mercados de Capitales (UMC), tiene por objeto establecer una cinta consolidada CC. Sería un instrumento fundamental en la configuración de la UMC. Proporcionaría datos consolidados sobre los precios y el volumen de los valores negociados en la UE. Mejoraría la trasparencia y la competencia entre los centros de negociación
La CC se concibió junto con el punto europeo de acceso único para la información de las empresas (PEA), para mejorar la información que se da a los inversores a nivel de toda Europa.
Tras abundantes debates, la Comisión se comprometió en 2020 a presentar una propuesta legislativa para apoyar la introducción de una cinta o registro de información consolidada .
Los mercados europeos tienen limitaciones estructurales que la MiFID II pretendía abordar, pero que aún no se han resuelto del todo. MiFID II introdujo la función de una CC para Europa relativa a la información post-negociación de forma consolidada, independientemente de si las operaciones se ejecutan en un centro de negociación o no. Sin embargo, aún no ha surgido ningún proveedor que ofrezca el servicio conforme a la definición de la MiFID II, Esto es debido a muchos factores, como son -entre otros- las dificultades estructurales para obtener datos de alta calidad de los centros de ejecución extrabursátiles (OTC) y de los internalizadores sistemáticos (IS) en toda Europa. Esta problemática pone en entredicho la viabilidad comercial de una CC, frente a las soluciones de datos de mercado ya existentes.
Dado que no ha surgido ningún proveedor de CC, es probable que la Comisión Europea lo imponga, en el marco de MiFIR -y su reforma-. Recientemente se han sometido a debate público e investigación distintas opciones de CC, entre ellas una en tiempo real previa a la negociación, otra en tiempo casi real posterior a la negociación, otra con un retraso de 15 minutos posterior a la negociación y la que consolida al final del día posterior a la negociación. Hoy existen soluciones diversas -privadas y parciales- para obtener datos, pero sigue siendo difícil obtenerlos en mercados menos transparentes y persiste la dificultad para alcanzar la información en tiempo real.
En junio de 2023, el Consejo Europeo, la Comisión y el Parlamento acordaron establecer una cinta consolidada para la renta variable y los fondos cotizados (ETF) con datos pre-negociación en tiempo real, pero sin atribución de centro y con una sola capa de cotizaciones de compra y venta. Pero , lejos de este modelo tan sencillo, existe un debate más amplio. Por ejemplo, los gestores de activos y algunas empresas de intermediación sugieren una cinta consolidada que incluya cinco niveles de cotizaciones, así como la atribución de centros. Esta idea coincide con los iniciales trabajos de la Comisión, que no se refleja en la propuesta de CC. Pero las bolsas se opusieron durante las negociaciones debido a la preocupación por la pérdida de ingresos.
El primer procedimiento de selección para la PIC de bonos está previsto para finales de 2024. Previamente, la ESMA redactará las normas técnicas para la selección
En la primavera de 2021, la Comisión publicó una evaluación de impacto inicial puso en marcha una consulta pública y celebró un taller para recabar las aportaciones de las partes interesadas sobre la creación de una información consolidada. La propuesta legislativa de 25.11.2021 por la que se modifica el MiFIR, que incluye la creación de una información consolidada, se adoptó el 25 de noviembre de 2021.
Ya hace algunos años que la Directiva 2004/39/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a los mercados de instrumentos financieros fue modificada y que pasó a entrar en vigor su sustituta, la Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 («MiFID 2») con el Reglamento MIFIR, Actualmente se trabaja en Mifid3 y una nueva versión de MIFIR. A caballo entre estas dos Directivas, se aprobó en 2021 una modificación de Mifid 2 adaptada para potenciar la recuperación post COVID-19: El llamado Quick Fix Mifid
Quick Fix Mifid
El 26 de febrero de 2021 se publicó en el Diario Oficial de la Unión Europea el llamado «Quick Fix» de la MiFID 2, mediante la Directiva 2021/3381 . El objetivo de esta Directiva de adaptación «rápida» era simplificar determinados requisitos reglamentarios y promover la inversión, reduciendo al mismo tiempo los costes de cumplimiento y la carga burocrática de las empresas de inversión tras la pandemia de COVID-19, sin por ello cejar en el empeño de tutela de inversores. Modificó la MiFID2 en lo que respecta a los requisitos de información, la gobernanza de los productos y los límites de posición. Esta «solución rápida» se basó en la flexibilidad.
