Fuera del marco del Pacto Climático de Glasgow, EE.UU., la UE y otros países pusieron en marcha el Compromiso Mundial sobre el Metano, comprometiéndose a reducir en un 30% las emisiones de metano para 2030 (desde los niveles de 2020). Más de 100 países han firmado ya el compromiso, cuyo objetivo es limitar este gas de efecto invernadero especialmente potente. Algunos de los principales emisores de metano del mundo (como China, Rusia y Australia) no se comprometieron con el compromiso, lo que puede limitar su influencia en las emisiones de metano a corto plazo.
190 países se comprometieron a abandonar la generación de electricidad a partir del carbón mediante la firma de la Declaración de Transición Mundial del Carbón a la Energía Limpia el 4 de noviembre de 2021. La declaración exige a los firmantes,
aumentar rápidamente la generación de energía limpia y las medidas de eficiencia energética,
dejar de conceder permisos y proporcionar apoyo a nuevos proyectos de generación de energía con carbón sin purificar
aumentar las tecnologías y las estrategias para lograr una transición que abandone la generación de energía con carbón sin purificar en la década de 2030 (o tan pronto como sea posible después) para las principales economías, y en la década de 2040 (o tan pronto como sea posible después) a nivel mundial.
Contribuciones nacionales (NDCs) de cara a Egipto 2022
Tras la firma del Pacto Climático de Glasgow, se animó a las partes a presentar contribuciones a nivel nacional lo antes posible antes de la COP27 (que tendrá lugar en Egipto en noviembre de 2022). Las NDCs describen los esfuerzos de para reducir las emisiones nacionales y adaptarse a los impactos del cambio climático. El plazo de actualización de las NDC es más corto que el previsto en el Acuerdo de París, que contemplaba una NDC nueva/actualizada cada cinco años.
Consejo de Normas Internacionales de Sostenibilidad IFRS-ISSB y otros marcos de reporting Por su parte, la Fundación de las Normas Internacionales de Información Financiera (NIIF) puso en marcha el Consejo de Normas Internacionales de Sostenibilidad (ISSB). El ISSB tiene la intención de emitir normas de información ambiental, social y de gobierno (ESG) reconocidas a nivel mundial para las sociedades en 2022, lo que ayudará a la fragmentación actual de un mercado que está viendo aumentar rápidamente la demanda. Ver también:
Ramo Leonés de Libros (Biblioteca Facultad CC. Ecónomicas y Empresariales. León. España). By M.A.D.
LA PANDEMIA MUNDIAL DE COVID-19 NO HA FRENADO EN 2020 LAS SOLICITUDES DE REGISTRO DE DERECHOS DE PROPIEDAD INDUSTRIAL
María Angustias Díaz Gómez
Catedrática de Derecho Mercantil
Grupo de Innovación Docente de Derecho Mercantil de la Universidad de León
(GID-DerMerUle)
Como pone de manifiesto la OMPI (aquí), el registro de marcas a nivel mundial se incrementó notablemente en 2020, pese a la recesión económica mundial, dando muestras -en sus propias palabras- de la resiliencia de la clase empresarial que en una grave situación sanitaria mundial ha sido capaz de introducir nuevos productos y servicios para hacer frente a la pandemia.
El Informe de la OMPI de indicadores mundiales de propiedad intelectual revela asimismo que la actividad de presentación de solicitudes de patentes y diseños industriales creció significativamente en 2020, lo que pone de relieve que en tiempos difíciles, en el contexto sanitario en que nos movemos, se incentiva la innovación humana en un intento de solucionar este problema acuciante y sus consecuencias, y se continúa confiando en la aptitud de los derechos de propiedad industrial para seguir creciendo en el desarrollo de la actividad empresarial.
Concretamente, los datos que arroja este Informe, que recopila datos de unas 150 autoridades nacionales y regionales, son los siguientes: la presentación de solicitudes de registro de aumentó un 13,7%, la de patentes un 1,6% y la de diseños un 2%. En palabras del director general de la OMPI, Daren Tang:
“El Informe de la OMPI de indicadores mundiales de propiedad intelectual de la OMPI confirma que, a pesar de la mayor contracción económica de las últimas décadas, las solicitudes de derechos de propiedad intelectual -un sólido indicador de la innovación- mostraron una notable capacidad de resistencia durante la pandemia”.
Estas cifras, añade Daren Tang contrastan con lo que sucedió en la crisis financiera de 2008-2009, a raíz de la cual la presentación de solicitudes de patentes y registro de marcas se redujo drásticamente.
En relación con el crecimiento particularmente fuerte de las solicitudes de registro de marcas en 2020, el Sr. Tang añade: “Eso muestra cómo las empresas de todo el mundo han introducido nuevos productos y servicios en el mercado, lo que se refleja en el crecimiento de dos dígitos de la actividad de presentación de solicitudes de registro de marcas en 2020, a pesar de la enorme crisis económica. Frente a esa difícil situación, las empresas están encontrando oportunidades para llegar a los clientes de nuevas maneras, abrir nuevos mercados y llevar sus ideas al mundo utilizando la propiedad intelectual.”
PATENTES:
Hacia la Navidad. By M.A.D
– La presentación de solicitudes de patente en todo el mundo volvió a aumentar en 2020 tras acusar el descenso en 2019 por primera vez en diez años, debido a la disminución de la actividad de presentación en China. En 2020, en la oficina de PI de China se registró nuevamente un crecimiento, con 1,5 millones de solicitudes de patente es decir, lo que representa 2,5 veces más que la cantidad recibida por la oficina de patentes del segundo país de la lista, los Estados Unidos de América (597.172 solicitudes). A la oficina de los Estados Unidos les siguieron las del Japón (288.472), la República de Corea (226.759) y la Oficina Europea de Patentes (180.346). En conjunto, estas cinco oficinas acumularon el 85,1% del total mundial.
– Según este Informe, entre las 10 principales oficinas, solo tres, las de China (+6,9%), la India (+5,9%) y la República de Corea (+3,6%), registraron un aumento de las solicitudes en 2020, mientras que las de Alemania (-7,9%) y el Japón (-6,3%) experimentaron un fuerte descenso.
– Las oficinas de Alemania (62.105), la India (56.771), la Federación de Rusia (34.984), el Canadá (34.565) y Australia (29.294) también figuran entre las 10 primeras oficinas.
– Las oficinas de Asia recibieron dos tercios (66,6%) de todas las solicitudes presentadas en todo el mundo en 2020, lo que supone un crecimiento considerable desde el 51,5% en 2010, debido seguramente al crecimiento en China, así como por el aumento de la actividad en materia de PI en otras partes de Asia. Las oficinas de América del Norte representan casi una quinta parte (19,3%) del total mundial, mientras que las de Europa representan algo más de una décima parte (10,9%). En conjunto, las oficinas de África, América Latina y el Caribe y Oceanía recibieron el 3,2% del total de solicitudes en 2020. Hace una década, alrededor de cinco de cada 10 solicitudes de derechos de PI procedían de Asia; el año pasado son casi 7 de cada 10 solicitudes de PI.
– Según el citado Informe, tomando como referencia las solicitudes presentadas en el extranjero, los solicitantes con sede en los EE.UU. fueron los que más solicitudes equivalentes presentaron en el extranjero (226.297) en 2020, seguidos por los del Japón (195.906), Alemania (99.791), China (96.268) y la República de Corea (80.133).
– Las patentes en vigor en todo el mundo aumentaron un 5,9% para alcanzar unos 15,9 millones en 2020. El mayor número de patentes en vigor se registró en los EE.UU. (3,3 millones), seguidos de China (3,1 millones), el Japón (2 millones) la República de Corea (1,1 millones) y Alemania (0,8 millones).
– China fue el país que registró el mayor aumento del número de patentes en vigor en 2020 (+14,5%), seguido de Alemania (+8,1%), EE.UU. (+6,9%) y la República de Corea (+4,6%). El Japón registró un pequeño descenso (-0,7%) en 2020.
– En 2019, último año del que se dispone de datos completos, la tecnología informática fue el campo tecnológico que figuró con mayor frecuencia en las solicitudes de patente publicadas en todo el mundo, con 284.146 solicitudes publicadas, seguidos de los campos de maquinaria eléctrica (210.429), medición (182.612), comunicación digital (155.011) y tecnología médica (154.706).
