Archivo de la etiqueta: Unión Europea

Aprobada una nueva IA Factory en Galicia

Posted on por

La Comisión Europea ha seleccionado a España para albergar una segunda AI Factory en España. Esta vez, en el Centro de Supercomputación de Galicia (CESGA). La nueva instalación, denominada 1HealthAI, estará especializada en el desarrollo de inteligencia artificial aplicada a las ciencias de la vida. Contará con un superordenador específico y una plataforma avanzada de supercomputación, concebida para proyectos experimentales y colaborativos en biotecnología, investigación sanitaria y otras áreas vinculadas a la salud. Se ubicará en las inmediaciones del aeropuerto internacional de Rosalía de Castro.

Expo na Cidade da Cultura (Santiago, 2021)

Esta AI Factory supone una inversión total de 82 millones de euros, de los cuales 24 millones procederán del Ministerio de Ciencia, Innovación y Universidades.

  • Su diseño responde a un doble objetivo: ofrecer servicios gratuitos de apoyo a empresas, startups y centros de investigación,
  • Facilitar el acceso equitativo a herramientas de IA de última generación, reduciendo así la brecha tecnológica entre los distintos agentes del ecosistema innovador.

 

Seguridad, transparencia y responsabilidad de la IA en el marco europeo

La inversión se enmarca en el nuevo ecosistema normativo de la Unión Europea, que exige que los desarrollos de inteligencia artificial se ajusten a criterios de seguridad, transparencia y fiabilidad. Así se busca reforzar la confianza en el desarrollo y uso de la inteligencia artificial en Europa, integrando la innovación tecnológica con la exigencia de cumplimiento y responsabilidad.

  • Antes de comercializar un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deberán someterlo a una evaluación de conformidad o, en su caso, a una autoevaluación que permita demostrar que el sistema cumple los requisitos de una inteligencia artificial de confianza.
    • Entre las obligaciones impuestas figuran la implantación de un sistema de gestión de calidad, el mantenimiento de la documentación técnica y de los registros de actividad, así como la colaboración activa con las autoridades competentes, notificando incumplimientos o riesgos detectados.
    • Los usuarios —o responsables del despliegue, según la terminología del Reglamento— deberán garantizar la supervisión humana, monitorizar los sistemas y conservar los registros de uso, mientras que los importadores y distribuidores deberán asegurar que los productos hayan superado la evaluación de conformidad, mantener la documentación técnica y colaborar igualmente con las autoridades.

En este contexto, las PYMEs adquieren un papel clave tanto como desarrolladoras como usuarias de sistemas de IA. Deberán evaluar si los sistemas que crean o utilizan pueden considerarse de alto riesgo según el Reglamento, ya que esta clasificación conlleva mayores obligaciones en materia de supervisión y control. Asimismo, deberán implantar mecanismos para garantizar un uso seguro y responsable de la tecnología, capacitar a su personal en el uso adecuado de la IA y sensibilizarlo sobre los riesgos y obligaciones legales. Resulta especialmente recomendable que las pequeñas y medianas empresas establezcan un Sistema de Gestión de Cumplimiento Legal en materia de IA, que permita identificar, evaluar y mitigar riesgos regulatorios en todas las áreas relevantes.

  • Para facilitar esta adaptación, el Reglamento incluye medidas específicas de apoyo a las PYMEs, como formación adaptada, canales de comunicación directa y difusión de buenas prácticas. Además, las microempresas quedan exentas de mantener un sistema de gestión de calidad formal, aunque sí deberán gestionar los riesgos asociados a los sistemas que empleen o desarrollen.
  • Ante las dificultades que enfrentan las pequeñas y medianas empresas para cumplir con los requisitos técnicos y regulatorios derivados del nuevo marco de inteligencia artificial,  el Reglamento de IA se acompaña de una estrategia de apoyo específica para las PYMEs, que combina financiación europea con asistencia práctica.
    • Programas como Digital Europe y Horizonte Europa, junto con los Fondos de Cohesión, facilitan recursos económicos y técnicos para la adopción de soluciones de IA. A nivel operativo, los Digital Innovation Hubs (EDIHs) y las AI Factories europeas ofrecen a las PYMEs espacios para experimentar y probar sistemas de IA en entornos controlados, con asesoramiento especializado en cumplimiento normativo, seguridad y buenas prácticas.
    • Además, las Testing and Experimentation Facilities (TEFs) permiten a las empresas evaluar sus prototipos de manera segura antes de su despliegue comercial. Este ecosistema de apoyo integral pretende que las PYMEs puedan desarrollar e integrar soluciones de IA de manera segura y conforme a la ley, sin perder competitividad frente a grandes plataformas tecnológicas, y que accedan a oportunidades de innovación que antes solo estaban al alcance de grandes corporaciones

La creación de la nueva AI Factory 1HealthAI en Galicia debe interpretarse en este marco más amplio en el que  la UE avanza hacia un modelo que combina la inversión en capacidades críticas —como la supercomputación, los centros de datos o la IA aplicada a la salud y la sostenibilidad— con una regulación exigente que garantice el respeto a los derechos fundamentales y la seguridad de los sistemas.

No se trata de oponer innovación y regulación, sino de hacerlas converger: la competitividad digital europea dependerá, precisamente, de la capacidad para integrar la confianza como activo estratégico. En este sentido, las AI Factories no son solo infraestructuras científicas, sino instrumentos de soberanía tecnológica y de cohesión territorial, llamados a reforzar la posición de Europa —y de España— en la nueva economía de la inteligencia artificial.

