LLAVES Y CLAVES DE SOSTENIBILIDAD EN LA UNIÓN EUROPEA.
Actividad del Grupo de Innovación Docente DERMERULE para el curso académico 2023-24. Se inicia el miércoles 17 de abril de 2024, en el Salón de Grados de la Facultad de Derecho de la Universidad de León, con este programa:
SESIÓN INICIAL. 17 de abril de 2024. Salón de Grados. Facultad de Derecho.
10:30 – Innovación docente y trasversalidad. Derecho Mercantil y el GID DerMerUle. ELENA F. PÉREZ CARRILLO.
10:45 – PRIMERA LLAVE. Trabajar para la Unión Europea. CARLOS PÉREZ PADILLA. Comisión Europea.
Taller: Incorporando lo aprendido.
12:20 – SEGUNDA LLAVE. Marcos institucionales cercanos.
Unas palabras desde el Decanato. PROF. DR. SALVADOR TARODO SORIA, Sr. Decano de la Facultad de Derecho.
Área de Derecho Mercantil. PROF. DRA. MARÍA ANGUSTIAS DÍAZ GÓMEZ.
Cooperación internacional. Actividades con el VICERRECTORADO DE RELACIONES INTERNACIONALES.
16:30 – TERCERA LLAVE. ¿Crimen?:Justificación y sostenibilidad Un enfoque innovador. PROF. LUIS MIGUEL RAMOS MARTÍNEZ.
Taller: Incorporando lo aprendido.
17:45 – CUARTA LLAVE. Empresa sostenible, enfoques de la UE: Políticas de sostenibilidad, Políticas de retribución e Informes de retribuciones en la gran empresa cotizada. PROF. DRA. MARTA ZABALETA DÍAZ. Universidad de Alcalá.
Taller: Incorporando lo aprendido.
19:45 – CLAVES para completar este Programa y participar en el Premio DerMerUle Sostenibilidad Empresa Justicia de Innovación Docente 2024. ELENA F. PÉREZ CARRILLO.
Para obtener Diploma y optar al PREMIO: debe asistirse al 80% de las actividades y realizar un trabajo en soporte multimedia (1 SESION Y 2 SESIÓN DE PRESENTACIÓN – presencial u online-DE LOS VIDEOS ELABORADOS POR ALUMNOS).
Coordinación: Elena F. Pérez Carrillo /// Secretaría: Luis Miguel Ramos Martínez
La Directiva de Diligencia Debida (DDD) se presenta como un instrumento transversal de protección frente a los impactos de las empresas en materia de Derechos Humanos (DH) y en materia de medioambiente (Ma). Introduce una nueva forma de gobernanza para las grandes empresas y para las cadenas de valor que tengan sede en la UE (así como para las que mantengan relaciones comerciales con la UE). Las organizaciones que queden sometidas a esta DDD tendrán que cumplir con una serie de obligaciones jurídicas vinculantes (y por lo tanto responderán en caso de incumplimiento).
Hace apenas algunas semanas, el futuro de esta Directiva pendía de un hilo. Fueron las abstenciones de Alemania y de Italia, en una votación crucial del Consejo (15.03.2024), las que abrieron la puerta a la próxima publicación de la Directiva. Se espera que el Parlamento Europeo apruebe el texto del borrador definitivo el 24 de abril de 2024, completando así el proceso legislativo formal, que incorpore las reformas pactadas en el Consejo
¿Qué es la diligencia debida en materia de sostenibilidad?
La «diligencia debida en materia de sostenibilidad», que se menciona en el título de la DDD, se refiere a los procesos y actuaciones que deben ponerse en marcha en las empresas para identificar y para gestionar riesgos para los DH y para el Ma, riesgos que derivan de su propia actividad y de la actividad de sus cadenas de valor. Se considera como un elemento crucial de la «empresa responsable» y así se desprende de diversos marcos internacionales.
Dentro de los marcos que precedieron a la DDD, y que en buena medida sirven de apoyo a sus postulados, destacan los Principios Rectores de las Naciones Unidas sobre las Empresas y los Derechos Humanos (llamados también «Global Pact» (como en su versión de 2011); o las Directrices de la OCDE (especialmente en la edición actualizada en 2023).
MODIFICACIONES A LA PROPUESTA DE DDD INTRODUCIDAS EN EL CONSEJO
Azaleas
La Propuesta DDD ha sido objeto de críticas por distintos motivos. Por ejemplo, fue acusada de aumentar, sin sentido, la «burocracia» en la gestión de empresa.
Sin embargo, dadas las expectativas y debates que ha despertado, si esta iniciativa quedase paralizada ahora, la agenda EU de sostenibilidad perdería credibilidad. Y, en un año de elecciones al Parlamento Europeo, hubiera tenido consecuencias en el plano de la desafectación de la opinión pública, que a su vez desincentiva la participación ciudadana en las elecciones.
Posiblemente tales razonamientos subyacen en el acuerdo alcanzado en el seno del Consejo de ministros el 15.03.2024, y que ha implicado modificar algunos aspectos, especialmente espinosos, de la Propuesta de la Comisión:
La implantación de medidas de diligencia en materia de Ma y DH se retrasa. En algunos casos no serán exigibles hasta pasados 7 años desde la publicación de la DDD. Además, se eleva el umbral del volumen de las empresas a las que se aplicará. La versión final negociada en el Consejo de Ministros de la UE se aplicará a las empresas que tengan al menos 1.000 empleados. Y cuyo volumen de negocios alcance al menos los 450 millones de euros de volumen de negocios facturados en la UE. Con todo, la DDD desplegará algunos efectos meta europeos pues se aplicará también a las empresas no pertenecientes a la UE con un volumen de negocios en la UE de al menos 450 millones de euros. Y su ámbito de aplicación también incluye a las empresas que no alcanzan el umbral de volumen de negocios pero que son la sociedad matriz última de un grupo.
Otra modificación significativa que se introdujo en el Consejo consiste en la supresión del enfoque de los sectores de alto riesgo. Significa que la DDD no se centrará específicamente en las industrias con una mayor probabilidad de impactos ambientales o sociales adversos, frente a lo que había sido propuesto por la Comisión.
Además, la definición de la cadena de suministro se ha limitado aplicándose únicamente a los socios comerciales que realicen actividades para la empresa o en su nombre.
Por otro lado el texto acordado también introduce un planteamiento por etapas:
un periodo de aplicación de tres años para las empresas con más de 5000 empleados y 1500 millones de euros de volumen de negocios;
un periodo de aplicación de cuatro años para las empresas con más de 3000 empleados y 900 millones de euros de volumen de negocios; y
un periodo de aplicación de cinco años para las empresas con más de 1000 empleados y 450 millones de euros de volumen de negocios.
REPASO A LOS CONTENIDOS DE LA DDD
Rododendro
La DDD será una disposición armonizadora cuya eficacia dependerá de la incorporación del derecho europeo en cada Estado. En efecto, conforme a la Propuesta se exige a los Estados miembros de la UE (art 4) que velen por que las empresas ejerzan la diligencia debida en materia de DH y Ma, mediante el cumplimiento de los requisitos específicos de los artículos 5 a 11 de la Directiva. Los requisitos contemplados en esos artículos están muy relacionados con las políticas empresariales -que serán actualizadas anualmente-. Y con la integración horizontal de la diligencia mediante la adopción códigos de conducta y procedimientos (que deberán seguir todos los miembros del personal de cada organización o de cada grupo).
DOBLE MATERIALIDAD
La futura Directiva pretende implantar la “doble materialidad” es decir, la obligación de las empresas de averiguar los efectos negativos sobre los DH y sobre el Ma (art 6), de modo que, una vez conocidos, la organización aplique esfuerzos para prevenirlos y mitigarlos (art 7) o para eliminarlos cuando no se puedan evitar (art 8). Y, abre la vía a las demandas -individuales o colectivas- cuando los efectos negativos sobre la empresa o sobre su cadena de valor afecten y dañen a terceros. También establece la obligación de realizar verificaciones periódicas en las empresas.
Cada Estado tendrá que legislar en su territorios (art 10), obligando a que se publiquen los resultados conforme a la legislación de trasparencia (Dir 2013/34/UE) o conforme a la propia Directiva de Diligencia Debida.
CLAUSULAS TIPO Y ORIENTACIONES DE LA COMISIÓN EUROPEA
Torre de San Miguel, Palencia
Para facilitar el cumplimiento, la Comisión publicará clausulas contractuales tipo (no vinculantes, en si mismas). Y podrá emitir orientaciones o directrices destinadas a sectores concretos(Art 13). Estas cláusulas serán redactadas previa consulta con la Agencia de los Derechos Fundamentales de la Unión Europea, la Agencia Europea de Medio Ambiente o, con organismos internacionales especializados en materia de diligencia debida.
Por otra parte, los Estados y la propia Comisión tendrán que aprobar y poner en marcha “medidas de acompañamiento” hechas públicas en webs y lugares de fácil acceso de modo que sean visibles e identificables. Estas medidas deben aprobarlas las empresas que quedan dentro del ámbito de aplicación de la Directiva pero también las organizaciones que formen parte de las cadenas de valor mundiales y que se vean indirectamente afectados por las obligaciones de la Directiva
En términos específicos del medio ambiente, el art 15 de la Propuesta de DDD establece que los Estados miembros velarán por que determinadas empresas adopten un plan para garantizar que su modelo de negocio y su estrategia sean compatibles con la transición a una economía sostenible y con la limitación del calentamiento global a 1,5C en consonancia con el Acuerdo de París.