MARCAS
– A tenor del Informe, en 2020 se presentaron en todo el mundo 13,4 millones de solicitudes de registro de marcas relativas a 17,2 millones de clases. El número de clases especificadas en las solicitudes aumentó un 13,7% en 2020, que representa un porcentaje considerable y muestra que por undécimo año consecutivo el crecimiento persiste. Aunque a nivel mundial la pandemia de COVID-19 produjo una disminución importante de la actividad económica, llama la atención que la presentación de solicitudes de registro de marcas creció sustancialmente en 16 de las 20 principales oficinas. Concretamente, 11 oficinas registraron un crecimiento de dos dígitos en 2020, desde Alemania, un 12,2% hasta Indonesia, un 44,3%.
– En la Oficina de PI de China se observó el mayor volumen de actividad de presentación de solicitudes [1] con un cómputo de clases de aproximadamente 9,3 millones; le siguieron los Estados Unidos de América (870.306), la República Islámica del Irán (541.750), la Oficina de Propiedad Intelectual de la Unión Europea (438.511) y la Oficina de la India (424.583), que superó a la de Japón.
– Los datos vertidos en este Informe, respecto al 2020 muestran este panorama; el 71,8% de toda la actividad de presentación de solicitudes de registro de marcas está situado en Asia, frente al 41,3% de 2010. En Europa, sin embargo, el porcentaje se ha reducido de un 34,1% a un 14,7% en 2020. La solicitudes en América del Norte supusieron el 5,9% del total mundial, mientras que el porcentaje combinado de las oficinas situadas en África, América Latina y el Caribe, y Oceanía fue del 7,7% en 2020.
– El fuerte crecimiento de la actividad de presentación de solicitudes de registro de marcas a nivel mundial podría encontrar explicación, según el Informe, en el fuerte crecimiento de las solicitudes con respecto a productos y servicios relacionados con la publicidad y la gestión empresarial; productos farmacéuticos; y productos quirúrgicos, médicos y dentales. Destacable, asimismo, es que la proporción de solicitudes relacionadas con productos farmacéuticos aumentó del 4,1% en 2019 al 4,6% en 2020, mientras que la de productos quirúrgicos, médicos y dentales aumentó del 1,5% al 2,3%.
– Este patrón de crecimiento se advierte también a escala nacional en muchos países, en los que aumenta significativamente la presentación de solicitudes de registro de marcas. Así, el crecimiento del 15,4% en la actividad relativa a las marcas en la India vino impulsado por las solicitudes presentadas por residentes con respecto a productos farmacéuticos. A su vez, en la República Islámica del Irán, los productos farmacéuticos locales fueron el tercer sector que más contribuyó al aumento general del 19,1%, por detrás de la publicidad, la gestión empresarial y el transporte.
– Se estima que en 2020 había 64,4 millones de registros de marcas activos en todo el mundo, un 11,2% más que en 2019, de los cuales 30,2 millones corresponden solo a China, seguidos de 2,6 millones en los Estados Unidos y 2,4 millones en la India.
DISEÑOS INDUSTRIALES
– Siempre según el Informe, se estima que en 2020 se presentaron en todo el mundo 1,1 millones de solicitudes de registro de diseños industriales lo que representa un aumento interanual del 2%. La oficina de PI de China recibió solicitudes que contenían 770.362 diseños en 2020, lo que corresponde al 55,5% del total mundial. Le siguieron la EUIPO (113.196) la la República de Corea (70.821), los Estados Unidos de América (50.743) y Turquía (47.653).
– Entre las 10 principales oficinas, las del Reino Unido (+9,5%) y China (+8,3%) registraron un fuerte crecimiento de la actividad de presentación de solicitudes de registro de diseños en 2020, mientras que en las de Turquía (+3,1%), la República de Corea (+2,1%) y los Estados Unidos (+1,8%) el crecimiento es más modesto.
– Son las oficinas de Asia las que acumulan el 70,9% de las solicitudes de registro de diseños presentadas en todo el mundo en 2020, en comparación con el 60,8% en 2010. Europa ve reducido el porcentaje, pasando del 31,5% en 2010 al 22,1% en 2020. El porcentaje combinado de África, América Latina y el Caribe, América del Norte y Oceanía fue del 7% en 2020.
– El número total de diseños industriales en vigor en todo el mundo aumentó un 11% en 2020 y se situó en unos 4,8 millones. El mayor número de registros en vigor correspondió a China (2,2 millones), seguido de los Estados Unidos (371.870), la República de Corea (369.526), el Japón (263.307) y la EUIPO (251.692).
– Por sectores, son los diseños relacionados con el mobiliario y los artículos domésticos (18,4%) los que suman un mayor porcentaje de solicitudes presentadas en todo el mundo en 2020, seguidos por los textiles y los accesorios (14,1%), las herramientas y las máquinas (11,6%), la electricidad y la iluminación (9,8%) y la construcción (8,5%).
OBTENCIONES VEGETALES
– En 2020 se presentaron alrededor de 22.520 solicitudes de obtenciones vegetales en todo el mundo, aumentando así un 5,1% con respecto a 2019. La Oficina competente de China recibió 8.960 solicitudes de obtenciones vegetales en 2020, representando el 39,8% del total. A China le siguieron la Oficina Comunitaria de Variedades Vegetales de la Unión Europea (3.427) y las Oficinas pertinentes de los Estados Unidos. (1.432), Ucrania (1.260) y los Países Bajos (837).
– Entre las diez oficinas principales, seis oficinas experimentaron un crecimiento de las solicitudes entre 2019 y 2020, con un crecimiento de dos dígitos en Argentina (+18,8%) y China (+14,4%). También registraron un sólido crecimiento los Países Bajos (+9,1%), la República de Corea (+4,9%) y la Federación de Rusia (+4,6%).
INDICACIONES GEOGRÁFICAS
– Conforme a los datos recibidos de 92 administraciones nacionales y regionales en 2020 había unas 65.900 indicaciones geográficas protegidas. En Alemania (14.394) se observó el número más elevado de indicaciones geográficas en vigor; le siguieron China (8.476), Hungría (7,566) y la República Checa (6.180).
– Las indicaciones geográficas en vigor relativas a “vinos y bebidas espirituosas” constituyeron aproximadamente el 56,1% del total mundial en 2020; situándose a continuación los productos agrícolas y alimentarios (38,6%) y los productos de artesanía (3,6%).
A modo de valoración personal:
Sin duda, podemos considerar positivo que los datos que se desprenden de este Informe vengan a corroborar que, efectivamente, en contextos complejos, como los de la pandemia en la que estamos inmersos, el ser humano -sea cual sea el lugar donde le toca vivir- trata de ahondar en la capacidad innovadora que lleva dentro.
Llama la atención, además, que este crecimiento de las solicitudes de Derechos de Propiedad Industrial, en una época de disminución de la actividad económica se produzca, no sólo en el ámbito de las creaciones de fondo, tales como las patentes, resolviendo problemas de fondo, algunas de importancia fundamental, como las relativas al ámbito farmacéutico, sino también en el ámbito de las creaciones de forma, esforzándose en desplegar su aptitud creadora a nivel estético, vía diseño industrial, así como en la modalidad de los signos distintivos, destacadamente en las marcas, que vienen a ampliar el abanico de posibilidades diferenciadoras de sus empresas en el mercado.
Este Informe, finalmente, viene a reafirmar el gran valor que representan los Derechos de Propiedad Industrial en las empresas.
26ª Conferencia anual (COP) de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (CMNUCC)
Entre el 31 de octubre y el 12 de noviembre de 2021, Glasgow acogió la 26ª Conferencia anual de las Partes (COP26) de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (CMNUCC). Además estuvieron presentes variadas ONG y países ajenos al marco formal de la ONU Los debates de esta Conferencia culminaron con la firma del «Pacto Climático de Glasgow», un conjunto de declaraciones, compromisos y decisiones de los países que son parte de la CMNUCC y del Acuerdo de París de 2015 sobre el cambio climático.