 

Antecedentes

Actualmente existen 13 AI Factories con sede en 12 países europeos —Alemania, Austria, Bulgaria, Eslovenia, España (en Barcelona), Finlandia, Francia, Grecia, Italia, Luxemburgo, Polonia y Suecia—, a las que se suman ahora seis nuevas fábricas concedidas en toda Europa, entre ellas la de Galicia. La factoría gallega, liderada por el CESGA y coliderada por el CSIC, cuenta con la participación y firme compromiso de socios clave, incluyendo las tres universidades públicas gallegas, varios de sus centros de investigación integrados en la Red CIGUS, el Hub Europeo de Innovación Dixital DATAlife y el centro tecnológico Gradiant, entre otros agentes del sistema gallego de I+D+i. Cabe recordar que el CESGA es una fundación participada al 70% por la Xunta de Galicia y al 30% por el CSIC, con carácter mixto y papel estratégico en la política científica y tecnológica autonómica.

Implantación de IA en las PYME

Posted on por

La inteligencia artificial (IA) ya forma parte del día a día de muchas pymes españolas. Desde chatbots para atención al cliente hasta algoritmos que optimizan inventarios o apoyan decisiones financieras, la IA se ha consolidado como una herramienta estratégica.

Hamburgo. Ayuntamiento. Epc

Con la aplicación de las normas a los modelos de IA del Reglamento Europeo de IA (Reglamento UE 2024/1689) a partir del 2 de agosto de 2026, se activan de forma definitiva obligaciones que afectan directamente al uso y comercialización de estas tecnologías. Este es, por tanto, un momento clave para repasar las principales exigencias que los directivos de pymes deben conocer, no solo para cumplir con la ley, sino también para identificar cómo la IA puede convertirse en una palanca de innovación y crecimiento.

  • 02/02/2025: prohibición de sistemas de riesgo inaceptable.
  • 02/08/2025: aplicación de normas a modelos de IA de propósito general.
  • 02/08/2026: fin del periodo transitorio y aplicación plena del Reglamento.

 

Modelos de IA de propósito general
Son sistemas que no están diseñados para una tarea concreta, sino que pueden realizar de manera competente una amplia variedad de tareas distintas. Ejemplos son los grandes modelos de lenguaje desarrollados por OpenAI (ChatGPT) o Google (Gemini), que pueden aplicarse a chatbots, generación de contenido o análisis de datos.

  • Desde agosto de 2025, los proveedores de estos modelos deben cumplir con requisitos de transparencia y seguridad en cuatro niveles, cada uno con ejemplos y requisitos distintos:
    •  Riesgo inaceptable: sistemas totalmente prohibidos por considerarse una amenaza para la seguridad o los derechos fundamentales. Ejemplos: puntuación social, manipulación subliminal del comportamiento, reconocimiento de emociones en entornos laborales o educativos, identificación biométrica en tiempo real en espacios públicos.
    • Alto riesgo: permitidos, pero sujetos a requisitos estrictos de evaluación, supervisión y seguridad. Incluye, entre otros, sistemas para filtrado de CVs en procesos de selección o algoritmos de evaluación crediticia o scoring financiero.
    • Riesgo limitado: no requieren requisitos técnicos complejos, pero sí transparencia hacia los usuarios. Dentro de esta categoría podríamos encontrar los chatbots y asistentes conversacionales, que deben identificarse claramente como IA, generadores de contenido sintético (deepfakes) que deben ir etiquetados, o sistemas que detectan emociones de clientes en un contexto comercial (con aviso previo).
    • Riesgo mínimo: uso libre sin obligaciones específicas en el Reglamento, aunque siguen aplicando otras leyes generales. Ejemplos: filtros anti-spam, recomendadores de productos en e-commerce, optimización de rutas logísticas o videojuegos con IA.

Un primer reto importante radica en identificar correctamente el nivel de riesgo de cada herramienta, ya que un sistema clasificado como alto riesgo puede implicar costes y procesos que desincentiven su uso.

Implicaciones del Reglamento de IA para las PYMEs

La mayoría de las pequeñas y medianas empresas operarán principalmente como usuarias de sistemas de inteligencia artificial, y el alcance de sus responsabilidades dependerá del nivel de riesgo de las herramientas que empleen.

Bruselas.

Los sistemas clasificados como de alto riesgo concentran la mayor parte de los requisitos técnicos y documentales, pero incluso los sistemas de riesgo limitado o mínimo implican obligaciones esenciales, especialmente en términos de transparencia y uso responsable. Entre ellas destacan la necesidad de utilizar la IA siguiendo las instrucciones del proveedor, garantizar supervisión humana en decisiones críticas —obligatoria en sistemas de alto riesgo y recomendable en el resto—, mantener registros de actividad, verificar la calidad de los datos introducidos y, cuando proceda, informar a empleados y clientes sobre la utilización de IA.

Un aspecto crítico es que modificar un sistema de IA o cambiar su finalidad puede transformar a la pyme de usuaria a proveedora de alto riesgo, con las consiguientes obligaciones legales y costes adicionales. Por ejemplo, una consultora de recursos humanos que adapte un modelo de propósito general, inicialmente de riesgo limitado, para crear un sistema de preselección de candidatos estaría desarrollando un sistema de alto riesgo. Este cambio implica mayores responsabilidades técnicas y jurídicas, y si la empresa no dispone de los recursos necesarios, podría enfrentar sanciones significativas.

El régimen sancionador del Reglamento de IA es riguroso y busca garantizar el uso responsable de la tecnología.

  • Las multas por incumplimiento pueden alcanzar hasta 35 millones de euros o el 7 % de la facturación anual global en casos de prácticas de IA inaceptables, y hasta 15 millones o el 3 % en infracciones relacionadas con sistemas de alto riesgo o con la gestión de modelos de propósito general.
  • Para PYMEs y empresas emergentes, se aplicará la cantidad menor entre el porcentaje de facturación y la cuantía fija. Este sistema, combinado con la complejidad del marco regulatorio, podría retrasar el lanzamiento de soluciones o incluso provocar su retirada del mercado europeo, dejando a algunas pymes en desventaja frente a empresas de otras regiones con regulaciones más flexibles.