En la Propuesta de DDD se regula la obligación de nombrar a un representante en la UE, por parte de las empresas extranjeras que vayan a operar en territorio de la UE (art 16) así como autoridades nacionales de control (art 17 y 18) y la necesidad de establecer canales de denuncia de las empresas ante el estado en relación con lo mandado en la Directiva
DEBER DE DILIGENCIA DE LOS ADMINISTRADORES SOCIALES
El art 25 de la DDD, conforme a la Propuesta, se centra en el deber de diligencia de administradores:
Apartado1.Los Estados miembros velarán por que, al cumplir su deber de actuar en el mejor interés de la empresa, los administradores de las que estén sujetas a la DDD (son aquellas a las que se refiere el artículo 2, apartado 1), tengan en cuenta las consecuencias de sus decisiones en materia de sostenibilidad, incluidas, cuando proceda, las consecuencias para los derechos humanos, el cambio climático y el medio ambiente a corto, medio y largo plazo.
Apartado 2.Los Estados miembros se asegurarán de que las disposiciones legales, reglamentarias y administrativas que regulen el incumplimiento de las obligaciones de los administradores se apliquen también a lo dispuesto en el presente artículo.
El artículo 26 establece la obligación de los administradores de las empresas de la UE de poner en marcha y supervisar la ejecución de los procesos y de las medidas de diligencia debida de las empresas en materia de sostenibilidad. Y, de adaptar la estrategia de la empresa a la diligencia debida.
RELACIONES CON OTROS ACTOS
La DDD no se entiende por sí sola. Acompaña a la Taxonomía verde o ambiental y los European Sustainability Reporting Standards (ESRS). Las tres, desde diferentes ángulos, forman parte de un conjunto de directivas, promovidas por la EFRAG y la Comisión Europea
Azalea rosa
Los European Sustainability Reporting Standards pretenden dar respuesta a las demandas de información de la comunidad inversora y otros stakeholders, dándoles acceso a datos fiables y comparables. La denominada “Taxonomía verde” europea, está, por su parte, enfocada en los impactos ambientales, permitiendo a inversores y empresas diferenciar qué proyectos afectan al clima y al medio ambiente.
Así se ha pronunciado la Sentencia del Tribunal de Justicia de 21 de marzo de 2024 en el asunto C-76/23 | Cobult
La petición de decisión prejudicial, planteada sobre la base del art. 267 TFUE, por el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno, Alemania), tiene por objeto la interpretación de los artículos 7, apartado 3, y 8, apartado 1, letra a), del Reglamento (CE) n.º 261/2004 del Parlamento Europeo y del Consejo, de 11 de febrero de 2004, por el que se establecen normas comunes sobre compensación y asistencia a los pasajeros aéreos en caso de denegación de embarque y de cancelación o gran retraso de los vuelos, y se deroga el Reglamento (CEE) n.º 295/91.
Tal petición fue presentada en el marco de un litigio entre Cobult UG, cesionaria de los derechos de un pasajero, y TAP Air Portugal SA, un transportista aéreo, en relación con el reembolso del billete de ese pasajero cuyo vuelo fue cancelado. Para situar la petición, se trataba de que un pasajero reservó con TAP Air Portugal, por 1447,02 euros, un vuelo con conexión directa programado para el 1 de julio de 2020 con salida desde Fortaleza (Brasil) y con destino a Fráncfort del Meno (Alemania) vía Lisboa (Portugal), que fue cancelado.
Desde el 19 de mayo de 2020, el citado transportista aéreo puso a disposición de los pasajeros, en la página de inicio de su sitio web, un procedimiento para presentar las solicitudes de reembolso, particularmente respecto a los vuelos cancelados. Conforme a dicho procedimiento, los pasajeros pueden optar entre un reembolso inmediato en forma de bonos de viaje cumplimentando un formulario en línea y un reembolso en forma distinta, por ejemplo, una suma de dinero, siempre que contacten previamente con su servicio de atención al cliente, para que este último compruebe los hechos.
Las condiciones de reembolso, sólo en lengua inglesa, que el pasajero debe aceptar después de haber facilitado la información requerida (número del billete, apellido, dirección de correo electrónico y número de teléfono), advierten que, en caso de optar por el reembolso en forma de un bono de viaje, se excluye el reembolso del billete en dinero.
Según TAP Air Portugal, el pasajero afectado solicitó, el 4 de junio de 2020, el reembolso mediante un bono de viaje, que recibió por correo electrónico por un importe de 1737,52 euros, correspondiente al precio del billete inicial, más un recargo.
El 30 de julio de 2020, el pasajero cedió sus derechos frente a TAP Air Portugal a Cobult, que ese mismo día solicitó al transportista aéreo que, en el plazo de catorce días, reembolsara en dinero el precio del vuelo cancelado.
Ante la negativa de TAP Air Portugal a dicho reembolso, Cobult presentó una demanda ante el órgano jurisdiccional de primera instancia competente, que fue desestimada por considerar que los derechos del pasajero cedente se habían extinguido con el reembolso en forma de bono de viaje.
Interpuesto recurso de apelación por Cobult contra esa sentencia ante el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno, Alemania), a este órgano jurisdiccional se le suscitan dudas respecto a la interpretación del art. 7, apartado 3, del Reglamento n.º 261/2004, en virtud del cual el billete solo puede reembolsarse en forma de un bono de viaje «previo acuerdo firmado por el pasajero». Particularmente, se pregunta por el alcance del concepto de «previo acuerdo firmado por el pasajero» («mit schriftlichem Einverständnis» en la versión en lengua alemana del Reglamento) para apreciar si las modalidades de reembolso impuestas por TAP Air Portugal en su sitio web se ajustan a dicha norma. Y ello porque, en opinión del órgano jurisdiccional, si se plantea de una determinada manera, podría entenderse que la exigencia de un previo acuerdo firmado por el pasajero constituye un requisito de forma adicional dirigido a proteger al pasajero frente a una elección precipitada e irreflexiva de un bono de viaje; modalidad de reembolso que el legislador de la Unión consideró menos favorable para el pasajero. En estas circunstancias, el art. 7, apartado 3, del citado Reglamento se opone, según el órgano jurisdiccional, a un procedimiento de reembolso del billete en forma de un bono de viaje como el realizado por TAP Air Portugal. En cambio, si se plantea de otra manera, el exigir un previo acuerdo firmado por el pasajero transmitido por correo postal o por vía electrónica puede alargar los plazos de reembolso con la consiguiente carga derivada de la gestión administrativa de los reembolsos para los transportistas aéreos. Así interpretado, según el órgano jurisdiccional remitente, puede considerarse que un procedimiento de reembolso en línea, compuesto de varias etapas, como el controvertido en el litigio principal, cumple los requisitos del art. 7, apartado 3, del referido Reglamento.
Así las cosas, el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno) decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:
«¿Debe interpretarse el artículo 7, apartado 3, del [Reglamento n.º 261/2004], en el sentido de que existe un previo acuerdo firmado por el pasajero para el reembolso del coste del billete con arreglo al artículo 8, apartado 1, letra a), primer guion [de ese Reglamento], en forma de un bono de viaje si el pasajero elige dicho bono, con exclusión del reembolso posterior del coste del billete en dinero, en el sitio web del transportista aéreo encargado de efectuar el vuelo y lo recibe por correo electrónico, mientras que el reembolso del coste del billete en dinero solo es posible previo contacto con el transportista aéreo encargado de efectuar el vuelo?»
León. Semana Santa. By M.A. Díaz
Lo que está preguntando el órgano jurisdiccional, a través de la cuestión prejudicial, es si el art. 7, apartado 3, en relación con el art. 8, apartado 1, letra a) del referido Reglamento, debe interpretarse en el sentido de que, en el supuesto de cancelación de un vuelo por el transportista aéreo, se considera que existió el «previo acuerdo firmado» por el pasajero para el reembolso del billete en forma de un bono de viaje cuando este cumplimentó un formulario en línea en el sitio web del transportista aéreo, a través del cual eligió esta modalidad de reembolso, con exclusión del reembolso en forma de una suma de dinero, mientras que esta última modalidad de reembolso quedaba supeditada a un procedimiento que incluía etapas adicionales cuya tramitación debía realizarse con el servicio de atención al cliente del transportista aéreo.
Como recuerda el Tribunal, conforme al art. 8, apartado 1, letra a), del Reglamento n. 261/2004, en relación con el art. 5, apartado 1, letra a), de ese Reglamento, el pasajero dispone, en caso de cancelación de un vuelo, de un derecho al reembolso del billete en siete días, según las modalidades previstas en el art. 7, apartado 3, de dicho Reglamento, por el precio al que se compró. Refiriéndose a las modalidades de reembolso del billete en caso de cancelación, esta última disposición indica que se abonará en metálico, por transferencia bancaria electrónica, transferencia bancaria, cheque o, previo acuerdo firmado por el pasajero, bonos de viaje u otros servicios. Y ello teniendo presente que el reembolso del billete se efectuará, principalmente, en forma de una suma de dinero, de modo que el reembolso en forma de bonos de viaje constituye una modalidad subsidiaria de reembolso, que está supeditado al requisito de un «previo acuerdo firmado por el pasajero».
El Reglamento n.º 261/2004 no define qué debe entenderse por «previo acuerdo firmado por el pasajero». Aclara el Tribunal, que el concepto de «acuerdo» en el contexto del art. 7, apartado 3, del Reglamento, requiere el consentimiento libre e informado del pasajero dirigido a obtener el reembolso de su billete en forma de un bono de viaje. Indica también, en cuanto a la exigencia del acuerdo «firmado» del pasajero, que si bien existe divergencia entre las versiones lingüísticas de esta disposición, tal divergencia debe interpretarse en función de la estructura general y de la finalidad de la normativa de la que forma parte. Y en esta línea, resulta, de los considerandos 1, 2 y 4 del Reglamento que éste tiene por objeto garantizar un elevado nivel de protección de los pasajeros, protegiendo sus derechos en situaciones varias en que se vean gravemente perturbados. Y precisamente del considerando 20 del citado Reglamento resulta que a los pasajeros cuyo vuelo haya sido cancelado se les debe informar exhaustivamente de sus derechos, en orden a ejercerlos eficazmente.