Riotinto
En el marco del Pacto Climático de Glasgow, los países acordaron centrarse en el objetivo de limitar el calentamiento global a «muy por debajo de 2°C» (aminoración en relación con el nivel de 2010) reconociendo que para alcanzarlo se requiere una reducción rápida, profunda y sostenida de las emisiones globales, incluida la reducción de las de CO2 en un 45% para 2030 . A pesar de que el Reino Unido declaró antes de la COP26 que quería «mantener vivo el objetivo de 1,5°C», la referencia a » se mantuvo en la versión final del Pacto Climático de Glasgow, en un ejemplo del compromiso necesario para lograr un consenso entre todas las partes.
Eliminación progresiva del carbón En el documento final se pide a los países que «aceleren los esfuerzos para reducir progresivamente la energía de carbón no purificada (refiriéndose a la energía de carbón que funciona sin tecnología de captura y almacenamiento de carbono). El Pacto Climático de Glasgow es la primera decisión de la COP que menciona específicamente un combustible fósil por su nombre.
Daños. Red de Santiago. Un conjunto de países en desarrollo, que ya han empezado a sufrir los impactos negativos del cambio climático, anunciaron que van a iniciar un «diálogo» en relación con la financiación de la Red de Santiago creada bajo los auspicios de NU en la COP 2019 para abordar los daños causados por el cambio climático. La Red de Santiago contribuirá a proporcionar «apoyo técnico» para afrontar las consecuencias del cambio climático pero, por el momento no se acordó un fondo independiente para compensar a los países en desarrollo afectados por los efectos del cambio climático.
Preparando Navidad
Financiación de la transición. En la Conferencia de Glasgow señaló que los países desarrollados habían incumplido su objetivo, fijado para 2020, de aportar 100.000 millones de dólares al año en financiación climática para ayudar a los países en desarrollo. Se volvió a asumir ese compromiso para los próximos cinco años. También se pidió a los países desarrollados que «al menos dupliquen» su apoyo a las acciones de adaptación al cambio climático para 2025 en relación con los niveles de 2019.
Artículo 6 del Acuerdo de Paris. La COP26 permitió llegar a un acuerdo sobre las reglas de los mercados internacionales de carbono en virtud del artículo 6 del Acuerdo de París. Los aspectos clave de este artículo y el acuerdo correspondiente son:
La confirmación de que es necesario realizar los ajustes correspondientes en las contribuciones nacionales determinadas de los países cuando las Reducciones de Emisiones emitidas en virtud del artículo 6.4 del Acuerdo de París (A6.4ER) se venden a otro país. Esta norma evita la doble contabilización de las reducciones de las emisiones de gases de efecto invernadero.
Las Reducciones Certificadas de Emisiones emitidas en 2013-2020 por el Mecanismo de Desarrollo Limpio del Protocolo de Kioto pueden utilizarse para cumplir las primeras Contribuciones Nacionales (NDC) de cada país.
La cuota de ingresos para las transacciones de A6.4ER se ha fijado en un 5%
El 2% de todos los A6.4ER emitidos se retirarán automáticamente para crear reducciones netas de las emisiones de gases de efecto invernadero
El Tribunal General de la Unión Europea, en sentencia de 10 de noviembre de 2021 (asunto T-353/20 AC Milan/EUIPO – InterES (ACM 1899 AC MILAN), confirma que el signo que representa el escudo del club de fútbol AC Milan no puede ser objeto de un registro internacional como marca en el que se designe a la Unión para artículos de papelería y de oficina.
Y ello porque según Tribunal: La elevada similitud fonética y la similitud visual media de este signo con la marca alemana denominativa anterior MILAN provoca en los consumidores un riesgo de confusión que impide que ambos puedan protegerse simultáneamente en la Unión.
– En febrero de 2017, el club de fútbol italiano AC Milan presentó ante la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) una solicitud de registro internacional en el que se designa a la Unión Europea, en virtud del Reglamento sobre la marca de la Unión Europea, para utilizarla en artículos de papelería y de oficina, compuesta por el signo figurativo aquí reproducido:
Como recuerda el Tribunal General, un registro internacional de una marca en el que se designa a la Unión Europea produce los mismos efectos que el registro de una marca de la Unión y queda sujeto al mismo procedimiento de oposición que las solicitudes de marca de la Unión.
– En abril de 2017, la empresa alemana InterES Handels- und Dienstleistungs Gesellschaft mbH & Co. KG formuló oposición contra el registro solicitado invocando la marca alemana denominativa MILAN, solicitada en 1984 y registrada en 1988, que designa productos idénticos o similares a los recogidos en la solicitud efectuada por AC Milan. La sociedad alemana considera que, dada la similitud de la marca solicitada con su marca anterior, el registro de la marca solicitada podría provocar riesgo de confusión en el público alemán.
– Mediante resolución de 14 de febrero de 2020, la EUIPO estimó la oposición en su totalidad. El AC Milan planteó recurso contra la resolución de la EUIPO ante el Tribunal General. Y justamente en la sentencia de la que ahora damos noticia, el Tribunal General desestima el recurso en su totalidad.
A tal fin, la argumentación del Tribunal General discurre de la forma siguiente:
Otoño. By M.A. Díaz
Primero, apoyándose en diversas pruebas como facturas y material publicitario redactados en alemán, manifiesta que la marca anterior ha sido objeto de uso efectivo en Alemania.
Segundo, deja constancia el Tribunal General de que la marca anterior ha sido utilizada en el mercado alemán, tanto en la forma originalmente registrada como en una forma modificada en la que se ha añadido un elemento gráfico que representa la cabeza de un ave, parecida a una rapaz. Matiza el Tribunal General que, aunque el elemento gráfico adicional no es insignificante, no cabe considerarlo como el elemento dominante ni es susceptible de alterar el carácter distintivo del elemento denominativo que constituye la marca anterior tal y como fue registradaab initio.
Tercero, el Tribunal General puntualiza que, aunque el elemento gráfico de la marca solicitada no será ignorado por el público pertinente, particularmente por su tamaño y posición, no recaerá en él la atención de dicho público. Antes bien, será el elemento denominativo integrado por las letras «ac» y por el término «milan» el que captará la atención del público pertinente toda vez que estos últimos aparecen reproducidos en mayúsculas y en caracteres estilizados, y porque el elemento que forman supera considerablemente en longitud al elemento gráfico. Así las cosas para el Tribunal General el elemento dominante en la marca solicitada es el elemento denominativo «ac milan».
Partiendo de esta idea, de la importancia del elemento denominativo, el Tribunal General sostiene que, si bien una parte del público pertinente puede percibir el elemento denominativo «ac milan» de la marca solicitada como una referencia a un club de fútbol de la ciudad de Milán (Italia), ambos signos en conflicto, que presentan una similitud elevada en el plano fonético, remiten particularmente a la ciudad de Milán.
Por lo demás, en cuanto a la alegación de AC Milan basada en el renombre de la marca solicitada en Alemania en relación con ese club de fútbol, el Tribunal General pone de relieve la no pertinencia de la misma. Y ello porque, como hace hincapié el Tribunal, al apreciar si la similitud de los productos designados por dos marcas es suficiente para suscitar riesgo de confusión, solo debe tenerse en cuenta el renombre de la marca anterior, y no el de la marca solicitada por el club de fútbol italiano AC Milan.
Tras esta argumentación, la conclusión a la que llega el Tribunal General es que las similitudes de los dos signos en conflicto son, en su conjunto, de grado suficiente para concluir que hay riesgo de confusión.
El texto íntegro de la sentencia puede verse aquí.
El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD
El Delegado de Protección de Datos es una figura, ya corporativa (aunque cabe su externalización) a la que corresponden funciones fundamentales de información, asesoramiento y supervisión de las políticas, estrategias y actividades relativas a la protección de datos en las organizaciones.
Sus funciones están especificadas en el artículo 39 del Reglamento Europeo de Protección de datos ( RGPD) y en los arts 34 y siguientes de la Ley Orgánica 3/2018 (LOPDGDD). Y, con más detalle en España en el documento de Directrices para los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.
El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo tendrá atribuidas:
Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Cooperar con la autoridad de control.
Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Además debe ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35, RGPD. Y, conforme al apartado 4 del artículo 36 de la LOPDGDD, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento
En concordancia con el RGPD, en España el artículo 36 de la LOPDGDD, especifica que este DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.