Para adaptarse de manera práctica y aprovechar las oportunidades que ofrece la IA, las pymes deben seguir un plan estructurado: en primer lugar, elaborar un inventario detallado de todas las herramientas y sistemas de IA que utilizan, incluyendo aquellos integrados en otros softwares; en segundo lugar, clasificar cada herramienta según su nivel de riesgo —inaceptable, alto, limitado o mínimo—; y finalmente, contactar con los proveedores para confirmar planes de cumplimiento, solicitar documentación y verificar, en su caso, el marcado CE de los sistemas de alto riesgo. A estas acciones se suma la implementación de un programa de formación interna o “alfabetización en IA”, que permitirá al personal identificar riesgos, usar la IA de forma segura y generar valor para la organización. Designar un responsable interno que coordine este proceso y lidere la capacitación es clave para integrar la IA de manera estratégica en la pyme y convertir el cumplimiento normativo en un motor de innovación.

Consciente de las dificultades que enfrentan las PYMEs, la Unión Europea ha desarrollado medidas de apoyo específicas.

  • Programas como Digital Europe y Horizonte Europa, junto con los Fondos de Cohesión, facilitan recursos financieros y técnicos para la adopción de IA. A nivel operativo, los Digital Innovation Hubs (EDIHs)
  • Las AI Factories proporcionan espacios para experimentar y probar sistemas de IA bajo condiciones controladas, con asesoramiento especializado sobre cumplimiento normativo, seguridad y buenas prácticas.
  • Las Testing and Experimentation Facilities (TEFs) permiten evaluar prototipos antes de su despliegue comercial, garantizando un entorno seguro. Este ecosistema integral busca que las pymes desarrollen e integren soluciones de IA de manera conforme a la ley, sin perder competitividad frente a grandes plataformas tecnológicas, y que puedan acceder a oportunidades de innovación que antes solo estaban al alcance de corporaciones de mayor tamaño.

 

International Business Law (International Trade Degree-ULE). Lesson 2 Section 2(Notes IBL 2025-26)

Posted on por

LESSON 2 IBL:  INTERNATIONAL COMPANY LAW – EUROPEAN UNION FRAMEWORK

2. Companies within the European Internal Market: Harmonised and Unified aspects.

 

The European Union has competencies related to Company Law, mostly in the realm of achieving a fully integrated Internal Market. The EU Freedoms involved in Company Law are mainly the freedom to provide services (both cross-border and with a permanent establishment) and the Free Movement of  Capital.  Free movement of Workers/Persons and Free movement of Goods are also involved to a lesser degree).

The purpose of EU rules in the area of Company Law is to enable businesses to be set up anywhere in the EU, enjoying the freedom of movement of persons, services and capital, to provide protection for shareholders and other parties with a particular interest in companies, to make businesses more competitive, and to encourage business to cooperate over borders.

 

The EU Company Law is  embodied in Treaties, Directives and Regulations

    • TFUE to create the basic framework for legal persons in the UE ( as regulated in Articles 49, 50(1) and (2)(g), and 54, second paragraph) :
          • Article 49, second paragraph TFEU guarantees the right to take up and pursue activities in a self-employed capacity and to set up and manage undertakings, in particular companies or firms
    • Directives to harmonise EU Company Law
      • The first/older harmonisation Directives  developed the main aspects of EU Company Law (publicity, branches, accounts, among others)
      • Following earlier legislative works, the Consolidation Directive unifies older harmonisation Directives. The Consolidation Directive is Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies. Thus, it repealed some older Directives and replaced them without changing their content. Specifically, it deals with specific issues related to the protection of members (such as shareholders) and creditors
        • The Consolidation Directive has already been modified, as with Directive (EU) 2019/1151 of the European Parliament and of the Council of 20 June 2019 amending Directive (EU) 2017/1132 as regards the use of digital tools and processes in Company law. See also this 2025 modification: Directive (EU) 2025/25 of the European Parliament and of the Council of 19 December 2024, Amending Directives 2009/102/EC and (EU) 2017/1132 as regards further expanding and upgrading the use of digital tools and processes in company law. This Directive introduces a new step in the digital transformation of EU company law. By amending Directives 2009/102/EC and (EU) 2017/1132, it aims to further promote the use of digital tools and online procedures throughout the entire life cycle of companies — from their formation to their ongoing operations and cross-border activities. The reform strengthens legal certainty and transparency by enabling more efficient access to company information and facilitating online interactions with business registers and public authorities. It also reduces administrative burdens, particularly for SMEs, by allowing greater use of digital identities, electronic signatures, and interoperable platforms. In addition, the Directive enhances cross-border cooperation between national registers and improves data quality and accessibility across the EU, contributing to a more integrated and competitive Single Market.
      •  Furthermore, and harmonising specific Company law issues, Directive (EU) 2019/2121 of 27 November 2019 lays down new rules on cross-border conversions and divisions and amends the rules on cross-border mergers.
    • Regulations unify specific aspects of Company law in the EU. They are especially relevant in the field of accounts and in the creation of instruments and new types of companies (such as the Societas Europae, and the EU Cooperative).

Some EU Directives and Regulations create specific EU rules in many fields of Company Law.

2.1 Incorporation, Registries and official transparency, shareholders and third parties (creditors) protection, and branches.