A este respecto, el Tribunal de Justicia señala que el transportista aéreo debe proporcionar a los pasajeros la información necesaria que les permita elegir debidamente y con conocimiento de causa, “sin que la posibilidad de disfrutar de ese derecho al reembolso exija del pasajero una contribución activa”. Y, declara el Tribunal que, teniendo presente el objetivo de garantizar un elevado nivel de protección de los pasajeros aéreos y del deber de información que compete al transportista aéreo, “procede considerar que el concepto de «previo acuerdo firmado por el pasajero», tal como se establece en el artículo 7, apartado 3, de dicho Reglamento, presupone, en primer lugar, que ese pasajero haya podido elegir debidamente y con conocimiento de causa el reembolso de su billete en forma de un bono de viaje en vez de en forma de una suma de dinero y que, por consiguiente, haya podido dar su consentimiento libre e informado”. En este sentido, indica el Tribunal que “incumbe a dicho transportista aéreo aportar, de manera leal, al pasajero cuyo vuelo ha sido cancelado información clara y completa sobre las distintas modalidades de reembolso de su billete de las que dispone en virtud del artículo 7, apartado 3, del citado Reglamento”. En el supuesto de que no proporcionase esa información “no cabe considerar que el pasajero tenga la posibilidad de elegir debidamente y con conocimiento de causa el reembolso en forma de un bono de viaje y, por consiguiente, de dar su consentimiento libre e informado”.
A juicio del Tribunal “no puede entenderse que existe el «previo acuerdo» de un pasajero, en el sentido del artículo 7, apartado 3, del Reglamento, cuando el transportista aéreo encargado de efectuar el vuelo presenta, en particular, en su sitio web, información sobre las modalidades de reembolso del billete de modo ambiguo o parcial o en una lengua que no puede esperarse razonablemente que el pasajero domine, o incluso de manera desleal, en especial supeditando el reembolso de dicho billete en forma de una suma de dinero a un procedimiento que incluye etapas adicionales al del reembolso en forma de un bono de viaje”. En esta dirección, señala el Tribunal que añadir “etapas adicionales” puede dificultar el reembolso mediante una suma de dinero e invertir así la relación entre las dos modalidades de reembolso fijadas por el legislador de la Unión, lo que iría en contra de la finalidad de garantizar un elevado nivel de protección de los pasajeros aéreos perseguido por el Reglamento.
En lo que concierne a la forma del acuerdo del pasajero, determina el Tribunal de Justicia que “siempre que dicho pasajero haya recibido información clara y completa, su «previo acuerdo firmado», puede cubrir su aceptación expresa, definitiva y unívoca del reembolso del billete en forma de un bono de viaje, mediante el envío de un formulario cumplimentado por el pasajero en el sitio web del transportista aéreo encargado de efectuar el vuelo sin que dicho formulario contenga la firma manuscrita o digitalizada del pasajero”.
En palabras del Tribunal esta interpretación “respeta el equilibrio entre los intereses de los pasajeros aéreos y de los transportistas aéreos encargados de efectuar un vuelo que el legislador de la Unión pretendía alcanzar mediante la adopción del Reglamento”. Y, continuando con esta argumentación manifiesta que “no solo parece excesivo, sino también inapropiado excluir que el «previo acuerdo firmado por el pasajero» para el reembolso del billete en forma de un bono de viaje pueda adoptar la forma de un formulario que el pasajero deba cumplimentar en el sitio web del transportista aéreo encargado de efectuar el vuelo, ya que tal exclusión aumentaría la carga vinculada a la gestión administrativa de los reembolsos para ese transportista aéreo y podría retrasar el proceso de reembolso para el pasajero, lo que, en última instancia, podría resultar contrario a los intereses de éste”.
Semana Santa. By M.A. Díaz
Teniendo en cuenta las consideraciones anteriores, el Tribunal de Justicia declara que el art. 7, apartado 3, del Reglamento (CE) n.º 261/2004, puesto en relación con el art. 8, apartado 1, letra a), de dicho Reglamento y en conexión con el considerando 20 de éste, debe interpretarse en el sentido de que:
«en caso de cancelación de un vuelo por el transportista aéreo encargado de efectuar el vuelo, se considera que existió el «previo acuerdo firmado» por el pasajero para el reembolso del billete en forma de un bono de viaje cuando este cumplimentó un formulario en línea en el sitio de web de dicho transportista aéreo, mediante el cual eligió esta modalidad de reembolso, con exclusión del reembolso en forma de una suma de dinero, siempre que ese pasajero haya podido elegir debidamente y con conocimiento de causa el reembolso en forma de un bono de viaje en lugar del reembolso en dinero, y que, por consiguiente, haya podido dar su consentimiento libre e informado, lo que implica que dicho transportista aéreo haya facilitado, de manera leal, a dicho pasajero, información clara y completa sobre las distintas modalidades de reembolso que están a su disposición”.
La Sentencia completa y, en su caso, el resumen puede verse aquí.
Las cuestiones fundamentales que trata de despejar el Tribunal de Justicia en esta Sentencia son, fundamentalmente, las siguientes:
¿Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante «RGPD») constituye un dato personal una cadena de letras y caracteres que capta, de manera estructurada y legible mecánicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales? y
¿Quién es “responsable” o “corresponsable del tratamiento?
En efecto, a estos extremos se refiere el Tribunal de Justicia en la Sentencia del de 7 de marzo de 2024 en el asunto C-604/22 (IAB Europe), con motivo de una petición de decisión prejudicial planteada conforme al artículo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica).
Jara en el Bierzo (León). By M.A. Díaz
Esta petición de decisión prejudicial tiene por objeto la interpretación de los arts 4, puntos 1 y 7, y 24, apartado 1, del RGPD, y en consonancia con los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.
Esta petición se presentó en el contexto de un litigio entre IAB Europe y la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica; en adelante, «APD») en relación con una resolución de la Sala de Controversias de la APD adoptada contra IAB Europe por la presunta infracción de varias disposiciones del RGPD.
IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. Son miembros de IAB Europe tanto empresas pertenecientes al sector publicitario (así editores, empresas de comercio electrónico y de marketing e intermediarios) como asociaciones nacionales, entre ellas las IAB (Interactive Advertising Bureau) nacionales, entre cuyos miembros figuran empresas de dicho sector. Y precisamente entre los miembros de IAB Europe se incluyen empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.
IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en adelante, «TCF»), que es un marco de normas compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permiten tanto al proveedor de un sitio de Internet o de una aplicación como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicación.
Idhún. ¿Primavera ya? By M.A. Díaz
El TCF pretende fundamentalmente favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo Open RTB, uno de los más utilizados para el Real Time Bidding, que es un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. A la vista de determinadas prácticas realizadas por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe presentó el TCF como una solución para adaptar el sistema de subastas al RGPD. Y ello teniendo en consideración que técnicamente cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas de tecnología publicitaria, y en concreto los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con un objetivo claro: difundir en ese espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.
Eso sí, antes de mostrar esa publicidad dirigida, habrá de obtenerse el consentimiento del usuario, de forma que cuando éste consulta un sitio de Internet o una aplicación por primera vez, una plataforma de gestión del consentimiento llamada «Consent Management Platform» (en adelante, «CMP») aparece en una ventana emergente en la cual el usuario, puede o bien dar su consentimiento al proveedor del sitio de Internet o de la aplicación para la recogida y el tratamiento de sus datos personales (localización del usuario, edad, historial de búsquedas y sus compras recientes) con fines previamente definidos -como la comercialización o publicidad- o para el intercambio de esos datos con determinados proveedores, o bien oponerse a diferentes tipos de tratamiento de datos o al intercambio de dichos datos.
De esta manera, el TCF constituye un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a través de la CMP. Posteriormente, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String(en adelante, «TC String»), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos conozcan en qué ha consentido el usuario o a qué se ha opuesto. La CMP coloca también una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario.
Así las cosas, el TCF tiene protagonismo en el funcionamiento del protocolo OpenRTB, pues permite transcribir las preferencias del usuario para su comunicación a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, particularmente, ofrecer publicidad a medida. El TCF se dirige, principalmente a garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a través de la TC String.
Enumerada las circunstancias que sitúan estos temas, cabe reseñar que las cuestiones prejudiciales a que se debe esta Sentencia del Tribuna de Justicia responden, básicamente, a una serie de hechos que han venido produciéndose desde 2019, en relación con estos temas, que van a describirse a continuación.
La APD ha recibido varias denuncias contra IAB Europe, respecto a la conformidad del TCF con el RGPD, originarias no sólo de Bélgica sino también de terceros países. Examinadas estas denuncias, la APD, como autoridad de control principal, en el sentido del art. 56, apartado 1, del RGPD, activó el mecanismo de cooperación y coherencia, derivado de los arts. 60 a 63 de dicho Reglamento, a fin de llegar a una decisión común aprobada conjuntamente por las veintiuna autoridades de control nacionales que participan en este mecanismo. Pues bien, la Sala de Controversias de la APD, por resolución de 2 de febrero de 2022, declaró que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una TC String, la cual, según la Sala de Controversias de la APD, está asociada a un usuario identificable. Además, en esa resolución, la Sala de Controversias de la APD ordenó a IAB Europe, conforme al art. 100.1, punto 9.º, de la Ley APD, que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa administrativa.