Llegan las camelias
La Directiva Quick fix simplificó, en particular, los requisitos de información y notificación de la MiFID 2.
En cuanto a las notificaciones, el «Quick Fix» pasó del formato papel a un método electrónico de comunicación (cualquier soporte duradero distinto del papel). Los clientes minoristas pueden seguir exigiendo a las empresas de inversión que les faciliten la información en papel. Las empresas de inversión deben notificar a los clientes minoristas este cambio y el derecho a optar por papel al menos ocho semanas antes de transmitir la información por vía electrónica.
Una serie de requisitos MIDIF2 ya no son aplicables a los clientes profesionales (y en el caso de los informes, tampoco es aplicable a ciertas las contrapartes elegibles, conforme a la propia norma), a menos que escojan, por escrito, acogerse a ellos. Estos cambios tenían por objeto simplificar los procesos aunque, en el sistema de «todo o nada» que se ha diseñado para los clientes profesionales, estos pueden optar por no recibir nada o por recibir todos los informes, sin que se contemplen vías intermedias:
i. el requisito de que las empresas de inversión realicen un análisis coste-beneficio (una prueba de idoneidad) e informen al cliente de si las ventajas superan a los inconvenientes cuando presten asesoramiento en materia de inversión o gestión de carteras que implique el cambio de instrumentos financieros, y
ii. la exigencia de informes ex post sobre los servicios de transacción (que incluyen el tipo y la complejidad de los instrumentos financieros utilizados, la naturaleza del servicio prestado y los costes asociados).
Además, el Quick Fix introdujo exenciones a la obligación de divulgar costes y gastos, en algunos casos: las empresas de inversión están exentas de divulgar información sobre costes y gastos a los clientes profesionales y contrapartes elegibles si prestan servicios distintos de la gestión de carteras o el asesoramiento en materia de inversión. Los clientes profesionales podrán seguir optando por la información, solicitándola si la desean. La simplificación -exención- no alcanza a la gestión de carteras o asesoramiento en materia de inversión.
El Quick Fix suspendió hasta el 28 de febrero de 2023 las reglas de ejecución óptima del art. 27 (3) de MiFID2, que estaban desarrolladas en la RTS 27 ( Reglamento Delegado (UE) 2017/575 de la Comisión). Es decir, se suspendió la obligación de presentar informes periódicos sobre datos relativos al nivel de calidad de ejecución de las operaciones, que había sido introducida para que los inversores e intermediarios pudiesen comparar las condiciones de ejecución de órdenes en distintas plataformas.
Por otra parte, permitió -en ciertas condiciones- aplazar la transferencia (información) de los datos sobre costes y gastos tras la conclusión de la operación cuando se utilizaran canales de comunicación a distancia para un acuerdo de compra o de venta de un instrumento financiero. Los requisitos para esta posibilidad son dos: i) que la empresa de servicios de inversión contara con el acuerdo del cliente; y ii) que se prevea aplazar la ejecución del acuerdo hasta la entrega de los datos al cliente.
Esta exención de la obligación de proporcionar información ex ante sobre costes y gastos permite una tramitación más rápida de las órdenes, reduciendo el riesgo de fluctuaciones de precios entre el suministro de la información y la ejecución de las órdenes. Pero, reduce la trasparencia de las operaciones y la comparabilidad entre plataformas y centros de negociación
Los servicios de inversión prestados en relación con bonos corporativos con una cláusula make whole (no se incluyen los bonos no complejos) quedaron exentos de los requisitos de gobernanza de producto (por ejemplo, solicitar una autorización para cualquier tipo de instrumento financiero como parte de su desarrollo y/o distribución). El objetivo de esta reforma en 2021 es que los bonos corporativos resulten fácilmente accesibles para los inversores y más baratos de gestionar para los emisores.