 

  • Incorporation or formation (now regulated by Directive 2017/1132, «the Consolidation Directive»).
    • The statutes or instrument of incorporation of a public limited liability company PLC, (in Spain S.A.) must make it possible for any interested person to acquaint themselves with 1) the type, name, and objects of the company. 2) the basic particulars of the company, including the exact composition of its capital, 3 )the rules to appoint its Directors and Board Members 4) the number of shares 5) the nominal value of its issued shares 6) Its registered office (domicilio social) 7) any special conditions for the transfer of shares 8) Paid-up capital upon incorporation 9) Procedure to convert bearer shares into nominal shares and vice versa 10)etc
  • Registries
    • The incorporation and other acts of companies must be filed within a National Public Registry ( in Spain, Registro Mercantil).
    • National Registries are now interconnected as  Directive 2012/17/EU and Commission Implementing Regulation (EU) 2015/884 set out rules on the system of interconnection of business registers (‘BRIS’). t
      • BRIS has been operational since 8 June 2017, although some of its desired features are still to be completed.
      • The BRIS allows EU-wide electronic access to company information and documents stored in Member States’ business registers via the European e-Justice Portal. BRIS also enables EU Commercial Registers to exchange information between themselves (including but not limited to notifications on cross-border operations and on branches).
  • Digital incorporation of SL-type companies
    • Since  2019, Member States must ensure that at least some companies (limited companies such as, in Spain, the SL) can be fully incorporated by digital means and that their incorporation documents can be electronically filled (in the National Registry) online
  • Official transparency
    • Filling incorporation and other documents into the Commercial Registry is a means of official transparency, as it serves to disclose information.
    • The duty to draw up annual accounts and to deposit them in the commercial register, where they can be consulted, is also an instrument of transparency
    • There are also other instruments.
      • For example, certain entities (such as the SAE or the European Economic Interest Grouping) have their incorporation and dissolution published in the OJEU.
      • And there are special transparency measures for listed companies that must report data to their market supervisor (in Spain, the CNMV):  Under EU rules, issuers of securities on regulated markets must disclose (to the market supervisor and to the public) certain key information to ensure transparency for investors. The Transparency Directive (2004/109/EC) requires issuers of securities listed on EU-regulated markets to make their activities transparent by regularly publishing certain information, which includes:
        • Yearly and half-yearly financial reports
        • Major changes in the holding of voting rights
        • ad hoc inside information, which could affect the price of securities

        This information must be disclosed in a way that benefits all investors equally across Europe.

        The EU Commission launched a pilot project to evaluate distributed general ledger technologies as a back-up solution to implement the EU’s central access point to regulated information of listed companies (EEAP) (European Financial Transparency Portal; EFTG).

 

  • Shareholders’ and creditors protection
    • Today, the Consolidation Directive unifies older harmonisation Directives that include several aspects for the protection of shareholders and creditors.  For instance, it deals with transparency measures, as above, as well as with rules on capital.
    • Please note that this Consolidation Directive, Directive (EU) 2017/1132 which codifies certain aspects of Company Law concerning limited liability companies, repeals some older Directives and replaces them. Here are some of its contents that are useful for the protection of shareholders and creditors
      • It defines a public liability company(PLC)  as one which has offered shares to the general public and whose shareholders have limited liability, usually only concerning the amount paid for their shares and securities. (SA in Spain).
        • Please note that Securities are transferable shares which give the owner voting rights in a company, Sometimes those shares are «quoted», or admitted to a Regulated Market, for example, The London Stock Exchange, la Bolsa de Valores de Madrid, and similar marketplaces. Not all PLCs are listed companies. But PLC-listed companies are subject to some special rules and Directives as we are studying in this lesson.
      • It also coordinates national rules for creating and running companies and increasing or reducing their capital: It mandates that the minimum capital required in the EU to register a public limited company (PLC) is of 25 000EUR. (in Spain, our Ley de Sociedades de Capital raises such minimum as it requires 60,000€ of issued capital for the formation of a Spanish PLC: a Sociedad Anónima or SA)
      • It further sets minimum information requirements for companies upon their incorporation and whenever the incorporation documents are modified.
        • The instrument of incorporation (constitución) and the statutes (estatutos) or bye-laws (reglamentos internos) of EU PLCs must contain (at least) the following information:
        • the type and name of the company; the objectives of the company; the rules governing appointing Directors responsible for managing, running and supervising the company; and the duration of the company.
        • the registered office; the value, number and form of the subscribed (company-issued) shares;
        • the amount of subscribed (company-issued) capital; the identity of those who sign the instrument of incorporation or the bylaws.
        • The mandatory disclosure of the information is implemented by filling it in the national business registers (for example Registro Mercantil in Spain,  Companies House in UK, etc).;
        • Concerning the validity of the obligations entered into by the company, and regarding liabilities derived thereof the Consolidation Directive makes mandatory that, if an action has been carried out on behalf of a Company before it has acquired legal personality, the persons who acted shall be deemed liable therefor and not the company itself. However, once a company has acquired legal personality, acts performed by the organs of the company shall be binding upon itits members and third parties, including such acts that go beyond the limitations of the objects of the company (ultra vires).
        • Regarding the nullity of the company (very important for creditors, for shareholders, and other parties), the Member States shall provide for the nullity of companies only by decision of a court of law. The nullity of a company may only be ordered in the cases established in the Directive
  • Branches
    • Such Branches of Companies from other Member States must be registered in the Host Country Commercial Registry . They must make publicly available, through the interconnection system of central, commercial and company registers, at least the following information:
      • Address, activity, name (if different from the Company), particulars, appointment and discharge of the person or persons representing and managing the Branch.
      • Company’s place of registration and registration number; name and legal form of the company; winding-up of the company, appointment and particulars of liquidators; accounting documents;
      • Closing of the branch.
      • The Directive allows the Member States to require additional disclosures.

2.2 Specialities of single-member limited liability companies

(Now codified in Directive 2009/102/EC — company law on single-member private limited liability companies:)

  • A company may have a single member by its being formed, or by all its shares/non-share participations coming to be held, by a single person (single-member company).
  • Member States must allow the incorporation of single-member companies of the SL type.
  • Member States must allow the that SL or SA become single-member companies after their incorporation as a multiple-member company
  • Member States can allow for PLC (SA) to be incorporated as single-member company
  • Where a company becomes a single-member company because all its shares have come to be held by a single person, that fact, together with the identity of the single member, must either be entered in a register kept by the company and accessible to the public or be recorded in the file or entered in the central national commercial register or the register of companies.
  • The single-member exercises the powers of a general meeting of the company.
  • All decisions taken by the single member and contracts between that person and the company as represented by him or her must be recorded in the minutes or drawn up in writing.