IAB Europe interpuso recurso contra dicha resolución ante el hof van beroep te Brussel(Tribunal de Apelación de Bruselas, Bélgica). IAB Europe solicita a dicho órgano jurisdiccional que anule la resolución de 2 de febrero de 2022, oponiéndose a que se considere que actuó como responsable del tratamiento y, manteniendo además que, al declarar que la TC String es un dato personal, en el sentido del artículo 4.1 del RGPD, dicha resolución no está suficientemente matizada ni motivada y que es errónea. Destaca asimismo IAB Europe que sólo los demás participantes en el TCF podrían combinar la TC String con una dirección IP para transformarla en un dato personal, que la TC String no es específica de un usuario y que ella no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros. En esta línea de razonamiento argumenta la APD lo siguiente: que las TC Strings constituyen datos personales en la medida en que las CMP pueden vincular las TC Strings a las direcciones IP; que, además, los participantes en el TCF también pueden identificar a los usuarios sobre la base de otros datos; que IAB Europe tiene acceso a la información requerida para ello y que esta identificación del usuario es precisamente la finalidad de la TC String, encaminada a facilitar la venta de la publicidad dirigida. Aparte de esto, la APD manifiesta que el hecho de que IAB Europe deba ser considerada responsable del tratamiento en el sentido del RGPD se desprende de su función determinante en el tratamiento de las TC Strings. Y junto a ello la APD aduce que esta organización determina, respectivamente, los fines y los medios del tratamiento, el modo en que se generan, modifican y leen las TC Strings, de qué forma y dónde se almacenan las cookiesnecesarias, quién recibe los datos personales y sobre la base de qué criterios pueden establecerse los plazos de conservación de las TC String.
El órgano jurisdiccional hof van beroep te Brussel (Tribunal de Apelación de Bruselas) alberga dudas sobre si una TC String, combinada o no con una dirección IP, constituye un dato personal y, de ser así, si IAB Europe debe ser calificada de responsable del tratamiento de los datos personales en el marco del TCF, en particular en relación con el tratamiento de la TC String.Y ello porque entiende dicho órgano jurisdiccional que aunque la resolución de 2 de febrero de 2022 refleja la posición común adoptada conjuntamente por las diferentes autoridades de control nacionales implicadas en el caso de autos, el Tribunal de Justicia aún no ha tenido ocasión de pronunciarse sobre esta nueva tecnología intrusiva que constituye la TC String.
En este contexto, el Tribunal de Apelación de Bruselas decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
Primavera ya, Idhún. By M.A. Díaz
«1) a) ¿Debe interpretarse el artículo 4, punto 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una cadena de caracteres que recoge las preferencias de un usuario de Internet en relación con el tratamiento de sus datos personales de forma estructurada y legible mecánicamente constituye un dato personal en el sentido de la citada disposición en relación con (1) una organización sectorial que pone a disposición de sus miembros un estándar por el que les prescribe las modalidades prácticas y técnicas conforme a las que debe generarse, almacenarse o difundirse tal cadena de caracteres, y (2) las partes que han aplicado dicho estándar en sus sitios web o en sus aplicaciones y, de este modo, tienen acceso a dicha cadena de caracteres?
b) ¿Tiene alguna relevancia a este respecto el hecho de que la aplicación del estándar implique que esta cadena de caracteres esté disponible junto a una dirección IP?
c) ¿Sería distinta la respuesta a las [letras a) y b) de la primera cuestión] si esta organización sectorial normativa no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho estándar?
2) a) ¿Deben interpretarse los artículos 4, punto 7, y 24, apartado 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una organización sectorial normativa debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?
b) ¿Sería distinta la respuesta a la [letra a) de la segunda cuestión prejudicial] si esta organización sectorial no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este estándar?
c) Si se califica (o si debe calificarse) a la organización sectorial normativa de responsable o de corresponsable del tratamiento respecto a las preferencias de los usuarios de Internet, ¿se extiende esta responsabilidad o corresponsabilidad de la organización sectorial normativa automáticamente a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en línea dirigida, realizada por editores y vendedores?»
El Tribunal de Justicia en su sentencia responde a estas cuestiones prejudiciales:
confirmando, en primer lugar, que la TC String contiene información relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. Y ello porque, cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo.
En segundo lugar, manifiesta que IAB Europe debe ser considerada «corresponsable del tratamiento», en el sentido del RGPD. En este sentido, indica que, sin perjuicio de las comprobaciones que competen al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que están en el origen de las mismas. Así las cosas, mantiene que, al margen de la eventual responsabilidad civil derivada del Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que acontezcan después de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo que pueda acreditarse que dicha asociación ha influido en la determinación de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio.
En efecto, así se pronuncia el Tribunal de Justicia, cuando declara literalmente:
«1) El artículo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que una cadena compuesta por una combinación de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposición, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la dirección IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribución externa, una organización sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposición.
2) Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que,
por una parte, una organización sectorial, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas técnicas vinculantes, sino también normas que precisan de manera detallada las modalidades de almacenamiento y de difusión de los datos personales referentes a dicho consentimiento, debe calificarse de «corresponsable del tratamiento», en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuestión y determina, así, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organización sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condición de corresponsable del tratamiento en el sentido de dichas disposiciones;
por otra parte, la corresponsabilidad de dicha organización sectorial no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros —como los proveedores de sitios de Internet o de aplicaciones— en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea».
Como puede apreciarse, esta Sentencia posee una relevancia nada desdeñable respecto a la clarificación de los temas planteados, particularmente la interpretación del concepto de datos personales y la responsabilidad que, conforme al RGPD, pueda acarrear el tratamiento de dichos datos, especialmente, a efectos publicitarios.
El texto íntegro de la sentencia puede verse aquí.
Así se pronuncia el Tribunal General en su sentencia de 6 de marzo de 2024 en el asunto T-647/22 (Puma / EUIPO Handelsmaatschappij J. Van Hilst), confirmando la resolución de la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO).
La empresa de los Países Bajos Handelsmaatschappij J. Van Hilst (HJVH) solicitó la declaración de nulidad de un dibujo o modelo comunitario de zapatillas deportivas que había sido registrado a nombre de la empresa alemana Puma en agosto de 2016.
Fuente: Sentencia del Tribunal General.
– Fundamentaba la solicitud en el art. 25.1, b), del Reglamento (CE) núm. 6/2002 del Consejo, de 12 de diciembre de 2001, sobre los dibujos y modelos comunitarios, leído conjuntamente con el art. 4.1, según el cual el dibujo o modelo será protegido como dibujo o modelo comunitario si es nuevo y posee carácter singular. Según la empresa de los Países Bajos Handelsmaatschappij J. Van Hilst el dibujo o modelo estaba desprovisto de carácter singular en el sentido del art. 4.1 del Reglamento, puesto en relación con el art. 6 del Reglamento puesto que había sido divulgado por el solicitante antes del plazo de doce meses a que se refiere el art. 7.2, b) del Reglamento (el denominado “periodo de gracia”).
– Con el fin de argumentar y apoyar su solicitud de declaración de nulidad, HJVH había aportado imágenes extraídas de tres publicaciones en la cuenta de Instagram «badgalriri» subidas a mediados de diciembre de 2014, que contaban con más de 300000 me gusta, en las que publicitaba el nombramiento de Rihanna como nueva directora artística de Puma. En dichas imágenes, publicadas en varios artículos en periódicos en línea, se podía ver a Rihanna con un par de zapatillas de deporte blancas con una suela negra gruesa.
Por decisión de 19 de marzo de 2021 la División de Anulación de la EUIPO admitió la solicitud de declaración de nulidad considerando básicamente que el dibujo o modelo no poseía el carácter singular exigido por el art. 6 del Reglamento núm. 6/2002, teniendo en cuenta la comparación entre la impresión global producida por el dibujo o modelo en cuestión y la impresión global creada por el dibujo o modelo que aparecía en las imágenes a que se hacía referencia más arriba.
Contra la decisión de la Division de anulación Puma formuló recurso ante la Cámara de Recursos de la EUIPO el 21 abril 2021, que fue desestimado íntegramente. La EUIPO, en Resolución de 11 de agosto de 2022, declaró la nulidad de dicho dibujo o modelo comunitario, fundamentando su Resolución en que se había producido una divulgación antes de los doces meses anteriores a la presentación de la solicitud de registro. Y ello porque Robyn Rihanna Fenty (más conocida como Rihanna) se había exhibido llevando unos zapatos representativo de un dibujo o modelo anterior de idénticas características que el dibujo o modelo registrado. Así las cosas, la EUIPO resolvió que dicho dibujo o modelo anterior se había hecho público, razón por la cual procedía anular el dibujo o modelo registrado.
Interpuesto recurso por Puma contra dicha Resolución el Tribunal General lo desestima, considerando, -como lo había hecho la EUIPO- que las imágenes aportadas por HJVH bastan para demostrar que el dibujo o modelo anterior había sido divulgado y que los círculos especializados del sector en cuestión pudieron tener conocimiento de esa divulgación.
Zapatillas Puma. Rihanna. Fuente: sentencia del Tribunal General
El Tribunal General confirma la apreciación de la EUIPO de que las referidas imágenes bastan para constatar que el dibujo o modelo anterior había sido divulgado y que los círculos especializados del sector de que se trata pudieron tener conocimiento de esa divulgación. A juicio del Tribunal las imágenes extraídas de la cuenta de Instagram «badgalriri», difundidas en diciembre de 2014, permiten identificar, a simple vista o realizando una ampliación de las fotos, todas las características esenciales del dibujo o modelo anterior. Y ello en contra de la opinión de Puma, para quien estas imágenes no permiten reconocer todas las carácterísticas del modelo o dibujo en cuestión.
Por todo ello, el Tribunal General desestima las alegaciones de Puma conforme a las cuales nadie se interesó en el calzado de Rihanna en diciembre de 2014 y, consiguientemente, nadie se percató del dibujo o modelo anterior. A este propósito, como declara el Tribunal, en diciembre de 2014 Rihanna era una estrella del pop mundialmente conocida y eso supone que entre sus fans y los círculos especializados en el ámbito de la moda se había despertado ya en esa fecha un interés particular por los zapatos que llevaba el día de la firma del contrato por el que se erigió en la directora artística de Puma.
zapatillas Puma Fuente: Sentencia Tribunal General
Teniendo esto en cuenta es razonable pensar que buena parte de las personas que se interesan por la música o la persona de Rihanna y en su vestimenta, se ha interesado en 2014 también por las fotos en cuestión fijándose en los zapatos que la estrella llevaba, reconociendo así las características del dibujo o modelo
A la vista de todas estas consideraciones, el Tribunal General manifiesta que la EUIPO pudo considerar fundadamente que el dibujo o modelo anterior había sido divulgado en diciembre de 2014, razón por la cual queda justificada la anulación del dibujo o modelo registrado por Puma para zapatillas deportivas.