También, ciertas contrapartes elegibles están exentas de los requisitos de gobernanza de producto aplicables a los instrumentos financieros comercializados o distribuidos exclusivamente a ellas.
En el ámbito de los mercados de materias primas, los límites a las posiciones que sólo se aplicaban a los derivados de materias primas significativos o críticos que se negocian en centros de negociación y a los derivados de materias primas agrícolas. (aunque los contratos de derivados OTC no estaban excluidos del régimen) conocieron otra exención pues con el Quick Fix los límites de posición no se aplican a los derivados mantenidos por o en nombre de entidades financieras que ofrecen liquidez a contrapartes no financieras en un grupo predominantemente comercial .
Se ha simplificado la prueba de la actividad auxiliar. Se exime a los participantes en el mercado de la obligación de estar autorizados como empresas de inversión para participar en los mercados de derechos de emisión si se cumplen determinados requisitos (por ejemplo, que desarrollen meramente una actividad auxiliar de la principal a nivel de grupo).
Anteriormente, los participantes en el mercado debían notificar anualmente a las autoridades nacionales competentes si se acogían a la exención, así como facilitar datos específicos para satisfacer determinadas pruebas cuantitativas complejas. El Quick Fix decidió simplificar eliminando el requisito de notificación y volviendo a un nuevo criterio cualitativo de prueba de la actividad auxiliar. Tras esta modificación, la norma RTS 20 de MiFID II será sustituida por un nuevo Reglamento Delegado para la prueba de la actividad auxiliar.
La norma de desagregación sufrió un «reagrupamiento». Ahora, la investigación de terceros puede ser obtenida por determinadas empresas de inversión (pequeñas y medianas empresas cuya capitalización bursátil es inferior a 1.000 millones de euros) que ofrecen a sus clientes servicios de gestión de carteras u otros servicios de inversión. Esta innovación ha mejorado la disponibilidad de estudios sobre emisores, así como su capacidad para obtener financiación.
Para ello, las partes deben firmar un acuerdo determinando la parte de los gastos conjuntos que corresponde a la investigación, y deben informar a sus clientes de que se realizan pagos conjuntos.
Por último, la AEVM recibió instrucciones en virtud de la directiva Quick Fix para crear un nuevo conjunto obligatorio de normas técnicas reglamentarias relativas, por ejemplo, a los controles de gestión de posiciones y la aplicación de límites de posiciones a los derivados sobre materias primas.
En conjunto, estas modificaciones fueron bien acogidas y permitieron vislumbrar los últimos cambios de la MiFID 2
Rosetón Sur. Pulchra Leonina
Más:
El Quick Fix de la MiFID 2 es relevante para todas las empresas de inversión, bancos y GFIA autorizados a prestar servicios de inversión. Los cambios introducidos en el marco jurídico de la MiFID 2 incluyen
(i) una flexibilización de los requisitos de información y comunicación de información de las empresas de inversión en relación con los clientes profesionales y las contrapartes elegibles, incluso con respecto a la transparencia de los costes, la información periódica y la gobernanza de los productos y (ii) una revisión del régimen de límites de posiciones en derivados sobre materias primas. Estos cambios incluyen:
El sistema, por defecto, para que las empresas de inversión se comuniquen con sus clientes será electrónico. No obstante, los clientes minoristas podrán optar por seguir recibiendo información en papel.