    Cantábrico (Asturias)

2.3 Specialities to promote shareholders’ long-time involvement in listed companies

EU company law has enacted some measures to promote the long-term involvement of shareholders in the projects of the companies in which they have invested, even if they are located in another EU Member State. To such aims, the cross-border exercise of shareholders’ rights is of utmost relevance: Directive 2007/36/EC (amended by Directives 2014/59/EU and (EU) 2017/828) on the exercise of certain rights of shareholders in listed companies abolishes the main obstacles to a cross-border vote in listed companies that have their registered office in a Member State. Here are some issues regulated in these Directives:

  • Identification of shareholders. The 2007 and 2017 Directives made it mandatory that adequate instruments (and intermediaries) exist so that listed companies («cotizadas») can identify their shareholders. The end aim is to facilitate the exercise of shareholders’ rights and their involvement in the company. (Member States may stipulate that companies located within their territory are only authorised to request identification regarding shareholders holding more than a certain percentage of shares or voting rights, not exceeding 0.5%).
  • Rights of shareholders to monitor Director’s remunerations. It establishes shareholders’ right to vote on the remuneration of directors and it mandates that the remuneration policy must be published. Also, it regulates the performance of directors, which should be evaluated using financial and non-financial performance criteria, including, where appropriate, environmental, social, and management factors.
  • Transparency of institutional investors, asset managers and voting advisors in particular to facilitate the exercise of shareholders’ voting rights:
    • Intermediaries will have to facilitate the exercise of shareholders’ rights, including the right to participate and vote at general meetings.
    • They will also have an obligation to provide shareholders, in a standardised format and in due time, with all company information that enables them to exercise their rights properly.
    • In addition, they will have to publish all costs related to the new rules.
  • Transactions with related parties
    • Transactions with related parties may be detrimental to companies and their shareholders, as they may give the related party the possibility of appropriating value belonging to the company. For this reason, the new Directive provides that:
      • a) significant transactions with related parties have to be submitted for approval by the shareholders or the administrative or supervisory body to protect adequately the interests of the company.
      • b) and, Companies will have to publicly disclose (to the market supervisors (ie, in Spain the CNMV) relevant transactions with all information necessary to assess the fairness of the transaction.
2.4 Take over bids, mergers, acquisitions, divisions

Santiago de Compostela. Vista desde la Alameda

This Directive applies to companies whose shares are admitted to a regulated market (listed companies, that is, listed PLC or «cotizadas») in relation with takeover bids

A takeover bid is a public offer to acquire all or part of a company’s securities.

  • To protect minority shareholders of listed companies in a takeover bid, Directive 2004/25/EC, mandates that anyone gaining control of a company (30/-35% of its securities) must make a bid at an equitable price at the earliest opportunity to all holders of securities.
    • The control situation must be notified to the marketplace and to the supervision authority
    • The equitable price is the highest price the offeror paid for the securities during a 6- to 12-month period before the bid. In specific circumstances, national supervisory authorities may adjust this price.
    • The Board of Directors of the bidding Company is competent to approve the decision to launch the bid and is responsible for the documents and procedures involved therein.
    • The decision to launch a bid should be made public as soon as possible to ensure market transparency and integrity of the offeree company securities.
    • Employee representatives must be informed of any takeover bid.
    • National authorities determine the time for the shareholders of the offeree/target company to accept a bid. This runs between 2 and 10 weeks.
    • National rules exist for issues such as the lapsing or revision of bids or disclosure of the result of a planned takeover.

In case the Board of the offeree/target does not wish for the bid to be successful, before engaging in actions that could block the bid, the Board of the offeree/target company must (subject to an EU country opt-out) obtain prior authorisation from a general shareholders’ meeting.

Please note that this EU regime for taking control over a Stock market-listed Company (Mandatory Bid Rule) is different to the USA system, where the bid is not mandated and where controls take place, mainly, after the deal.

      • A merger is an operation whereby:
        • Merger by acquisition. One or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to another existing company, the acquiring company, in exchange for the issue to their members of securities or shares representing the capital of that other company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by the creation of a «newco». Two or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to a company that they form, the “new company”, in exchange for the issue to their members of securities or shares representing the capital of that new company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by transferring shares to the parent co. The shareholders of  one or more companies transfer their shares to a company that will be holding all the securities or shares representing its capital, that is, to its parent company
      • In all 3 cases, the draft terms of the merger must be drawn up by the administrative or management board and must contain specific information, including:
            • the type, name and registered office of the companies;
            • the share exchange ratio (that is, the relative number of new shares that will be given to existing shareholders of a company that has been acquired or merged with another);
            • terms relating to the allotment of shares in the acquiring company (and or in the new company to be formed);
            • the rights granted by the acquiring (or the new) company.
      • In all 3 cases, workers councils of the merging companies must be informed. And the final deal is approved by the shareholders of both companies. Please note that M&A operations as well as takeovers may in some cases fall within the realm of Free Competition legislation. Therefore,  companies must also make sure that they follow Free Competition procedures. In this course, we analyse such procedures in lesson 3, «concentrations«.
  • Divisions of public limited liability companies
    • Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies (the consolidation Directive)  addresses also Divisions
      •  ‘division by acquisition’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the companies receiving contributions as a result of the division (‘recipient companies’) and possibly a cash payment. The directive sets a maximum cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions

      •  ‘division by the formation of new companies’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one newly-formed company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the recipient companies, and possibly a cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions

      • There are also provisions for divisions with cash payment  exceeding 10% and divisions where the company does not cease to exist
2.5 Special legal forms for cross-border business in the UE