Contra esta Resolución del Tribunal General cabe interponer recurso de casación ante el Tribunal de Justicia, limitado a las cuestiones de Derecho, en un plazo de dos meses y diez días a partir de la notificación de la resolución.
El resumen de la sentencia puede verse aquí. El texto íntegro de la sentencia puede verse aquí.
Con el desarrollo de la certificación de ciberseguridad a escala de la UE se pretende armonizar el reconocimiento del nivel de ciberseguridad de las soluciones TIC en toda la Unión.
Los sistemas de certificación de la UE son desarrollados por ENISA dentro del marco definido en el Reglamento sobre Ciberseguridad (Reglamento 881 /2019), mediante los procedimientos y sistemas de trabajo de esta Agencia y teniendo en cuenta los sistemas y normas existentes de los que se nutren los esquemas.
Son esquemas europeos de ciberseguridad que se irán aprobando son -en principio- voluntarios. Su seguimiento potencia el Mercado Único Digital de la UE. Sirven para demostrar el cumplimiento de sus requisitos. En algunos casos, a través de normas de derecho positivo escrito, pueden llegar a ser obligatorios. En particular, alguna legislación ya alude a los esquemas europeos de certificación de ENISA:
Definición de Esquema europeo de certificación de la ciberseguridad de la UE: es un conjunto completo de reglas, requisitos técnicos de ciberseguridad, normas y procedimientos de evaluación, definidos a nivel de la UE y aplicables a la certificación de productos, servicios o procesos específicos de TIC.
Cada certificado de ciberseguridad de la UE acredita que un producto, proceso o servicio de TIC ha superado una evaluación de conformidad con dicho régimen y que cumple los requisitos y normas de ciberseguridad especificados.
La certificación la realiza un organismo de evaluación de la conformidad (OEC/CAB), que puede auditar y/o probar y/o certificar. Todos los certificados serán publicados por ENISA en un sitio web específico.
Dependiendo del riesgo de ciberseguridad asociado al uso previsto de la solución TIC que se va a certificar, se puede elegir un nivel de ciberseguridad diferente que el solicitante define. Cada esquema indica si la certificación tiene un nivel de garantía «básico», «sustancial» o «alto»
Los primeros EEC::
Rododendro
EUCC. El Esquema Europeo de Certificación de Ciberseguridad sobre Criterios Comunes, el primer esquema, se dirige a las TIC, tales como productos y componentes de hardware y software. El 31 de enero de 2024, la Comisión Europea aprobó el acto de ejecución por el que se pone en marcha el sistema de certificación. ENISA está publicando los documentos de referencia que respaldan el sistema y que se enumeran en su Anexo 1.
A continuación:
EUCS El Esquema Europeo de Certificación de Servicios en la Nube se encuentra en trámite de análisis por parte del ECCG.
EU5G El Esquema Europeo de Certificación de Ciberseguridad para 5G se desarrolla en dos fases. Durante una primera fase que finalizó en otoño de 2022, ENISA, los expertos reunidos en un grupo de trabajo ad hoc con la Comisión de la UE y los Estados miembros analizaron las evaluaciones industriales existentes y los esquemas de certificación y sus actualizaciones necesarias para cumplir con la Ley de Ciberseguridad. La segunda fase se abre con una consulta pública
¿Inteligencia Artificial? Con vistas a la adopción del proyecto de Reglamento de la UE sobre Inteligencia Artificial, ENISA está evaluando si la IA podría ser objeto de certificación en materia de ciberseguridad y de qué manera, así como el modo en que podrían reutilizarse los esquemas en curso de elaboración. Este trabajo es preparatorio, ya que ENISA no ha recibido una solicitud para desarrollar un esquema de certificación por parte de la Comisión Europea
Arquitectura en la elaboración y utilización de los EEC
Hortensia atlántica
Comisión Europea La iniciativa de elaborar un EECC es de la Comisión Europea que lo plantea a ENISA. ENISA, una vez que tiene una propuesta, la remite a la Comisión quien la adopta a través de legislación administrativa, Reglamentos de Ejecución
ENISA. La elaboración corresponde a ENISA que actúa como coordinadora y anfitriona de grupos de trabajo
Partes interesadas y público general Al desarrollar los esquemas de ciberseguridad de la UE, ENISA trabaja con una amplia variedad de partes interesadas en la ciberseguridad. Por ejemplo, las partes interesadas pueden formar parte del «grupo de trabajo ad hoc» de expertos que apoya a la ENISA en el desarrollo de un determinado esquema. Asimismo, es posible invitar a las partes interesadas a participar en proyectos piloto o «pruebas de concepto» para poner a prueba algunos o más elementos de un régimen de la UE (por ejemplo, viabilidad, posibles procedimientos o procesos o métodos de evaluación) antes de su aplicación. Por otro lado, cuando un esquema se encuentra en una fase avanzada de desarrollo, también puede haber consultas públicas, por ejemplo sobre proyectos de regímenes. Una vez implantado, el sistema debe actualizarse y adaptarse a los cambios que se produzcan en el entorno de la ciberseguridad. Los procesos, procedimientos y métodos de evaluación deben mantenerse, evaluarse y revisarse y en estos procesos también participan las partes interesadas por invitación de ENISA.
Entrada en vigor: Para ser efectivo, un proyecto de esquema elaborado por ENISSA a petición de la Comisión debe ser aprobado por un acto legislativo de la UE , «acto de ejecución» y en él se establece un periodo para que los Estados miembros preparen el funcionamiento del sistema antes de expedir los certificados.
Organismos de Evaluación de la Conformidad (OEC/CAB) .Los OEC/CAB que estarán acreditados para emitir certificados o realizar actividades de evaluación (ensayos, auditorías) para estos esquemas.. Los sistemas de certificación de ciberseguridad crean un mercado europeo para organismos de evaluación de la conformidad (OEC/CAB ) que podrán ofrecer sus servicios de certificación así como herramientas y servicios de evaluación relacionados en toda la UE. Estos OEC/CAB trabajar en los esquemas de certificación de la UE de dos formas distintas: como evaluadores (mediante auditorías/ensayos) y/o como certificadores. Deben cumplir una serie de requisitos antes de poder realizar tales actividades:
– Para poder evaluar y certificar de acuerdo con los regímenes de certificación de la UE, los OEC deberán estar acreditados por su organismo nacional de acreditación.
– Una vez acreditados para un esquema europeo de certificación de la ciberseguridad, la Autoridad Nacional de Certificación de la Ciberseguridad (ANC) deberá notificar su acreditación a la Comisión.
– Si un OEC quiere ser elegible para certificar una solución TIC bajo el nivel de garantía «alto», puede necesitar cumplir requisitos adicionales. El procedimiento para cumplir estos requisitos lo realiza la ANC y se denomina «autorización». Esta «autorización» también debe notificarse a la Comisión.
Usuarios de los certificados Los certificados de ciberseguridad de la UE se conceden a productos y servicios TIC certificados con arreglo a los regímenes de certificación de ciberseguridad de la UE. Demuestran que las soluciones probadas son resistentes a determinados niveles de seguridad y establecen procesos de reparación teniendo en cuenta los últimos avances del estado de la técnica. Como están reconocidos en toda la UE permiten a los proveedores de productos y servicios mostrar la conformidad de su solución con un esquema específico, nivel de garantía, ámbito de aplicación y, potencialmente, extensión o perfiles de seguridad. Los usuarios de soluciones TIC pueden considerar los certificados de ciberseguridad como una demostración de que una solución específica cumple los requisitos de seguridad definidos.
Autoridades Nacionales de Certificación en Ciberseguridad ( ANC). Como exige la Directiva sobre Ciberseguridad, cada Estado miembro ha designado una ACNC que se responsabilizará de supervisar, acreditar y controlar la certificación de ciberseguridad de la UE a nivel nacional y de intercambiarla a nivel de la UE. Cada Estado miembro puede optar por expedir certificaciones de conformidad de ciberseguridad de la UE. Las Autoridades Nacionales de Certificación en Ciberseguridad («ANC») supervisan y controlan el cumplimiento del régimen de los certificados expedidos por las OEC en su Estado miembro.
Sistemas nacionales. Cada sistema de certificación de ciberseguridad de la UE prevé un periodo de transición tras el cual los sistemas nacionales pertinentes dejan de tener efecto.
En otras palabras, los certificados expedidos en virtud de estos regímenes dejan de ser válidos. Para garantizar una aplicación sin problemas, la transición de los regímenes existentes a los regímenes de la UE se lleva a cabo en estrecha colaboración con todas las partes interesadas; por ejemplo, se elaborarán orientaciones para los organismos de certificación de ciberseguridad que operan con regímenes nacionales. Por lo tanto, los OEC no deben interrumpir sus actividades relacionadas con los regímenes existentes.
Duración. Los certificados son válidos durante un tiempo limitado que puede ampliarse mediante una nueva evaluación de la solución.
Certificación la certificación es voluntaria, a menos que la normativa de la UE o de los Estados miembros especifique lo contrario.
Esta entrada se relaciona con la aspiración de la Comisión Europea de facilitar la consolidación de datos en los mercados de capitales de la UE
La acción 14 , relacionada con el objetivo n.º 3 del Plan de Acción de la Unión de los Mercados de Capitales (UMC), tiene por objeto establecer una cinta consolidada CC. Sería un instrumento fundamental en la configuración de la UMC. Proporcionaría datos consolidados sobre los precios y el volumen de los valores negociados en la UE. Mejoraría la trasparencia y la competencia entre los centros de negociación
La CC se concibió junto con el punto europeo de acceso único para la información de las empresas (PEA), para mejorar la información que se da a los inversores a nivel de toda Europa.