Si bien MiFID 2 otorga al cliente el derecho a conocer los costes y gastos relacionados con la prestación de servicios de inversión. El Quick Fix prevé una exención para facilitar a los clientes profesionales y a las contrapartes elegibles información sobre costes y gastos en caso de que se presten servicios de inversión distintos del asesoramiento en materia de inversión o la gestión de carteras. Además, habrá una excepción al requisito de transparencia de costes ex ante para los contratos de compra o venta de un instrumento financiero celebrados mediante una técnica de comunicación a distancia, que impide facilitar por adelantado la información sobre costes y gastos.
Exime a las empresas de inversión de facilitar informes periódicos a los clientes profesionales y a las contrapartes elegibles. No obstante, los clientes profesionales seguirán teniendo la posibilidad de optar por recibir esta información.
Al prestar asesoramiento en materia de inversión o gestión de carteras, las empresas de inversión están obligadas a realizar un análisis coste-beneficio en caso de cambio de instrumentos financieros. Con el Quick Fix clientes profesionales estarán exentos de estos requisitos a menos que soliciten expresamente tales análisis.
El Quick fix introduce dos exenciones a los requisitos de gobernanza de productos de MIFID2 . La primera exención se aplicará a los servicios de inversión prestados en relación con bonos sin derivados incorporados, salvo una cláusula de amortización anticipada. La idea subyacente es que estos bonos pueden considerarse en general productos seguros y sencillos adecuados para clientes no profesionales. La segunda exención implica que los requisitos de gobernanza del producto ya no se aplicarán a los instrumentos financieros que sólo se negocien o distribuyan entre contrapartes elegibles.
– Agrupación de estudios: En el contexto de la MiFID II, la cuestión de si las empresas de inversión podían (seguir) recibiendo servicios de investigación (o research) de los intermediarios como remuneración no monetaria fue objeto de un gran debate. La antigua práctica de agrupar los servicios y honorarios de los intermediarios entraría en conflicto con la obligación de la empresa de inversión de actuar en el mejor interés del cliente. Las modificaciones de los requisitos de análisis derivadas del Quick Fix permitirán a las empresas agrupar los costes de análisis y ejecución con respecto a los emisores de pequeña y mediana capitalización.
En cuanto a los requisitos sobre derivados de materias primas, se aplican los siguientes cambios principales:
El régimen de límite de posiciones, que ha sido desfavorable para el desarrollo de nuevos mercados de materias primas, deja de ser requisito a los mercados de materias primas iniciales. Los límites de posiciones sólo se aplican a los derivados sobre materias primas críticos o significativos (conforme a la delimitación en la MIFID2/Quick Fix) que se negocien en centros de negociación, y a sus contratos OTC económicamente equivalentes. Los derivados de materias primas titulizados quedarán explícitamente excluidos de los límites de posiciones.
Exención de cobertura: La MiFID 2 no permite exenciones de cobertura para ninguna entidad financiera. El Quick Fix introduce una exención de cobertura para las entidades financieras que negocien por cuenta de entidades no financieras en un grupo predominantemente comercial.
La exención para actividades auxiliares prevista en la MiFID II permite a determinados participantes en el mercado operar en los mercados de derechos de emisión sin tener que estar autorizados como empresas de inversión, siempre que se cumplan determinadas condiciones. Tras el Quick Fix, los participantes en el mercado que se acojan a la exención sólo deberán realizar una prueba simplificada de actividad auxiliar.
El Quick Fix fue aprobado para limitar la carga administrativa post crisis. Pero no sustituye la reforma general de MIFID2
No Eume- Ponte do Eume
Reforma general
Prosigue la revisión programada de MiFIR conforme a la Propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 600/2014 en lo que se refiere a la mejora de la transparencia de los datos de mercado, la eliminación de obstáculos al establecimiento de un sistema de información consolidada, la optimización de las obligaciones de negociación y la prohibición de recibir pagos por la transmisión de órdenes de clientes COM/2021/727 final, También, según la Propuesta de Directiva por la que se modifica la Directiva 2014/65/UE relativa a los mercados de instrumentos financieros COM/2021/726 final. La Comisión Europea (CE) publicó estas propuestas de reforma el 25 de noviembre de 2021, dentro de las medidas de aplicación de la Unión de Mercados de Capitales (UMC)
Las áreas que exigen reformas prioritarias incluyen: la mejora en la transparencia y la disponibilidad de los datos del mercado; en la igualdad de condiciones entre los centros de ejecución, y garantizar que las infraestructuras de mercado de la UE puedan seguir siendo competitivas a escala internacional y reforzar el papel internacional del euro.