Debe subrayarse que el DPD está obligado a mantener el secreto, la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Y, desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, el artículo 37 de la LOPDGDD establece la función del DPD en relación con las reclamaciones presentadas por afectados. En efecto, recuérdese que en el ámbito de la protección de datos, el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación directamente ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.
La amplitud de funciones que abarcan todo lo relativo a la política de datos, su diseño, puesta en práctica y consecuencias se acompaña de la prohibición por parte del RGPD de que se le impongan sanciones derivads del desempeño de tales funciones como DPD. Y, debe tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta , igualmente prohibidas, y que pueden consistir desde en no tenerle en cuenta a efectos de promoción profesional, denegarle prestaciones que otros empleados sí reciben, etc. No sólo están prohibidas las sanciones pues la simple amenaza de penalizar al DPD por motivos relacionados con el desarrollo de sus actividades está prohibida. Únicamente podrá ser sancionado e incluso destituido legítimamente por motivos distintos del desempeño de tales funciones.
El lugar del DPD dentro de la entidad responsable de datos.
Tal y como establece el artículo 38 del RGPD, el desempeño por parte del DPD de las funciones mencionadas en el Art. 39será respaldado por el responsable y el por encargado del tratamiento, quienes deberán de facilitarle los recursos necesarios para el desempeño de dichas funciones, incluyendo el acceso a los datos personales y a las operaciones de tratamiento; y para mantener sus conocimientos especializados. En especial vamos a detenernos en algunas cuestiones que, quizás no han sido objeto de suficiente atención:
Por una parte, que conforme al RGPD, la alta dirección deberá prestar apoyo activo a la labor del DPD; garantizar que el DPD cuenta con tiempo suficiente para cumplir sus funciones, así como con medios para mantenerse formado; y que se debe facilitar la puesta a disposición del DPD de apoyo desde los departamentos corporativos que gestionen recursos financieros, infraestructura, recursos y personal.
Por otra parte, en que desde la entidad debe hacerse saber a la plantilla, por medio de los canales oficiales de comunicación interna, la designación y funciones del DPD.
Además, que el DPD cuenta con un auténtico derecho, o incluso deber de formación continua.
También, que en función del tamaño y de la estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un equipo organizado bajo la responsabilidad de un contacto principal designado para el cliente, el responsable de datos o entidad a la que sirve el DPD.
El DPD en relación con las decisiones corporativas
Es destacable que el Delegado de Protección de Datos, o su equipo, deben ser partícipes, desde el principio y desde el diseño de los mecanismos y sistemas de datos del responsable, de todas las cuestiones relativas a la protección de datos. También en relación con las evaluaciones de impacto de la política de datos de la entidad responsable, el RGPD menciona que éste tendrá que recabar el asesoramiento del Delegado de Protección de Datos al redactar sus memorias de evaluación. Y que, el DPD actuará como interlocutor dentro de la empresa en todo lo relativo a la tutela de datos y que por ello deberá formar parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización. Por ello, tanto el responsable como el encargado del tratamiento, debe garantizar que el DPD participa, de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.
En muchas organizaciones ocurrirá que buena parte de las actividades y decisiones corporativas tendrán impacto directo o indirecto en la política de datos, por ello, tal y como indica el GT29, Grupo de Trabajo compuesto por expertos independientes del Supervisor Europeo de Datos, la organización deberá garantizar que:
Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
Esté presente cuando se adoptan decisiones con implicaciones para la protección de datos, habiendo previamente recibido toda la información pertinente con el fin de que pueda prestar un asesoramiento adecuado.
La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el mencionado Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
Se consulte al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.
En todo caso, el hecho de que el DPD pueda formar parte de la entidad (y no ser externalizado si así se decide en el seno de la entidad responsable de datos) no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97RGPD, los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y, en este sentido, el apartado 3º del artículo 38, ;RGPD deja claro que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. En todo caso, el DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones como tal Delegado. Y, ha de desempeñar sus funciones de manera independiente y con autonomía. No se le puede instruir sobre como abordar un asunto. Tampoco se podrá influir para que mantenga una u otra postura respecto a la normativa de protección de datos y su aplicación. Esta autonomía del DPD afecta exclusivamente al ámbito de sus propias funciones como DPD que son descritas en el artículo 39 del RGPD.
¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?
En principio parece que si, que el DPP puede desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses(GT29) .
En relación con la independencia. El artículo 38.3 RGPD determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones para poderlas desarrollar con independencia. En cuanto al RS, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza del mismo grado de independencia protegida. Esta circunstancia casa bien con sus respectivas funciones:
En relación con las funciones de cooperación y asesoría al responsable. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.
Más en particular, y en el plano de los conflictos de intereses el GT29 o Grupo de Trabajo sobre Protección de Datos del Artículo 29 del RGPD, en sus concluiones adoptadas el 5 de abril de 2017 señala para el DPD: 3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”
En relación con la seguridad de la información y el análisis de riesgos. El RS debe velar por garantizar la seguridad de la información de la organización en su conjunto incluyendo las . El DPD se centra en el análisis de riesgos sobre los derechos y libertades de las personas, el RS realiza análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.
En cuanto a su posición jerárquica en el seno de una misma entidad. El DPD supervisa la labor que realiza el RS en sus tres vertientes: información, servicio y seguridad, funciones que veíamos en relación al ENS
Ponferrada. Castillo de templarios
Conclusión y recomendación:
Únicamente, y seguramente sólo en teoría, cabría la posibilidad de centralizar ambas figuras en una sola persona si se separan claramente las funciones que desempeña y se evitan conflictos de intereses. Precisamente es en el ámbito de los conflictos donde resulta difícil lograr la independencia que se exige al DPD. En términos prácticos la coincidencia de ambas figuras y funciones en una misma persona ni es fácil ni es recomendable.
Cuestión distinta es, en particular para las grandes organizaciones, la propuesta que desarrollamos en otro lugar para la creación de una red corporativa de seguridad que integre y sirva de cauce de comunicación entre ambos, con las debidas cautelas en términos de funciones y conflictos de intereses.
Así se pronuncia el Tribunal General en las sentencias de 29 de septiembre de 2021, de las que dejamos constancia.
Para entender estas Sentencias, hay que remontarse a la Decisión de 21 de marzo de 2018, en la que la Comisión impuso una multa total de aproximadamente 254 millones de euros a nueve empresas o grupos de empresas japoneses por su participación, durante diversos períodos comprendidos entre 1998 y 2012, en una práctica colusoria en el mercado de los condensadores electrolíticos de aluminio y de tantalio. Tales multas recayeron en las empresas o grupos de empresas Elna, Hitachi AIC, Holy Stone, Matsuo, Nichicon, Nippon Chemi-Con, Rubycon, Sanyo, NEC y Tokin.
El mercado de producto en el que se enmarcan estas Sentencias es el de los condensadores
By M.A. Díaz
electrolíticos empleados en casi todos los productos electrónicos, como ordenadores personales, tabletas, teléfonos, climatizadores, refrigeradores, lavadoras, productos de automóviles y aparatos industriales.
Según la Comisión la infracción se había producido en todo el territorio del Espacio Económico Europeo (EEE) y había consistido en acuerdos y/o prácticas concertadas que tenían por objeto la coordinación de las políticas de precios para estos productos. Constata que las empresas participaron en numerosas reuniones multilaterales y establecieron contactos para intercambiarse información comercial sensible, especialmente, sobre sus precios futuros y sobre sus intenciones tarifarias, así como sobre la oferta y la demanda esperada con el afán de coordinar su comportamiento futuro y evitar acometer una competencia basada en precios.
Algunas empresas ―NEC, Nichicon, Tokin, Rubycon y Nippon Chemi-Con ― interpusieron recursos ante el Tribunal General solicitando la anulación de la Decisión de la Comisión o la reducción de sus respectivas multas.
En las sentencias de 29 de septiembre de 2021, el Tribunal desestima todas las alegaciones formuladas por las empresas y mantiene las multas impuestas por la Comisión.