Tras abundantes debates, la Comisión se comprometió en 2020 a presentar una propuesta legislativa para apoyar la introducción de una cinta o registro de información consolidada .
Los mercados europeos tienen limitaciones estructurales que la MiFID II pretendía abordar, pero que aún no se han resuelto del todo. MiFID II introdujo la función de una CC para Europa relativa a la información post-negociación de forma consolidada, independientemente de si las operaciones se ejecutan en un centro de negociación o no. Sin embargo, aún no ha surgido ningún proveedor que ofrezca el servicio conforme a la definición de la MiFID II, Esto es debido a muchos factores, como son -entre otros- las dificultades estructurales para obtener datos de alta calidad de los centros de ejecución extrabursátiles (OTC) y de los internalizadores sistemáticos (IS) en toda Europa. Esta problemática pone en entredicho la viabilidad comercial de una CC, frente a las soluciones de datos de mercado ya existentes.
Dado que no ha surgido ningún proveedor de CC, es probable que la Comisión Europea lo imponga, en el marco de MiFIR -y su reforma-. Recientemente se han sometido a debate público e investigación distintas opciones de CC, entre ellas una en tiempo real previa a la negociación, otra en tiempo casi real posterior a la negociación, otra con un retraso de 15 minutos posterior a la negociación y la que consolida al final del día posterior a la negociación. Hoy existen soluciones diversas -privadas y parciales- para obtener datos, pero sigue siendo difícil obtenerlos en mercados menos transparentes y persiste la dificultad para alcanzar la información en tiempo real.
En junio de 2023, el Consejo Europeo, la Comisión y el Parlamento acordaron establecer una cinta consolidada para la renta variable y los fondos cotizados (ETF) con datos pre-negociación en tiempo real, pero sin atribución de centro y con una sola capa de cotizaciones de compra y venta. Pero , lejos de este modelo tan sencillo, existe un debate más amplio. Por ejemplo, los gestores de activos y algunas empresas de intermediación sugieren una cinta consolidada que incluya cinco niveles de cotizaciones, así como la atribución de centros. Esta idea coincide con los iniciales trabajos de la Comisión, que no se refleja en la propuesta de CC. Pero las bolsas se opusieron durante las negociaciones debido a la preocupación por la pérdida de ingresos.
El primer procedimiento de selección para la PIC de bonos está previsto para finales de 2024. Previamente, la ESMA redactará las normas técnicas para la selección
En la primavera de 2021, la Comisión publicó una evaluación de impacto inicial puso en marcha una consulta pública y celebró un taller para recabar las aportaciones de las partes interesadas sobre la creación de una información consolidada. La propuesta legislativa de 25.11.2021 por la que se modifica el MiFIR, que incluye la creación de una información consolidada, se adoptó el 25 de noviembre de 2021.
Ya hace algunos años que la Directiva 2004/39/CE del Parlamento Europeo y del Consejo, de 21 de abril de 2004, relativa a los mercados de instrumentos financieros fue modificada y que pasó a entrar en vigor su sustituta, la Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014 («MiFID 2») con el Reglamento MIFIR, Actualmente se trabaja en Mifid3 y una nueva versión de MIFIR. A caballo entre estas dos Directivas, se aprobó en 2021 una modificación de Mifid 2 adaptada para potenciar la recuperación post COVID-19: El llamado Quick Fix Mifid
Quick Fix Mifid
El 26 de febrero de 2021 se publicó en el Diario Oficial de la Unión Europea el llamado «Quick Fix» de la MiFID 2, mediante la Directiva 2021/3381 . El objetivo de esta Directiva de adaptación «rápida» era simplificar determinados requisitos reglamentarios y promover la inversión, reduciendo al mismo tiempo los costes de cumplimiento y la carga burocrática de las empresas de inversión tras la pandemia de COVID-19, sin por ello cejar en el empeño de tutela de inversores. Modificó la MiFID2 en lo que respecta a los requisitos de información, la gobernanza de los productos y los límites de posición. Esta «solución rápida» se basó en la flexibilidad.
Llegan las camelias
La Directiva Quick fix simplificó, en particular, los requisitos de información y notificación de la MiFID 2.
En cuanto a las notificaciones, el «Quick Fix» pasó del formato papel a un método electrónico de comunicación (cualquier soporte duradero distinto del papel). Los clientes minoristas pueden seguir exigiendo a las empresas de inversión que les faciliten la información en papel. Las empresas de inversión deben notificar a los clientes minoristas este cambio y el derecho a optar por papel al menos ocho semanas antes de transmitir la información por vía electrónica.
Una serie de requisitos MIDIF2 ya no son aplicables a los clientes profesionales (y en el caso de los informes, tampoco es aplicable a ciertas las contrapartes elegibles, conforme a la propia norma), a menos que escojan, por escrito, acogerse a ellos. Estos cambios tenían por objeto simplificar los procesos aunque, en el sistema de «todo o nada» que se ha diseñado para los clientes profesionales, estos pueden optar por no recibir nada o por recibir todos los informes, sin que se contemplen vías intermedias:
i. el requisito de que las empresas de inversión realicen un análisis coste-beneficio (una prueba de idoneidad) e informen al cliente de si las ventajas superan a los inconvenientes cuando presten asesoramiento en materia de inversión o gestión de carteras que implique el cambio de instrumentos financieros, y
ii. la exigencia de informes ex post sobre los servicios de transacción (que incluyen el tipo y la complejidad de los instrumentos financieros utilizados, la naturaleza del servicio prestado y los costes asociados).
Además, el Quick Fix introdujo exenciones a la obligación de divulgar costes y gastos, en algunos casos: las empresas de inversión están exentas de divulgar información sobre costes y gastos a los clientes profesionales y contrapartes elegibles si prestan servicios distintos de la gestión de carteras o el asesoramiento en materia de inversión. Los clientes profesionales podrán seguir optando por la información, solicitándola si la desean. La simplificación -exención- no alcanza a la gestión de carteras o asesoramiento en materia de inversión.
El Quick Fix suspendió hasta el 28 de febrero de 2023 las reglas de ejecución óptima del art. 27 (3) de MiFID2, que estaban desarrolladas en la RTS 27 ( Reglamento Delegado (UE) 2017/575 de la Comisión). Es decir, se suspendió la obligación de presentar informes periódicos sobre datos relativos al nivel de calidad de ejecución de las operaciones, que había sido introducida para que los inversores e intermediarios pudiesen comparar las condiciones de ejecución de órdenes en distintas plataformas.
Por otra parte, permitió -en ciertas condiciones- aplazar la transferencia (información) de los datos sobre costes y gastos tras la conclusión de la operación cuando se utilizaran canales de comunicación a distancia para un acuerdo de compra o de venta de un instrumento financiero. Los requisitos para esta posibilidad son dos: i) que la empresa de servicios de inversión contara con el acuerdo del cliente; y ii) que se prevea aplazar la ejecución del acuerdo hasta la entrega de los datos al cliente.
Esta exención de la obligación de proporcionar información ex ante sobre costes y gastos permite una tramitación más rápida de las órdenes, reduciendo el riesgo de fluctuaciones de precios entre el suministro de la información y la ejecución de las órdenes. Pero, reduce la trasparencia de las operaciones y la comparabilidad entre plataformas y centros de negociación
Los servicios de inversión prestados en relación con bonos corporativos con una cláusula make whole (no se incluyen los bonos no complejos) quedaron exentos de los requisitos de gobernanza de producto (por ejemplo, solicitar una autorización para cualquier tipo de instrumento financiero como parte de su desarrollo y/o distribución). El objetivo de esta reforma en 2021 es que los bonos corporativos resulten fácilmente accesibles para los inversores y más baratos de gestionar para los emisores.
También, ciertas contrapartes elegibles están exentas de los requisitos de gobernanza de producto aplicables a los instrumentos financieros comercializados o distribuidos exclusivamente a ellas.
En el ámbito de los mercados de materias primas, los límites a las posiciones que sólo se aplicaban a los derivados de materias primas significativos o críticos que se negocian en centros de negociación y a los derivados de materias primas agrícolas. (aunque los contratos de derivados OTC no estaban excluidos del régimen) conocieron otra exención pues con el Quick Fix los límites de posición no se aplican a los derivados mantenidos por o en nombre de entidades financieras que ofrecen liquidez a contrapartes no financieras en un grupo predominantemente comercial .
Se ha simplificado la prueba de la actividad auxiliar. Se exime a los participantes en el mercado de la obligación de estar autorizados como empresas de inversión para participar en los mercados de derechos de emisión si se cumplen determinados requisitos (por ejemplo, que desarrollen meramente una actividad auxiliar de la principal a nivel de grupo).
Anteriormente, los participantes en el mercado debían notificar anualmente a las autoridades nacionales competentes si se acogían a la exención, así como facilitar datos específicos para satisfacer determinadas pruebas cuantitativas complejas. El Quick Fix decidió simplificar eliminando el requisito de notificación y volviendo a un nuevo criterio cualitativo de prueba de la actividad auxiliar. Tras esta modificación, la norma RTS 20 de MiFID II será sustituida por un nuevo Reglamento Delegado para la prueba de la actividad auxiliar.
La norma de desagregación sufrió un «reagrupamiento». Ahora, la investigación de terceros puede ser obtenida por determinadas empresas de inversión (pequeñas y medianas empresas cuya capitalización bursátil es inferior a 1.000 millones de euros) que ofrecen a sus clientes servicios de gestión de carteras u otros servicios de inversión. Esta innovación ha mejorado la disponibilidad de estudios sobre emisores, así como su capacidad para obtener financiación.