Gatín

      •  Regulation 2157/2001 establishes a statute for a European Company (Societas Europea or European Company ‘SE’), i.e., an EU legal form for public limited liability companies, and allows companies from different Member States to conduct their business in the EU under a single European brand name.
        • Societas Europea / Sociedad Anónima Europea , here
      • Regulation 2137/85 sets out a statute for a European Economic Interest Grouping (EEIG), i.e. an EU legal form for a grouping formed by companies or legal bodies and/or natural persons carrying out economic activity coming from different Member States; the purpose of such a grouping is to facilitate or develop the cross-border economic activities of its members.
      • Regulation (EC) No 1435/2003  on the Statute for a European Cooperative Society (SCE). It aims to facilitate cooperatives’ cross-border and trans-national activities. The members of an SCE cannot all be based in one country. The regulation of the Statute for a European Cooperative Society (2003) aims to facilitate cooperatives‘ cross-border and trans-national activities. The statute also provides a legal instrument for other companies wishing to group together to access markets, achieve economies of scale, or undertake research and development activities. The Statute also enables 5 or more European citizens from more than one EU country to create a European Cooperative Society. This is the first and only form of a European company that can be established from the beginning and with limited liability (ie: it does not need to be formed by companies of different Member States or as a subsidiary as it is the case with the SE. The SCE allows its members to carry out common activities while preserving their independence;  its principal object is to satisfy its members’ needs and not the return on capital investment; its members benefit proportionally to their profit and not to their capital contribution.

Las principales autoridades y estructuras europeas de ciberseguridad

Posted on por

 

En el marco europeo de la ciberseguridad, se han ido articulando múltiples organismos y redes con funciones complementarias —regulación, coordinación, innovación, respuesta a incidentes— que permiten alcanzar un nivel más elevado de resiliencia digital, cooperar operativamente entre Estados miembros y generar un mercado interno más seguro.

1. Agencia de la Unión Europea para la Ciberseguridad (ENISA)

Teverga

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es la agencia comunitaria dedicada a alcanzar “un nivel elevado y común de ciberseguridad en la Unión” (UE) mediante asesoramiento técnico, intercambio de buenas prácticas, desarrollo de esquemas de certificación y colaboración estrecha con los Estados miembros, las instituciones de la UE y el sector privado.

Mandato y marco normativo

  • ENISA fue creada por el Reglamento (CE) n.º 460/2004, operativa desde 2005.
  • Su mandato se reforzó con el Reglamento (EU) 2019/881 —el llamado “Cybersecurity Act”—, que además creó un marco europeo de certificación de ciberseguridad y otorgó a ENISA un mandato permanente.

Funciones principales

  • Cooperación con los Estados miembros en materia de estrategias nacionales, preparación ante incidentes, fortalecimiento de capacidades (training, ejercicios, etc.).
  • Desarrollo de esquemas de certificación de productos, servicios y procesos TIC (en colaboración con otros órganos, con los Estados de la UE, y con organismos innternacionales).
  • Actuar como centro de conocimiento, generar informes sobre amenazas, vulnerabilidades, tendencias tecnológicas emergentes.
  • Más: Ver aqui

 

2. La red de CSIRTs Network de la UE

La Red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs Network) está compuesta por los equipos designados por los Estados miembros de la UE para la gestión de incidentes de ciberseguridad, junto con CERT‑EU. ENISA presta el secretariado de la Red y facilita la cooperación operativa.

Funciones principales: operativas y de coordinación

  • Intercambio de información sobre vulnerabilidades, amenazas, indicadores de compromiso entre CSIRTs nacionales y otros actores.
  • Coordinación de la respuesta a incidentes transfronterizos o que afectan múltiples Estados miembros, y asistencia en la divulgación coordinada de vulnerabilidades con impacto significativo en varios Estados.
  • Apoyo en el marco del Directiva NIS2 (y su antecesora) para asegurar una cooperación más sistemática entre los actores nacionales.

3. European Cyber Security Organisation (ECSO)

La European Cyber Security Organization (ECSO) es una asociación público‑privada (PPP) que reúne actores del sector empresarial, centros de investigación, autoridades públicas y otros stakeholders para fomentar la innovación, el mercado europeo de ciberseguridad y la cooperación público‑privada.

Ámbitos de actividad

  • Grupos de trabajo (Working Groups) que abarcan estandarización, certificación, cadena de suministro de ciberseguridad, inversiones y mercados, internacionalización.
  • Publicación de documentos de apoyo para la cadena de suministro europea de ciberseguridad, como listas de requisitos de “cyber ranges”, evaluación de mercado, etc.
  • Representación del sector privado en foros de la UE (por ejemplo, la participación en el Stakeholder Cybersecurity Certification Group – SCCG) para asesorar sobre certificación europea.

 

4. European Cybersecurity Certification Group (ECCG)

El European Cyber security group (ECCG) es un grupo integrado por representantes de los Estados miembros de la UE que asesora a la Comisión Europea y a ENISA en la implementación del marco de certificación de ciberseguridad en virtud del Reglamento (EU) 2019/881 (Cybersecurity Act).

Existen centros nacionales activos en el trabajo de este grupo

Funciones y estructura

  • Su misión es garantizar la aplicación coherente del marco de certificación de la UE, evitando la fragmentación de los esquemas nacionales y promoviendo la mutua aceptación de certificados.
  • Colabora con ENISA en el desarrollo de esquemas europeos como el EUCC (European Common Criteria) y otros futuros (servicios en la nube, IoT, etc.).

 

Sinergias y consideraciones de gobernanza

Estas cuatro estructuras no actúan de forma aislada, sino que presentan una arquitectura interconectada:

  • ENISA opera como nodo central de la estrategia, la normativa y la capacidad técnica.
  • La CSIRTs Network permite la dimensión operativa y de respuesta a incidentes en tiempo real, interrelacionada con ENISA y con los equipos de los Estados miembros.
  • ECSO representa la dimensión de mercado, innovación, industria y gobernanza colaborativa público‑privada.
  • ECCG asegura que el marco de certificación europeo sea coherente, homogéneo y reconocido en toda la UE, reduciendo la fragmentación y fortaleciendo el mercado interno.