– En el asunto T-341/18, la Comisión consideró responsable a NEC, como sociedad matriz que poseía la totalidad del capital de Tokin, en el período comprendido entre el 1 de agosto de 2009 y el 23 de abril de 2012. Respecto al importe de la multa, la Comisión estimó que el importe de base de la multa debía incrementarse al aplicarse la circunstancia agravante de reincidencia, al haber declarado a NEC responsable de un comportamiento contrario a la competencia en la Decisión «DRAMs» de la Comisión de 19 de mayo 2010, por una infracción cometida entre el 1 de julio de 1998 y el 15 de junio de 2002.
La Comisión declaró que, aunque esa primera infracción fue sancionada cuando la infracción constatada por la Decisión impugnada se estaba llevando a cabo, procedía aplicar el incremento por reincidencia al importe de base de la multa y, por tanto, tener en cuenta la totalidad del período de la responsabilidad de NEC por la infracción, incluido el período de casi nueve meses anterior a la adopción de la Decisión DRAMs.
Para el Tribunal General la Comisión no incurrió en error de Derecho al considerar que el hecho de que NEC ya hubiese sido objeto de una declaración de infracción y de que, a pesar de esta declaración y de la sanción impuesta, hubiese seguido participando durante casi dos años en otra infracción similar constituía una reincidencia.
By M.A. Díaz
– En el asunto T-344/18, el Tribunal General recuerda los requisitos exigidos para que una empresa pueda ser beneficiaria de una reducción de la multa que se le ha impuesto en virtud de una dispensa parcial de la multa, en particular, consistentes en que la empresa aporte pruebas que permitan a la Comisión demostrar hechos adicionales que redunden en un incremento de la gravedad o de la duración de la infracción.
Al respecto, el Tribunal General confirma la conclusión de la Comisión de que las pruebas aportadas por Rubycon, acerca de un grupo de reuniones, no habían tenido incidencia en la gravedad de la infracción. Según el Tribunal General, aunque esas pruebas demuestran que, durante ese grupo de reuniones, las empresas celebraron acuerdos sobre los precios acompañados de un mecanismo de supervisión para garantizar su aplicación, no se trata de componentes autónomos de la infracción susceptibles de tener un impacto en su gravedad. Y ello porque, de un lado, dichos acuerdos formaban parte de una infracción compleja, que abarcaba, sin necesidad de calificación específica, tanto los acuerdos como las prácticas concertadas. Y, de otro, porque el mecanismo de supervisión no era una particularidad de la infracción, al realizarse la supervisión también al margen de ese mecanismo.
En el asunto T-344/18, las partes demandantes aducen también que la Comisión, respecto a algunos participantes en la práctica colusoria, les concedió un trato más favorable, al efectuarles una reducción del importe de la multa del 3 % al no quedar acreditada su participación en determinadas reuniones, privando de dicha reducción a Rubycon, que divulgó la existencia de algunas de esas reuniones.
A juicio del Tribunal General, esa alegación parte de una comparación errónea entre el concepto de «dispensa parcial de la multa», recogido en la Comunicación sobre la cooperación de 2006, y las circunstancias atenuantes que la Comisión debe tener en cuenta, enumeradas en las Directrices de 2006, al no ser las dos situaciones comparables ni fáctica ni jurídicamente.
– En los asuntos T-342/18 y T-363/18, las partes demandantes cuestionaron la competencia territorial de la Comisión toda vez que el comportamiento contrario a la competencia se centraba en Asia, sin que se haya ejecutado en el EEE ni haya tenido en este último un efecto significativo.
A este propósito, el Tribunal General recuerda que los requisitos para la aplicación territorial del artículo 101 TFUE concurren en dos supuestos: 1º) cuando las prácticas referidas en dicho precepto se llevan a cabo en el territorio del mercado interior independientemente del lugar donde se decidan, de modo que para que se cumpla el criterio de ejecución de la práctica colusoria basta con que se produzca la venta en la Unión del producto objeto de cártel, al margen de dónde se encuentren las fuentes de abastecimiento y las instalaciones de producción; 2º) cuando es previsible que las citadas prácticas produzcan un efecto inmediato y sustancial en el mercado interior. En el caso presente, los participantes en la práctica colusoria intercambiaban, en particular, información relativa a clientes que tuvieran su domicilio social en el EEE o a clientes que tuvieran fábricas en el EEE y, al mismo tiempo, coordinaban su política comercial, en función de las fluctuaciones de los tipos de cambio de divisas, incluido el euro. De esta forma, si bien los participantes en el cártel eran empresas con domicilio social en Japón y los contactos contrarios a la competencia se produjeron en Japón, puede afirmarse que estos tenían un alcance mundial, incluyendo el EEE.
En esta dirección, el l Tribunal General concluye que el criterio de la ejecución de la práctica colusoria como punto de conexión de esta con el territorio de la Unión se cumple en el caso de autos y que la Comisión consideró acertadamente que era competente.
– En el asunto T-342/18, la parte demandante argumenta que, dado que ya se habían impuesto a los participantes en la práctica colusoria multas en países terceros, la Comisión infringió el principio ne bis in idem y el principio de proporcionalidad, al imponer multas adicionales.
Para el Tribunal General el principio ne bis in idem no puede aplicarse en un caso como el presente, en el que los procedimientos tramitados y las sanciones impuestas por la Comisión, por un lado, y por las autoridades de Estados terceros, por otro, no pretenden los mismos objetivos. Así, mientras en el primer caso se trata de preservar una competencia no falseada en el EEE, la protección perseguida, en el segundo caso, atañe al mercado de países terceros. Desde esta perspectiva, y partiendo de que no existe identidad de interés jurídico protegido, concluye el Tribunal que no puede aplicarse el principio ne bis in idem.
Por lo demás, en lo concerniente a la supuesta violación del principio de proporcionalidad, que se invoca, el Tribunal General manifiesta que cualquier consideración basada en la existencia de multas impuestas por las autoridades de un tercer Estado únicamente puede ser tenida en cuenta dentro de la facultad de apreciación de que goza la Comisión al fijar las multas por infracciones del Derecho de la competencia de la Unión. Ello significa que, si bien es cierto que no cabe excluir que la Comisión tenga en cuenta multas anteriormente impuestas por las autoridades de Estados terceros, no lo es menos que no está obligada a hacerlo.
Finalmente, respecto a estas sentencias, es menester recordar, como lo hacen las sentencias, que contra las resoluciones del Tribunal General puede interponerse recurso de casación ante el Tribunal de Justicia, limitado a las cuestiones de Derecho, en un plazo de dos meses y diez días a partir de la notificación de la resolución.
Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad
Regulación prevista
Conforme a la Agenda Regulatoria de primavera de 2021 de la SEC, el Supervisor de Valores de EEUU está en vías de formular nuevas reglas que afectarán de lleno a las obligaciones de gobierno corporativo de las empresas y en concreto, a la divulgación de riesgos de seguridad cibernética. Se prevé que las mencionadas propuestas vean formalmente la luz en octubre de 2021. Estos trabajos toman base en las Orientaciones sobre Ciberseguridad de la SEC (febrero 2018) en las que ya se vinculaba el cumplimiento de distintas obligaciones de transparencia sobre riesgos de ciberseguridad con el buen gobierno. Incluso antes, en 2011 la División de Finanzas Corporativas de la SEC había publicado una Guía preliminarsobre estas cuestiones.
La Agenda ReEgFlez mencionada, ya apunta a octubre de 2021 como la fecha límite para la emisión de una propuesta. (Vea esta publicación de PubCo de 14.06.2021). En el actual entorno en el que se conoce la abundancia y dureza de ataques cibernéticos y la posibilidad de infección por ransomware, es más que posible que la SEC pueda proponer enmiendas a sus Rules de transparencia para mejorar las divulgaciones de los emisores con respecto a la gobernanza del riesgo de ciberseguridad.
Sanabria
Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética
Con anterioridad, la Guía de la SEC de 2018 sobre divulgación de seguridad cibernética abordó las obligaciones de divulgación al amparo del ordenamiento vigente, que incluía procedimientos, políticas y estrategias para el control de la seguridad, entendida en un sentido amplio, prohibiciones de aprovechar información privilegiada, o de difundir datos selectivamente, entre otros.