Para ello, las partes deben firmar un acuerdo determinando la parte de los gastos conjuntos que corresponde a la investigación, y deben informar a sus clientes de que se realizan pagos conjuntos.
Por último, la AEVM recibió instrucciones en virtud de la directiva Quick Fix para crear un nuevo conjunto obligatorio de normas técnicas reglamentarias relativas, por ejemplo, a los controles de gestión de posiciones y la aplicación de límites de posiciones a los derivados sobre materias primas.
En conjunto, estas modificaciones fueron bien acogidas y permitieron vislumbrar los últimos cambios de la MiFID 2
Rosetón Sur. Pulchra Leonina
Más:
El Quick Fix de la MiFID 2 es relevante para todas las empresas de inversión, bancos y GFIA autorizados a prestar servicios de inversión. Los cambios introducidos en el marco jurídico de la MiFID 2 incluyen
(i) una flexibilización de los requisitos de información y comunicación de información de las empresas de inversión en relación con los clientes profesionales y las contrapartes elegibles, incluso con respecto a la transparencia de los costes, la información periódica y la gobernanza de los productos y (ii) una revisión del régimen de límites de posiciones en derivados sobre materias primas. Estos cambios incluyen:
El sistema, por defecto, para que las empresas de inversión se comuniquen con sus clientes será electrónico. No obstante, los clientes minoristas podrán optar por seguir recibiendo información en papel.
Si bien MiFID 2 otorga al cliente el derecho a conocer los costes y gastos relacionados con la prestación de servicios de inversión. El Quick Fix prevé una exención para facilitar a los clientes profesionales y a las contrapartes elegibles información sobre costes y gastos en caso de que se presten servicios de inversión distintos del asesoramiento en materia de inversión o la gestión de carteras. Además, habrá una excepción al requisito de transparencia de costes ex ante para los contratos de compra o venta de un instrumento financiero celebrados mediante una técnica de comunicación a distancia, que impide facilitar por adelantado la información sobre costes y gastos.
Exime a las empresas de inversión de facilitar informes periódicos a los clientes profesionales y a las contrapartes elegibles. No obstante, los clientes profesionales seguirán teniendo la posibilidad de optar por recibir esta información.
Al prestar asesoramiento en materia de inversión o gestión de carteras, las empresas de inversión están obligadas a realizar un análisis coste-beneficio en caso de cambio de instrumentos financieros. Con el Quick Fix clientes profesionales estarán exentos de estos requisitos a menos que soliciten expresamente tales análisis.
El Quick fix introduce dos exenciones a los requisitos de gobernanza de productos de MIFID2 . La primera exención se aplicará a los servicios de inversión prestados en relación con bonos sin derivados incorporados, salvo una cláusula de amortización anticipada. La idea subyacente es que estos bonos pueden considerarse en general productos seguros y sencillos adecuados para clientes no profesionales. La segunda exención implica que los requisitos de gobernanza del producto ya no se aplicarán a los instrumentos financieros que sólo se negocien o distribuyan entre contrapartes elegibles.
– Agrupación de estudios: En el contexto de la MiFID II, la cuestión de si las empresas de inversión podían (seguir) recibiendo servicios de investigación (o research) de los intermediarios como remuneración no monetaria fue objeto de un gran debate. La antigua práctica de agrupar los servicios y honorarios de los intermediarios entraría en conflicto con la obligación de la empresa de inversión de actuar en el mejor interés del cliente. Las modificaciones de los requisitos de análisis derivadas del Quick Fix permitirán a las empresas agrupar los costes de análisis y ejecución con respecto a los emisores de pequeña y mediana capitalización.
En cuanto a los requisitos sobre derivados de materias primas, se aplican los siguientes cambios principales:
El régimen de límite de posiciones, que ha sido desfavorable para el desarrollo de nuevos mercados de materias primas, deja de ser requisito a los mercados de materias primas iniciales. Los límites de posiciones sólo se aplican a los derivados sobre materias primas críticos o significativos (conforme a la delimitación en la MIFID2/Quick Fix) que se negocien en centros de negociación, y a sus contratos OTC económicamente equivalentes. Los derivados de materias primas titulizados quedarán explícitamente excluidos de los límites de posiciones.
Exención de cobertura: La MiFID 2 no permite exenciones de cobertura para ninguna entidad financiera. El Quick Fix introduce una exención de cobertura para las entidades financieras que negocien por cuenta de entidades no financieras en un grupo predominantemente comercial.
La exención para actividades auxiliares prevista en la MiFID II permite a determinados participantes en el mercado operar en los mercados de derechos de emisión sin tener que estar autorizados como empresas de inversión, siempre que se cumplan determinadas condiciones. Tras el Quick Fix, los participantes en el mercado que se acojan a la exención sólo deberán realizar una prueba simplificada de actividad auxiliar.
El Quick Fix fue aprobado para limitar la carga administrativa post crisis. Pero no sustituye la reforma general de MIFID2
No Eume- Ponte do Eume
Reforma general
Prosigue la revisión programada de MiFIR conforme a la Propuesta de Reglamento por el que se modifica el Reglamento (UE) n.º 600/2014 en lo que se refiere a la mejora de la transparencia de los datos de mercado, la eliminación de obstáculos al establecimiento de un sistema de información consolidada, la optimización de las obligaciones de negociación y la prohibición de recibir pagos por la transmisión de órdenes de clientes COM/2021/727 final, También, según la Propuesta de Directiva por la que se modifica la Directiva 2014/65/UE relativa a los mercados de instrumentos financieros COM/2021/726 final. La Comisión Europea (CE) publicó estas propuestas de reforma el 25 de noviembre de 2021, dentro de las medidas de aplicación de la Unión de Mercados de Capitales (UMC)
Las áreas que exigen reformas prioritarias incluyen: la mejora en la transparencia y la disponibilidad de los datos del mercado; en la igualdad de condiciones entre los centros de ejecución, y garantizar que las infraestructuras de mercado de la UE puedan seguir siendo competitivas a escala internacional y reforzar el papel internacional del euro.
La propuestas incluyen medidas para ayudar a la creación y aplicación de una base de datos centralizada o cinta consolidada (pasa de MiFID 2 al Reglamento, MiFIR). Su objetivo principal es contribuir a crear una visión integrada de la negociación en la UE, mejorar la transparencia de los procesos en relación con los centros de negociación potenciar los mercados como instrumentos para financiar las empresas e igualar las condiciones de los centros de ejecución. La Comisión insiste en que «la cinta consolidada será suministrada por el sector privado, bajo la supervisión de la ESMA». Las disposiciones relativas a la cinta se trasladan de la MiFID 2 al MiFIR, con lo que serán directamente aplicables y con un enfoque armonizado en toda la UE.
Calienta motores el VII Congreso Nacional de Sociedades de la Universidad de Málaga, uno de los encuentros más prestigiosos del mercantilismo español, cita anual de especialistas en derecho societario.
Bajo el título «Transmisión de acciones y participaciones sociales” , el VII CNS reúne en la capital malacitana a destacadísimos ponentes y conferenciantes. Aglutina a académicos, notarios, registradores, jueces y otros profesionales. Desde la UMA, los juristas mercantilistas han propuesto este magnífico programa científico, y una serie de actividades , incluyendo el apetecible programa social , que se pueden consultar en su WEB., , así como en la Secretaría técnica del Congreso (info@congresoderechodesociedades.es)
Quedan aún (pocas) plazas, pero es posible inscribirse en este enlace
La transmisión de acciones y de participaciones se sitúa entre los aspectos más cruciales de la organización de la empresa a través de sociedades de capital. Captación de recursos para nuevos proyectos, equilibrios de poder, salida de socios, impacto de los pactos estatutarios y para sociales, son sólo algunos de los aspectos que serán objeto de atención en estas jornadas, y que se poyan en el régimen legal estatutario o pactado fuera de estatutos para la libre (o no tan libre) transmisión de capital mediante las acciones y las participaciones.
La organización de Congresos Nacionales forma parte de las actividades académicas más laboriosas, más apoyadas en equipo, más gratificantes. Y también entre las que más se agradece a sus promotores, que en este caso son tan excelentes científicos como anfitriones. Felicidades especialmente al Profesor Juan Ignacio Peinado Gracia y a la Profesora Belén González Fernández directores de este evento. También a los Profesores Eugenio Olmedo Peralta, Reyes Palá Laguna, José Antonio García Cruces, Antonio Perdices Hueto, Antonio Roncero Sánchez, Nuria Fernández Pérez, al resto de excelentes ponentes y al conjunto del Área de Derecho Mercantil de la UMA. Y, por supuesto al conjunto de organizaciones asociadas y colaboradoras que incluyen a entidades financieras, editorial de primer nivel, organizaciones profesionales y entidades provinciales. Todas ellas contribuyendo a la excelencia de este Congreso de referencia.
En las gradas, buena parte de los mercantilistas coincidiremos una vez más es la cita de Málaga en torno a este evento para aprender, compartir y generar conocimiento.
Gracias, por estas 7 ediciones, y muchísimos ánimos para continuar el buen trabajo
El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 establece un nuevo marco para la certificación de sistemas de ciberseguridad en la UE. Este Reglamento se conoce también como Reglamento de Ciberseguridad
Destacan estas definiciones:
«esquema europeo de certificación de la ciberseguridad»: conjunto completo, de disposiciones, requisitos técnicos, normas y procedimientos establecidos a escala de la Unión y que se aplican a la certificación o evaluación de la conformidad de los productos, servicios y procesos de TIC específicos.
Su objeto es garantizar que los productos, servicios y procesos de TIC certificados con arreglo a un esquema cumplan los requisitos especificados con objeto de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, servicios y procesos a lo largo de su ciclo de vida, o los servicios ofrecidos por ellos o accesibles a través de ellos.