La propuestas incluyen medidas para ayudar a la creación y aplicación de una base de datos centralizada o cinta consolidada (pasa de MiFID 2 al Reglamento, MiFIR). Su objetivo principal es contribuir a crear una visión integrada de la negociación en la UE, mejorar la transparencia de los procesos en relación con los centros de negociación potenciar los mercados como instrumentos para financiar las empresas e igualar las condiciones de los centros de ejecución. La Comisión insiste en que «la cinta consolidada será suministrada por el sector privado, bajo la supervisión de la ESMA». Las disposiciones relativas a la cinta se trasladan de la MiFID 2 al MiFIR, con lo que serán directamente aplicables y con un enfoque armonizado en toda la UE.
Calienta motores el VII Congreso Nacional de Sociedades de la Universidad de Málaga, uno de los encuentros más prestigiosos del mercantilismo español, cita anual de especialistas en derecho societario.
Bajo el título «Transmisión de acciones y participaciones sociales” , el VII CNS reúne en la capital malacitana a destacadísimos ponentes y conferenciantes. Aglutina a académicos, notarios, registradores, jueces y otros profesionales. Desde la UMA, los juristas mercantilistas han propuesto este magnífico programa científico, y una serie de actividades , incluyendo el apetecible programa social , que se pueden consultar en su WEB., , así como en la Secretaría técnica del Congreso (info@congresoderechodesociedades.es)
Quedan aún (pocas) plazas, pero es posible inscribirse en este enlace
La transmisión de acciones y de participaciones se sitúa entre los aspectos más cruciales de la organización de la empresa a través de sociedades de capital. Captación de recursos para nuevos proyectos, equilibrios de poder, salida de socios, impacto de los pactos estatutarios y para sociales, son sólo algunos de los aspectos que serán objeto de atención en estas jornadas, y que se poyan en el régimen legal estatutario o pactado fuera de estatutos para la libre (o no tan libre) transmisión de capital mediante las acciones y las participaciones.
La organización de Congresos Nacionales forma parte de las actividades académicas más laboriosas, más apoyadas en equipo, más gratificantes. Y también entre las que más se agradece a sus promotores, que en este caso son tan excelentes científicos como anfitriones. Felicidades especialmente al Profesor Juan Ignacio Peinado Gracia y a la Profesora Belén González Fernández directores de este evento. También a los Profesores Eugenio Olmedo Peralta, Reyes Palá Laguna, José Antonio García Cruces, Antonio Perdices Hueto, Antonio Roncero Sánchez, Nuria Fernández Pérez, al resto de excelentes ponentes y al conjunto del Área de Derecho Mercantil de la UMA. Y, por supuesto al conjunto de organizaciones asociadas y colaboradoras que incluyen a entidades financieras, editorial de primer nivel, organizaciones profesionales y entidades provinciales. Todas ellas contribuyendo a la excelencia de este Congreso de referencia.
En las gradas, buena parte de los mercantilistas coincidiremos una vez más es la cita de Málaga en torno a este evento para aprender, compartir y generar conocimiento.
Gracias, por estas 7 ediciones, y muchísimos ánimos para continuar el buen trabajo
El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 establece un nuevo marco para la certificación de sistemas de ciberseguridad en la UE. Este Reglamento se conoce también como Reglamento de Ciberseguridad
Destacan estas definiciones:
«esquema europeo de certificación de la ciberseguridad»: conjunto completo, de disposiciones, requisitos técnicos, normas y procedimientos establecidos a escala de la Unión y que se aplican a la certificación o evaluación de la conformidad de los productos, servicios y procesos de TIC específicos.