La Guía mencionada señala que los incidentes de ciberseguridad pueden ser el resultado de eventos no intencionales, pero también de ataques deliberados, y que pueden ser realizados por personas con información privilegiada, o por terceros.
Con respecto a las políticas, controles y procedimientos de ciberseguridad, la SEC alentó en 2018 a las empresas a adoptar y evaluar periódicamente el cumplimiento de políticas y procedimientos integrales relacionados con la ciberseguridad, en particular con los controles y procedimientos de divulgación. Además, instaba a las empresas a evaluar si sus controles y procedimientos de divulgación eran suficientemente precisos y adecuados como para localizar información sobre los riesgos e incidentes de ciberseguridad, y también para difundir el conocimiento de esos riesgos entre la alta jerarquía corporativa para permitir que la alta dirección adopte decisiones.
Conforme a la Guía mencionada (de 2018), los controles y procedimientos corporativos deben permitir a las empresas identificar los riesgos e incidentes de ciberseguridad, evaluar y analizar su impacto en el negocio de una empresa, evaluar la importancia asociada con dichos riesgos e incidentes, proporcionar comunicaciones abiertas entre expertos técnicos y asesores de divulgación. Deben ser adecuadas para realizar divulgaciones oportunas sobre dichos riesgos e incidentes.
Los controles también deben permitir que la información se comunique al personal correspondiente, para facilitar el cumplimiento de las políticas de uso de información privilegiada.
Por otro lado, y ya de lleno en consideraciones propias del Gobierno Corporativo clásico (y de las obligaciones de transparencia relacionadas), dado que las notificaciones que los principales ejecutivos, el CEO y el CFO están obligados a emitir en sus informes periódicos al supervisor abordan la efectividad de los controles corporativos, la SEC adelantaba en su Guía de 2018 que estas certificaciones deberían tener en cuenta la idoneidad de los controles y procedimientos para identificar los riesgos e incidentes de ciberseguridad.
Con respecto a la divulgación, la Guía de 2018 ya señalaba que incluso en ausencia de exigencias de divulgación especificadas normativamente en relación con los riesgos e incidentes de ciberseguridad:
La obligación de divulgar tales riesgos se entendería implícita -dependiendo de las circunstancias particulares de cada entidad- en el conjunto de obligaciones de transparencia (declaraciones ante la SEC, informes periódicos, informes anuales, etc.).
Conforme a la Regla 10b-5 (y disposiciones similares) las entidades sometidas a la supervisión de la SEC están obligadas a valorar si sus divulgaciones proporcionan todos los hechos materiales, y en ese sentido, incluir en ellas las cuestiones relativas a ciberseguridad que deban considerarse «materiales» para evitar que el conjunto de la declaración resulte engañosa. En ese sentido, el Supervisor estadounidense alentó a las empresas a utilizar el Formulario 8-K para informar al supervisor y al mercado también sobre los costos y otras consecuencias de los incidentes materiales de ciberseguridad.
En relación con esta Guía y con los futuros desarrollo que se produzcan en torno a la obligación de comunicar riesgos e incidentes cibernéticos, debemos llamar la atención sobre la dificultad de determinar si la divulgación sobre los riesgos e incidentes de ciberseguridad es necesaria. En este sentido, el Supervisor de mercados estadounidense recordaba que las empresas generalmente sopesan, entre otras cosas, la materialidad potencial de cualquier riesgo identificado. Pues bien, en el caso de incidentes cibernético, la valoración de si resultan «materiales» debe realizarse a la luz de la importancia de la información comprometida, propiamente dicha, y también del impacto (actual o probable) del incidente sobre las operaciones de la empresa. Y, este ejercicio, que se realiza ya en otros ámbitos que son susceptibles de generar riesgos y que ya son objeto de comunicación al Supervisor, ha de contemplarse también en el ámbito de los riesgos cibernéticos.
La SEC señaló que el caso Basic v. Levinson, en el que se articuló la teoría jurisprudencial de «fraude al mercado» y que sirve de pauta sobre la probabilidad de que se deriven daños relevantes, sigue siendo una parte relevante del análisis. Debe recordarse que en esta importante sentencia federal se revisaron los estándares de materiality, tomando en cuenta otra decisión previa (especialmente la de TSC Industries, Inc. v. Northway, Inc., que señala que en relación con la transparencia exigida a las empresas supervisadas «un hecho es material si existe una probabilidad sustancial de que un accionista «razonable» lo consideraría importante a la hora de decidir su voto» , pauta que se viene utilizando como referencia para el cumplimiento y la supervisión de las obligaciones de transparencia derivadas del artículo § 10(b) de la Securities Exchange Act y la Rule 10b-5 de la SEC.
La SEC también advirtió que la importancia relativa de los riesgos o incidentes de seguridad cibernética depende de su naturaleza, alcance y magnitud potencial, particularmente en lo que respecta a cualquier información comprometida para la actividad de la entidad o para sus operaciones. En ese sentido, la SEC subrayó que la información comprometida «podría incluir información de identificación personal, secretos comerciales u otra información comercial confidencial, cuya materialidad puede depender de la naturaleza del negocio, así como del alcance de la información comprometida». Y, que la materialidad “también depende del rango de daño o daños que los incidentes sean susceptibles de causar», y que abarcan desde daños reputacionales, daños financieros, hasta otros derivados de las relaciones con los clientes y proveedores y con el incremento en la posibilidad de litigios, investigaciones o de que la empresa vaya a quedar sometida a investigaciones (o sanciones) por parte de las autoridades.
Como ya es conocido en otros ámbitos, la SEC advirtió a las empresas que «eviten la divulgación genérica» (ahora relacionada con la ciberseguridad) y les instó a que proporcionen información específica que sea útil para los inversores.
Aunque se espera que las empresas «revelen los riesgos e incidentes de ciberseguridad que son importantes para los inversores, incluidas las consecuencias financieras, legales o de reputación concomitantes», la SEC dejó en claro que no se espera que proporcionen detalles o información técnica específica sobre posibles vulnerabilidades del sistema que puedan comprometer la seguridad del emisor.
Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos
Ox
A fines de 2018, según lo informado el 13.11.2018 por el WSJ , el entonces Chief accountant de la Securities and Exchange Commission’s Corporation Finance Division, , Kyle Moffatt, en su intervención en la importantísima conferencia sectorial, FEI, «Current Financial Reporting Issues Conference», instó a las empresas a alinear sus prácticas de divulgación con la guía de divulgación de ciberseguridad de la SEC, citando en particular la necesidad de abordar un debate de calado sobre riesgos de supervisión, el papel de la junta, los controles y los procedimientos internos de divulgación de datos e informaciones y las políticas de uso de información privilegiada en el contexto de la ciberseguridad. Además, advirtió que “la clave más importante es asegurarse de que existan procedimientos para asegurarse de que la información se brinde a todos los niveles de la gestión empresarial, para que todos estén al tanto de lo que sucedió y para que los problemas se pueden abordar. ‘”(Consulte esta publicación de PubCo de 14 noviembre 2014).
Estas declaraciones son, no sólo sintomáticas, sino que reflejan en buena medida la posición del sector.
La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.
En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.
A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en First American Financial Corporation, que se salda con una sanción de $487,616:
El 15 de junio de 2021, la SEC anunciaba una sanción de $487,616 contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
Como antecedentes de hecho, el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
En el curso de sus investigaciones, la SEC averiguó que el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
Por otra parte, un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.
La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.
Palencia. San Antonio
Con anterioridad, en el año 2018 Yahoo!., Inc. fue sancionada en otro expediente de la SEC que le obligó a satisfacer $ 35 millones. La SEC resolvió que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.
En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
Fundamentando su resolución sancionadora, la SEC consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia, valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
La Resolución de la SEC en este caso estableció que «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención…
Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada durante dos años) sobre los inversores. Más sobre este asunto aquí
Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.
La Comisión de Protección de Datos de Irlanda (Ireland’s Data Protection Commission) (IDPC) impuso recientemente una sanción de 225 millones de euros a WhatsApp Ireland Ltd (“WhatsApp”) por falta de transparencia en sus prácticas de tratamiento de datos de usuarios, que no cumplirían las exigencias de los artículos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).