La arquitectura europea de ciberseguridad —representada por ENISA, la red de CSIRTs de la UE, ECSO y el ECCG— constituye un mosaico integrado de regulación, operación, mercado e innovación. Para la empresa que opera en el entorno europeo y para los administradores que deben gobernarla, esta arquitectura ofrece tanto obligaciones como oportunidades: obligaciones de diligencia, reporte y adopción de estándares certificados; oportunidades de competitividad, confianza de mercado e integración en un ecosistema digital europeo seguro.

Principios (UE) sobre Derechos Digitales. Declaración de 2022 y Brújula Digital de 2021

Posted on por

La Declaración Europea sobre los Derechos y Principios Digitales fue suscrita en 2022 por los presidentes de la Comisión Europea, del Parlamento Europeo y del Consejo de la Unión Europea, como instrumento solemne, de naturaleza orientadora o eje vertebrador de la acción digital de la Unión.

Market Street – Cornmarket Street Old tavern, Ox

Esta Declaración se fundamenta, de forma destacada, en la Carta de los Derechos Fundamentales de la Unión Europea, y remite expresamente a aquellos derechos particularmente relevantes en el contexto de la transformación digital, tales como la libertad de expresión e información, la protección de los datos personales (art. 8), y la garantía de la vida privada (art. 7). Así, los derechos y principios digitales que en ella se recogen se integran plenamente en el acervo normativo de la Unión y en sus políticas públicas.  Debe también leerse en coherencia con la Brújula Digital 2030, Comunicación de la Comisión Europea  publicada en 2021 como hoja de ruta estratégica para alcanzar una década digital centrada en las personas, articulada en torno a cuatro grandes objetivos: competencias digitales, infraestructuras digitales seguras y sostenibles, digitalización de empresas, y transformación digital de los servicios públicos. La Brújula no solo fija metas medibles, sino que actúa como eje de coherencia entre los valores proclamados en la Declaración y su materialización operativa en la Unión.

A través de la Declaración Europea sobre los Derechos y Principios Digitales, la Unión Europea y sus Estados miembros reafirman su compromiso con una transformación digital centrada en el ser humano. En este sentido, ofrece un puente entre los valores fundamentales y la legislación y estrategias digitales de la Unión, orientando la acción pública en el marco de la Década Digital 2030. En esta Declaración,  se  opera una cierta centralización supervisoria, ya que la Comisión Europea asume la función de supervisión del cumplimiento y desarrollo de los derechos y principios digitales en todo el territorio de la Unión, mediante informes anuales y mecanismos de evaluación que permiten articular su progresiva implementación.

London's Eye

London’s Eye

Este enfoque de integración normativa y política encuentra concreción en iniciativas regulatorias recientes como el Reglamento (UE) 2022/2554, relativo a la resiliencia operativa digital del sector financiero (DORA),  que ha sido objeto de atención en este blog en reiteradas ocasiones. O en  el Reglamento (UE) 2022/868, sobre la gobernanza europea de datos (Data Governance Act).

Ambos textos, de una u otra forma, materializan los objetivos proclamados en la Declaración. Y, los dos prevén la participación activa de autoridades competentes en lo que se puede denominar como gobernanza , con centralización- y vocación multinivel  —como la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), en el caso de DORA (art. 49), o el Comité Europeo de Innovación de Datos, en el caso del DGA (art. 29)—.

  • El Reglamento DORA establece un marco armonizado que impone a las entidades financieras obligaciones estrictas en materia de gestión de riesgos TIC (arts. 5 a 16), notificación de incidentes significativos (arts. 17 a 23) y resiliencia frente a pruebas de penetración (arts. 24 a 27). La norma refuerza así la obligación de garantizar la seguridad, continuidad y robustez tecnológica en los servicios financieros, en consonancia con los principios de confianza digital y protección del interés general presentes en la Declaración.

  • El Reglamento de Gobernanza de Datos (DGA), por su parte, refuerza el principio de empoderamiento y control individual sobre los datos, al establecer, entre otras figuras, la del intermediario de datos (arts. 10 a 14) y los organismos en la cesión altruista datos (arts. 16 a 25), creando estructuras institucionales que permiten la cesión voluntaria y responsable de datos con fines de interés general. Además, el artículo 5 del DGA prevé normas para la reutilización de datos protegidos del sector público, contribuyendo a la apertura ética y controlada de la información pública sin vulnerar derechos fundamentales.

Digitalización a la medida de las personas

  • En cuanto a la digitalización «humanizada» o centrada en las personas, la Declaración proclama, de forma expresa, que el desarrollo tecnológico debe respetar los derechos fundamentales, reforzar la democracia y fomentar una cultura de responsabilidad digital entre todos los actores. La persona se erige así en el centro de la arquitectura digital europea, con un modelo normativo orientado a garantizar que el progreso tecnológico sea compatible con la dignidad humana, los valores democráticos y el Estado de Derecho. Este principio encuentra una concreción directa en la primera meta de la Brújula Digital: asegurar que, para 2030, al menos el 80 % de los adultos en la UE dispongan de competencias digitales básicas, promoviendo así la participación efectiva en la vida económica y democrática.

Cohesión social digital

  • Por lo que respecta a la cohesión social, la Declaración establece que la tecnología debe actuar como instrumento de cohesión social, evitando la exclusión digital. En esta línea, la Unión promueve el acceso universal a internet, el desarrollo de competencias digitales inclusivas, la disponibilidad de servicios públicos digitales accesibles y la garantía de condiciones laborales justas en los entornos digitales.  También aquí, la Brújula Digital 2030 estableció como objetivo el acceso a conectividad de gigabit para todos los hogares europeos y la cobertura 5G en todas las zonas pobladas, como condición para garantizar la inclusión efectiva.