Su objeto es garantizar que los productos, servicios y procesos de TIC certificados con arreglo a un esquema cumplan los requisitos especificados con objeto de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, servicios y procesos a lo largo de su ciclo de vida, o los servicios ofrecidos por ellos o accesibles a través de ellos.
Conforme al artículo 48 del Reglamento de Ciberseguridad, (Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo), podrá solicitarse a ENISA que prepare una propuesta de esquema o que revise un esquema europeo de certificación de la ciberseguridad existente, dentro del programa de trabajo evolutivo de la Unión o excepcionalmente fuera de ese programa con lo que el mismo será actualizado en consecuencia.
«certificado europeo de ciberseguridad»: documento expedido por el organismo pertinente que certifica que determinado, producto, servicio o proceso de TIC ha sido evaluado para verificar que cumple los requisitos específicos de seguridad establecidos en un esquema europeo de certificación de la ciberseguridad
«esquema nacional de certificación de la ciberseguridad»: conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos desarrollados y adoptados por una autoridad pública nacional, y que se aplican a la certificación o a la evaluación de la conformidad de los productos, servicios y procesos de TIC incluidos en el ámbito de aplicación de dicho esquema específico;
Se relacionan con otras disposiciones
«acreditación»:declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad . -ello, conforme al artículo 2, punto 10, del Reglamento (CE) n.o 765/2008:
«organismo nacional de acreditación»: el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones; conforme al artículo 2, punto 11, del Reglamento (CE) n.o 765/2008. Conforme a la STJUE en Garaciolo (C-142/20) este organismo debe estar situado necesariamente en el territorio del Estado en cuestión
«evaluación de la conformidad»: proceso por el que se demuestra si se cumplen los requisitos específicos relativos a un producto, un proceso, un servicio, un sistema, una persona o un organismo, según se define en el artículo 2, punto 12, del Reglamento (CE) n.o765/2008;
«organismo de evaluación de la conformidad»: organismo que desempeña actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección, tal como se señala en el en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008;
«norma»: una norma según se define en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012;
«especificación técnica»: un documento que prescribe los requisitos técnicos que debe cumplir un producto, servicio o proceso de TIC, o procedimientos de evaluación de la conformidad relativos a los mismos. Las especificaciones técnicas que deben utilizarse en un esquema europeo de certificación de la ciberseguridad deben respetar los requisitos establecidos en el anexo II del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo. No obstante, podrían considerarse necesarias algunas variaciones con respecto a estos requisitos en casos debidamente justificados en los que dichas especificaciones técnicas vayan a utilizarse en un esquema europeo de certificación de la ciberseguridad de nivel de garantía «elevado». Los motivos que justifican tales variaciones deben hacerse público
Recuérdese que conforme al Reglamento (UE) no 1025/2012, artículo 10 (6): Cuando una norma armonizada cumpla los requisitos que está previsto que regule, establecidos en la correspondiente legislación de armonización de la Unión, la Comisión publicará sin demora una referencia a dicha norma armonizada en el Diario Oficial de la Unión Europea o por otros medios, con arreglo a las condiciones establecidas en el correspondiente acto de la legislación de armonización de la Unión.
Actividad del Grupo de Innovación Docente DERMERULE para el curso académico 2023-24. Se inicia el miércoles 17 de abril de 2024, en el Salón de Grados de la Facultad de Derecho de la Universidad de León, con este programa:
Para obtener Diploma y optar al PREMIO: debe asistirse al 80% de las actividades y realizar un trabajo en soporte multimedia (1 SESION Y 2 SESIÓN DE PRESENTACIÓN – presencial u online-DE LOS VIDEOS ELABORADOS POR ALUMNOS). 