Las investigaciones iniciales
Lariño
El IDPC había iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, así cómo una solicitud de asistencia mutua de la Autoridad Federal de Protección de Datos de Alemania (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) a efectos del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abrió «a iniciativa propia» por parte del IDPC. La investigación del supervisor irlandés se centró en averiguar si WhatsApp había cumplido con sus obligaciones de transparencia conforme al RGPD, particularmente en lo que respecta al tratamiento de datos personales de los usuarios de la aplicación de mensajería (e incluso de titulares no usuarios ya que WhatsApp permite cargar números de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recuérdese que Facebook adquirió WhatsApp en 2014). Como consecuencia de esta investigación del IDPC, este organismo hizo público un borrador de decisión sancionadora que notificó a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el artículo del 60RGPD.
En su propuesta de sanción, el IDPC había identificado infracciones de los artículos 12-14 del RGPD por parte WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les había proporcionado información suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consideró que WhatsApp no había identificado con suficiente detalle la base jurídica para cada actividad de tratamiento, como lo requiere el Artículo 13 (1) (c) del RGPD. Y, con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el Artículo 13 (1) (f) del RGPD. En este último aspecto, según la propuesta de resolución sancionadora WhatsApp debería haber identificado con concreción si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos, y determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el artículo 13 (1) (f) del RGPD: WhatsApp debería haber identificado si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos y no limitarse a una afirmación vaga.
Previamente a la notificación a otras CSAs, en diciembre de 2020, el IDPC había propuesto una multa de (30-50 millones €). Pero, fue objetada por ocho de las CSAs que recibieron la notificación, el asunto alcanzó al Supervisor Europeo de Protección de Datos, y la sanción finalmente impuesta por el IDPC es de 225 millones €.
La intervención del Supervisor Europeo de Protección de Datos (SEPD)
Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisión de la IDPC fue revisado por otras autoridades de supervisión relevantes, conforme al mecanismo de cooperación y coherencia del Capítulo VII del RGPD. Y , las objeciones formuladas se remitieron al Supervisor Europeo de Protección de Datos («SEPD»), de acuerdo con el procedimiento de resolución de disputas establecido en el artículo 65 (1) (a) del RGPD. Este último organismo ha adoptado una posición más estricta que el IDPC
El SEPD se opuso a la propuesta del IDPC. Frente a la opinión inicial de éste, que consideraba que WhatsApp había cumplido el ordenamiento sobre tratamiento de datos ( Artículo 13 (1) (d) del RGPD), el SEPD recordó, por el contrario, que el operador de mensajería instantánea debería haber identificado el interés específico para cada actividad de tratamiento relevante, para así garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD también señaló que el efecto acumulativo de los incumplimientos por parte de WhatsApp tenía como consecuencia la violación del principio de transparencia contemplado en el Artículo 5 (1) (a) del RGPD, debido «a la “gravedad , la reiteración y el impacto de las infracciones». Y, en virtud de ello consideró que se había producido un incumplimiento adicional a lo establecido por la IDPC.
Por otra parte y con respecto a la cuantía de la multa inicialmente propuesta por la IDPC, la SEPD determinó que debería haberse tenido en cuenta la facturación consolidada de Facebook Inc., matriz de WhatsApp. Además, si bien el IDPC había propuesto un compromiso único y conjunto a Facebook y WhatsApp en su proyecto de decisión, el SEPD recordó que según la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracción (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es éste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD también consideró que el volumen de negocios consolidado era relevante para el cálculo de la multa en sí, no solo para garantizar que la multa no excediera los límites establecidos en el artículo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean efectivas, proporcionadas y tengan efecto disuasorio.
Además, el SEPD aclaró que cuando se hayan cometido múltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el cálculo de la multa correspondiente a los efectos del artículo 83, apartado 3, del RGPD. Con el límite de que la sanción total no debe exceder la cantidad especificada para la infracción más grave.
Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del período de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el RGPD. WhatsApp también debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la información requerida en virtud de los artículos 13 y 14 del RGPD, incluso para aclarar cómo estos pueden presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.
La Decisión vinculante del SEPD y la Resolución sancionadora del IDPC
El 28 de julio de 2021, el SEPD adoptó una Decisión vinculante que fue notificada al IDPC. La Decisión del SEPD contenía instrucciones exigiendo al IDPC que procediese a una nueva valoración y que incrementase la sanción. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones € .
Junto con la sanción, el supervisor irlandés ha advertido a WhattsApp sobre la importancia de reformar sus mecanismos de tratamiento de texto.
Aunque en su resolución, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD, WhatsApp ha manifestado su intención de recurrir judicialmente
Una reciente decisión judicial en materia concursal en EEUU aborda la problemática del acceso de los administradores sociales a la indemnización del seguro D&O para hacer frente a su defensa en un litigio de responsabilidad civil interpuesto contra ellos por un administrador concursal.
En el asunto re National Fish & Seafood, Inc., No. 19-11824, 2021 (Bankr. D. Mass. 26 de febrero de 2021), el Tribunal Concursal Federal de los Estados Unidos para el Distrito de Massachusetts (Massachusetts Bankruptcy Court) ) abordó la impugnación por parte del administrador concursal a los intentos de los directores y altos ejecutivos de acceder a la indemnización de la póliza D&O. En esta decisión se autorizó que los asegurados percibiesen la indemnización del seguro para su defensa en el litigio de responsabilidad interpuesto por el administrador concursal. La lectura conjunta de esta resolución, junto con otros comentarios sobre estas pólizas que se referencian en este post, permite identificar la complejidad añadida que supone el aseguramiento conjunto de los administradores y de la sociedad administrada y tomadora en una misma póliza D&O.
By M.A. Díaz
Planteamiento
En mayo de 2019, National Fish and Seafood, Inc. («Deudor») solicitó concurso (procedimiento del llamado «Capítulo 7») dando lugar al nombramiento de una administrador concursal «el administrador». En abril de 2020, éste presentó una demanda de Responsabilidad Civil (RC) contra tres de los antiguos consejeros y ejecutivos del Deudor, alegando que incumplieron sus deberes fiduciarios al autorizar una serie de transacciones en virtud de las cuales se pagaron 31 millones de dólares en activos del Deudor. A principios de 2021, los consejeros solicitaron una exención de la prohibición de la Sección 362 del Título 11 del Código Concursal de los Estados Unidos, para permitirles recibir la indemnización de seguro D&O para hacer frente por adelantado a los costes de defensa de la Póliza D&O que el Deudor había contratado y en los que tales consejeros y ejecutivos eran asegurados. El administrador concursal se opuso a esa petición.
Los consejeros y ejecutivos solicitaban a la aseguradora el adelanto de sus gastos de defensa en el Litigio RC, al amparo de la cobertura A, cuyo contenido se explica más abajo en esta entradilla. La aseguradora aceptó en principio cubrir los gastos de defensa, pero exigía para ello que se dictase una orden en el proceso concursal que autorizara dicho abono, con determinación expresa de que no constituía una violación de la suspensión automática de la Sección 362 del Título 11 del Código Concursal.
Cuestiones preliminares sobre las modernas pólizas D&O (recogiendo la estructura de la propia decisión judicial comentada, apartado 3)
Si bien las pólizas D&O se redactan de modo , hoy en día, bastante estandarizado, no cabe obviar que también han conocido una evolución considerable. Por ello, corresponde especificar aquí los datos de este contrato en particular, extraídos del asunto concreto
Todas las pólizas de D&O proporcionan una «cobertura A » frente a las pérdidas sufridas directamente por los directores y funcionarios por sus presuntos actos ilícitos en la medida en que no sean reembolsadas por la empresa. Esta cobertura se conoce como cobertura «Side A», y en las modernas redacciones de esos condicionados incluyen cobertura de defensa. En cuanto al tratamiento de los gastos de defensa incurridos por los administradores, consejeros y ejecutivos para defenderse de demandas interpuestas por un administrador concursal por incumplimiento de las obligaciones fiduciarias de tales administradores, consejeros y altos ejecutivos (asegurados), la jurisprudencia estadounidense no es unánime. No está cerrado el debate sobre si la indemnización derivada de este Side A debe considerarse integrante de la masa activa de la entidad tomadora o, si puede abonarse a los asegurados incluso en caso de concurso. Para decidir sobre tal cuestión, los tribunales efectúan análisis concretos del clausulado específico de las pólizas, así como de otras circunstancias concurrentes, como precisamente sucede en el asunto que nos ocupa.