Conforme al artículo 48 del Reglamento de Ciberseguridad, (Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo), podrá solicitarse a ENISA que prepare una propuesta de esquema o que revise un esquema europeo de certificación de la ciberseguridad existente, dentro del programa de trabajo evolutivo de la Unión o excepcionalmente fuera de ese programa con lo que el mismo será actualizado en consecuencia.
«certificado europeo de ciberseguridad»: documento expedido por el organismo pertinente que certifica que determinado, producto, servicio o proceso de TIC ha sido evaluado para verificar que cumple los requisitos específicos de seguridad establecidos en un esquema europeo de certificación de la ciberseguridad
«esquema nacional de certificación de la ciberseguridad»: conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos desarrollados y adoptados por una autoridad pública nacional, y que se aplican a la certificación o a la evaluación de la conformidad de los productos, servicios y procesos de TIC incluidos en el ámbito de aplicación de dicho esquema específico;
Se relacionan con otras disposiciones
«acreditación»:declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad . -ello, conforme al artículo 2, punto 10, del Reglamento (CE) n.o 765/2008:
«organismo nacional de acreditación»: el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones; conforme al artículo 2, punto 11, del Reglamento (CE) n.o 765/2008. Conforme a la STJUE en Garaciolo (C-142/20) este organismo debe estar situado necesariamente en el territorio del Estado en cuestión
«evaluación de la conformidad»: proceso por el que se demuestra si se cumplen los requisitos específicos relativos a un producto, un proceso, un servicio, un sistema, una persona o un organismo, según se define en el artículo 2, punto 12, del Reglamento (CE) n.o765/2008;
«organismo de evaluación de la conformidad»: organismo que desempeña actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección, tal como se señala en el en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008;
«norma»: una norma según se define en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012;
«especificación técnica»: un documento que prescribe los requisitos técnicos que debe cumplir un producto, servicio o proceso de TIC, o procedimientos de evaluación de la conformidad relativos a los mismos. Las especificaciones técnicas que deben utilizarse en un esquema europeo de certificación de la ciberseguridad deben respetar los requisitos establecidos en el anexo II del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo. No obstante, podrían considerarse necesarias algunas variaciones con respecto a estos requisitos en casos debidamente justificados en los que dichas especificaciones técnicas vayan a utilizarse en un esquema europeo de certificación de la ciberseguridad de nivel de garantía «elevado». Los motivos que justifican tales variaciones deben hacerse público
Recuérdese que conforme al Reglamento (UE) no 1025/2012, artículo 10 (6): Cuando una norma armonizada cumpla los requisitos que está previsto que regule, establecidos en la correspondiente legislación de armonización de la Unión, la Comisión publicará sin demora una referencia a dicha norma armonizada en el Diario Oficial de la Unión Europea o por otros medios, con arreglo a las condiciones establecidas en el correspondiente acto de la legislación de armonización de la Unión.
El 5 de octubre celebramos la festividad de San Froilán, especialmente en la ciudad de León donde en el año 904 murió como obispo.
También se celebra en la cercana Lugo, extramuros de cuya villa nació este buen hombre allá por el 832. Santo católico y personaje de talla excepcional en la historiografía hispana en una época no exenta de encanto,s como nos contaba D Cláudio Sánchez Albornóz, en sus Estampas de aquella vida del S. X en León. También Fr Athanasio de Lobera en Grandezas de la muy antigua e insigne ciudad de León se refiere al obispo alabando la proclamación del Santo como Patrón de la Catedral. Y, aunque de modo escueto, San Froilán está mencionado en el Antifonario Mozárabe de la Catedral de León; documento que contiene una forma música litúrgica escrita sin pentagramas (el de León, es único en su clase por conservarse íntegro).
Sirva esta festividad para animar a visitarnos, en cualquier fecha, pero en especial en estos días de gamonita. Y, porque no, para recordar a uno de esos personajes históricos que han calado en los pueblos por la veneración que supieron granjearse ya en vida.
Froilán es representando en la imaginería con un lobo- dañu-, el que según la leyenda habría comido su albarduneiru, (burru), y por ello quedado al servicio del Santo hombre. Es una figura relevante en los primeros años de la Reconquista y repoblación de la península. Y, de ser cierta la improbable leyenda del dañu, habría sido un personaje de buena convivencia con las fieras y la naturaleza. Andariego de montes a campus, con retestero tamien con regañon, entre chicharras, renabueys,abajarrucos y otras bestias cruzando regueros, repousando en morrillos… Sabemos gracias una biografía mozárabe que no estaba mal visto en la corte de la época, y que fue aclamado por sus coetáneos que acudían a él en busca de consejo y protección.
San Froilán fue un ermitaño, repoblador y obispo venerado. Se inició joven su vida eremítica y de evangelizador en las zonas rurales y ciudades de Galicia, Asturias y León, especialmente entre el monte Cucurrino (Curueño) y Viseu y la montaña entre Cebreiro y el Bierzo, fue maestro de San Atilano (quien llegaría a ser obispo de Zamora). Dedicado a la oración y predicación, fundó y repobló monasterios que, además de su función, religiosa constituían un apoyo a los iniciales asentamientos en territorios de avanzadilla en la Reconquista. Así lo entendía el Rey Alfonso III que concedió al Santo potestad de abrir nuevos cenobios al amparo de los cuales irían configurándose poblados. El 19 de mayo del año 900, dicen que por petición del pueblo de León al Rey, fue nombrado Obispo de la Diócesis de León, dignidad que le acompañó hasta el final de sus días.
Al fallecer, sus restos fueron depositados en un sepulcro que Alfonso III había hecho labrar para sí mismo en la catedral de Santa María y San Cipriano de León, de donde fueron trasladados en 916 por orden del monarca Ordoño II a la nueva catedral. Cuando Almanzor saqueó la ciudad (990-992), las reliquias del santo fueron a parar a la iglesia de San Juan de Valdecésar, y de allí al monasterio cisterciense de Moreruela. Los leoneses solicitaron en 1191 la mediación del legado papal para recuperar algunos restos; como haría Lugo algunos siglos después.
El 19 de marzo de 2019, el Parlamento Europeo y el Consejo adoptaron el Reglamento (UE) 2019/517 sobre la aplicación y el funcionamiento del nombre de dominio de primer nivel «.eu» . Este Reglamento «basado en Principios» se concibió para mejorar el potencial del dominio, dotarle de flexibilidad y adaptabilidad al mercado de nombres de dominio y facultó a la Comisión Europea para que durante 5 años adoptase actos delegados y de ejecución para establecer criterios y procedimientos en la selección del Registro de nombres de dominio de primer nivel «.eu» y para su funcionamiento conforme a criterios de apertura, transparencia y no discriminación. (Ver aquí resumen sobre este Reglamento)
La Comisión adoptó así el Reglamento Delegado (UE) 2020/1083 de la Comisión, de 14 de mayo de 2020, por el que se completa el Reglamento (UE) 2019/517 del Parlamento Europeo y del Consejo mediante el establecimiento de los criterios de admisibilidad y de selección, así como del procedimiento de designación del Registro del nombre de dominio de primer nivel «.eu». En este Reglamento Delegado se contemplan los criterios de admisibilidad y selección, así como el procedimiento de designación del Registro para la organización, administración y gestión del dominio de primer nivel «.eu». Para elaborar este acto delegado, la Comisión consultó a expertos de los Estados miembros en el ámbito de la gobernanza de internet en el marco del Grupo de Alto Nivel sobre la Gobernanza de Internet (HLIG) que actúa como plataforma a través de la cual la Comisión y los Estados miembros intercambian información y armonizan sus posiciones. La Comisión también se invitó a representantes del Parlamento Europeo y del Consejo a participar en las reuniones del HLIG en las que se debatió la propuesta de Reglamento Delegado
El Reglamento Delegado (UE) 2020/1083 de la Comisión establece criterios de admisibilidad para que el Registro sea una organización sin ánimo de lucro, constituida de conformidad con la legislación de un Estado miembro, con domicilio social, administración central y centro de actividad principal en la UE; y para que la infraestructura que le permita desempeñar las funciones esenciales del Registro también esté situada en la Unión.
El Reglamento Delegado (UE) 2020/1083 de la Comisión establece los criterios de selección y su peso respectivo en la puntuación total de evaluación de los candidatos.
El criterio de «calidad del servicio» exige que los candidatos persigan la excelencia operativa y garanticen un servicio de alta calidad a precios competitivos.
El criterio «recursos humanos y técnicos» exige que los candidatos garanticen que sus recursos son suficientes para desempeñar las funciones necesarias para organizar, administrar y gestionar del dominio de primer nivel «.eu» y que los servicios prestados garantizan una alta calidad, transparencia, seguridad, estabilidad, previsibilidad, fiabilidad, accesibilidad, eficiencia, no discriminación, condiciones de competencia justas y protección de los consumidores.
El criterio «capacidad financiera y cumplimiento» exige que los solicitantes demuestren la seguridad y estabilidad financieras adecuadas para cumplir las tareas del Registro.
Los criterios establecidos en el Reglamento Delegado (UE) 2020/1083 basan el desarrollo del procedimiento de selección del nuevo Registro. Y así la Comisión adoptó la Decisión de Ejecución (UE) 2021/1878, de 25 de octubre de 2021, sobre la designación del Registro del dominio de primer nivel «.eu», y firmó posteriormente el contrato de concesión de servicios para la administración y la gestión de dicho dominio con el Registro Europeo de Nombres de Dominio de Internet (EURid) por un período de cinco años.
Actividad del Grupo de Innovación Docente DERMERULE para el curso académico 2023-24. Se inicia el miércoles 17 de abril de 2024, en el Salón de Grados de la Facultad de Derecho de la Universidad de León, con este programa:
Para obtener Diploma y optar al PREMIO: debe asistirse al 80% de las actividades y realizar un trabajo en soporte multimedia (1 SESION Y 2 SESIÓN DE PRESENTACIÓN – presencial u online-DE LOS VIDEOS ELABORADOS POR ALUMNOS). 