También, la práctica totalidad de los seguros D&O al menos en Estados Unidos, incluyen una cobertura Side B o de reembolso. Se refiere a las pérdidas en las que incurre la empresa, la sociedad tomadora, al indemnizar a sus consejeros y directivos por las pérdidas en las que éstos incurren por actos de los que sean declarados responsables, pero que realizasen de acuerdo con las disposiciones de gobierno corporativo de la tomadora. En el supuesto de que se haya declarado un concurso, la tomadora (y en su nombre el administrador concursal) puede beneficiarse de la indemnización aseguradora de esta cobertura para reembolsarse de sus obligaciones de indemnización, por ejemplo si al declararse el concurso ya se hubiesen reembolsado gastos indemnizables a los consejeros, o si incluso en el proceso concursal se derivasen obligaciones de indemnización de la tomadora a sus administradores, consejeros y altos ejecutivos.
Algunas pólizas modernas contienen además la llamada cobertura Side C «cobertura de entidad» . El objeto de esta cobertura ha conocido evoluciones en el diseño de las pólizas desde los años 80 del siglo pasado, advertencia necesaria aquí, pero en la que ya profundizamos en otros textos y en la que no nos detendremos. En el asunto concreto que se analiza, la Side C estaba prevista, como ocurre en muchas pólizas americanas en la actualidad, para situaciones en las que una empresa es demandada junto con sus administradores y ejecutivos.
Recuérdese que ésta es una cobertura actual, pero que no se ofrecía en las pólizas clásicas que han sido objeto de comentario en varias ocasiones en este mismo blog y otros , además de en abundantes publicaciones. Ciertas decisiones de los tribunales estadounidenses más antiguas como In Louisiana World Exposition v. Federal Ins. Co. (In re Louisiana World Exposition), 832 F.2d 1391 (5th Cir. 1987), del Quinto Circuito Federal dictaminaron que la indemnización del seguro D&O no se puede considerar como activo en la masa activa del concurso de la tomadora, pero debe subrayarse que en re Louisiana World Exposition la póliza no contenía la «entity coverage» que si se localiza en el asunto aquí comentado. En cambio, otras decisiones como In re Adelphia Communications Corp., 298 B.R. at 57; In re Pasquinelli Homebuilding, LLC, 463 B.R. 468 (Bankr. N.D. Ill. 2012); In re Cybermedica, Inc., 280 B.R. 12 (Bankr. D. Mass. 2002) , citados en la decisión aquí comentada, bloquearon el acceso, en presencia de «entity coverage» y atendiendo a que el valor de la cobertura incrementaba en términos globales el valor de los activos del concurso
La cobertura C, en muchos casos, como en el aquí comentado, se formula con carácter residual en relación con la suma asegurada, para evitar que una póliza ideada para cubrir responsabilidades de directivos acabe siendo «vaciada» para hacer frente a responsabilidades de la propia empresa. Nótese, que en la cobertura C, la indemnización beneficiaría tanto a la empresa tomadora como a sus administradores, consejeros y ejecutivos, por lo que en una situación concursal será casi imposible que se permita a los administradores beneficiarse, al menos ilimitadamente de esta cobertura
Sobre la póliza en este asunto concreto
La póliza de D&O enre National Fish & Seafood, Inc., No. 19-11824, 2021 preveía una cobertura con suma total asegurada de 3 millones de dólares, junto con coberturas parciales incluyendo 500.000 dólares que permitía el adelanto de los gastos de defensa incurridos en relación con una reclamación cubierta. Incluía los tipos de coberturas al uso en este tipo de seguro. Además, ésta póliza D&O establecía que, en caso de concurrencia de reclamaciones, la indemnización derivada de la cobertura A se abonaría en primer lugar, la cobertura B en segundo lugar y la cobertura C en último lugar. En el marco del procedimiento concursal, los asegurados y el administrador concursal acordaron que las reclamaciones presentadas en el litigio de RC constituían reclamaciones cubiertas la cobertura A, que no se habían presentado, ni se esperaban reclamaciones por la B (reembolso) o la C (cobertura de «entidad)
Lincoln, Ox
En este asunto se autorizó que los consejeros y ejecutivos recibiesen la indemnización de la cobertura A para sus gastos de defensa
El administrador concursal había alegado que esa indemnización formaba parte de la masa activa del Deudor y por lo tanto su pago o adelanto a los asegurados violaría la Sección 362(a)(3) del Código Concursal.
Sin embargo, en este asunto el Tribunal admitió la exención sobre la base del artículo 362(d)(1) del Código Concursal, aceptando ciertos razonamientos de los consejeros que incluyen el que la póliza de D&O prevé el pago de los gastos de defensa; que en sus actuaciones como consejeros y dentro de su propio proceso de adopción de decisiones la existencia de la póliza formaba parte del cúmulo de cuestiones que se tuvieron en consideración; que no se preveían reclamaciones en las coberturas B y C; que la intención real del administrador concursal era preservar la cobertura A para financiar la reclamación concursal contra los consejeros en el litigio de RC, pero que en ésta los asegurados eran únicamente los consejeros y ejecutivos
«El seguro de responsabilidad de consejeros y altos ejecutivos (D&O) suscrito por la sociedad a propósito de su consideración como sistema de retribución de administradores», Retribución de consejeros/ Santiago Hierro Anibarro (dir.), 2020, págs. 595-636
Se comenta en esta entrada un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos
El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo
En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA debe tener como referente los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente, recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas, recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.
En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una obligación de notificación directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea. Las consideraciones del fallo impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con Estados Unidos de América resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos, un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
Concretamente, el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el Safe Harbor.
El TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades responsables de la trasferencia internacional de dato a EEUU a establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo
Primavera, by M.A. Díaz
Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.
El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.
Dirigido por los Magistrados especialistas en lo Mercantil por el CGPJ, la Profesora Asociada de Derecho Mercantil de la Universidad de Alcalá Amanda Cohen Benchetrit y D Alfonso Muñoz Paredes.
La edición 2021 de éste Congreso Nacional cuenta en su Comité Científico con juristas de primerísimo nivel, tanto en la academia como en la judicatura y notariado, entre los que se que incluyen los catedráticos de Derecho Mercantil, Carmen Alonso, Cándido Paz-Ares, Ángel Rojo, José Massaguer, José Miguel Embid, Andrés Recalde, Juan Sánchez-Calero, Javier García De Enterría, Antonio Roncero, Reyes Palá, Javier Juste, Fernando Cerdá o Santiago Hierro. La relevancia de la temática escogida en las ponencias ya anunciadas en el programa, la participación de los principales Despachos Jurídicos especializados en Derecho Societario y el apoyo editorial de Revista de Derecho de Sociedades,Revista de Derecho Mercantil y Revista de Derecho Bancario y Bursátil son algunos rasgos destacables que incitan, cuando menos a consultar el sitio Web (aquí) , para esta edición
Sin ánimo de exhaustividad, corresponde poner el valor que la temática objeto de análisis en este Congreso Nacional incide en el núcleo deNYC
problemas de Gobierno Corporativo y administración societaria: Deber de lealtad, interés social y retribución de administradores; Interés social y de la Empresa; Tutela de acreedores; responsabilidad de administradores en sus distintas perspectivas (sin olvidar la procesal) son sólo algunas de las cuestiones que serán objeto de debate.
Destacamos también, que con la inscripción se facilitará el acceso electrónico a dos obras fundamentales de nuestra doctrina en materia de Derecho Societario y de Grupos; y Retribución de Consejeros; y también el acceso con precio reducido a todo el catálogo de e-learning de la casa editorial Aranzadi.
La actual edición del Congreso Nacional de Derecho De Sociedades y Gobierno Corporativo está abierto ya abierta a inscripciones (con cuota especial para Profesores universitarios).
En breve se dará la información relativa a la presentación de Comunicaciones y su edición.
Felicitamos a los organizadores por esta iniciativa que promete ser un hito en las actividades del mercantilismo y derecho societario patrio.