Libertad personal de elección y control sobre los propios datos

  • Un elemento muy importante en esta Declaración es el de la libertad de elección. El entorno digital debe configurarse como un espacio abierto y justo, en el que los ciudadanos puedan ejercer sus libertades sin ser objeto de manipulaciones ni de exposiciones a contenidos ilícitos o perjudiciales. Se subraya especialmente la necesidad de garantizar la transparencia, responsabilidad y control humano en el uso de tecnologías emergentes, como la inteligencia artificial.
  • Los ciudadanos y la participación son otro elemento fundamental. Según establece la Comisión Europea en esta Declaración, la transformación digital debe fortalecer, y no debilitar, la participación democrática y el control de sus datos por parte de los ciudadanos, condición indispensable para el ejercicio de la autonomía individual y la protección de la privacidad. En este mismo contexto, la Brújula abogó por el desarrollo de una identidad digital europea segura y voluntaria, que permita a todos los ciudadanos acceder a servicios esenciales y ejercer sus derechos con garantías de autenticidad, privacidad y seguridad.

Seguridad

  • Por lo que respecta a la seguridad, un entorno digital seguro es un requisito básico para la confianza en las tecnologías. En la Declaración, la UE se compromete a proteger a todos los usuarios —incluidos los menores, las personas mayores y los colectivos vulnerables— frente a riesgos como el fraude, el ciberacoso o la desinformación, y a promover un uso consciente, seguro y empoderado de las herramientas digitales en todos los tramos de edad. Este principio se alinea con el compromiso de la Brújula de crear un marco europeo común de ciberseguridad, y de impulsar una mayor resiliencia tecnológica en sectores críticos, a través de regulaciones como el Reglamento DORA.

Sostenibilidad

  • Por lo que respecta a la relación entre digitalización y sostenibilidad, el ecosistema digital europeo debe contribuir activamente a los objetivos de sostenibilidad ambiental. Para ello, se promueve el uso de dispositivos y servicios digitales energéticamente eficientes, el fomento de la economía circular, y la disponibilidad de información clara sobre el impacto ambiental de los productos tecnológicos, de forma que los usuarios puedan tomar decisiones informadas. La transición ecológica estaba también integrada transversalmente en la Brújula, que destaca el papel de la digitalización como habilitadora de eficiencia energética, gestión inteligente de recursos y monitorización ambiental, en línea con los compromisos del Pacto Verde Europeo.

Ciberseguridad en la Unión Europea: Estado Actual y Retos Prioritarios

Posted on por

La Comisión Europea  ha realizado una revisión de la situación de la ciberseguridad en la UE, incluyendo la ciberseguridad de las empresas (Comunicación COM(2025) 290)

 

Panorama general de la ciberseguridad en la Unión Europea

Compostela

Las políticas y acciones  ciberseguridad en la Unión Europea estás  cada vez más condicionada por el aumento de tensiones geopolíticas y económicas: Los ciberataques se han convertido en herramientas estratégicas para el espionaje, el sabotaje y las campañas de desinformación. Los ataques dirigidos contra los Estados miembros y las instituciones europeas son constantes, representando una amenaza grave y sostenida. El ransomware sigue siendo uno de los riesgos más dañinos, cuya evolución va más allá de simplemente encriptar datos, ya que ahora se combina con la exfiltración de información sensible y con extorsión.

Las pequeñas y medianas empresas son objetivos frecuentes de los hackers. Por ejemplo,  señala la  (Comunicación COM(2025) 290), que en 2024 el sector sanitario sufrió un impacto especialmente alto: el 71 % de los incidentes que afectaron la atención al paciente estuvieron relacionados con ransomware. Aunque estos ataques aumentaron un 11 % respecto al año anterior, la presión sobre grupos como LockBit ha fragmentado el panorama, surgiendo 46 nuevos grupos de ransomware en ese mismo año.

Los ataques a la cadena de suministro también han aumentado de forma notable, conforme a lo indicado por la Comisión Europea. Los ciberdelincuentes aprovechan las vulnerabilidades de proveedores externos, especialmente cuando estos dependen de tecnologías o proveedores considerados de riesgo o sujetos a legislaciones que obligan a reportar vulnerabilidades a sus autoridades antes que al público. Además, estos criminales pueden aprovecharse de la dependencia de infraestructuras críticas para generar interrupciones de sus servicios en momentos clave. Entre otros ejemplos, indica la Comisión que los ataques a dispositivos conectados al Internet de las Cosas (IoT) crecieron un 107 % en la primera mitad de 2024.

A nivel social, la percepción pública sobre la ciberseguridad está empeorando, con una disminución de la confianza en la capacidad propia para protegerse y un bajo conocimiento de los mecanismos de denuncia de incidentes. Además, la dependencia excesiva de proveedores tecnológicos únicos y no europeos plantea riesgos considerables para la economía, como demostró la interrupción del servicio de CrowdStrike en 2024.

Otro reto estructural importante al que apunta la mencionada Comunicación es el de la escasez de talento especializado. La Unión Europea enfrenta un déficit de aproximadamente 299.000 profesionales en ciberseguridad. Para abordar este problema, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) impulsa iniciativas como el Marco Europeo de Competencias en Ciberseguridad (ECSF), que busca facilitar la formación, certificación y movilidad profesional en este ámbito.

Empresas y su ciberseguridad

Camelia blanca

Explica la Comisión que en 2024, la gran mayoría de las empresas europeas con más de 10 empleados (el 92,8 %) implementaron al menos una medida básica de seguridad TIC. Sin embargo, solo un tercio de esas empresas contaba con documentación formal o realizaba evaluaciones de riesgos periódicas.

Las prácticas de ciberseguridad más habituales fueron el uso de contraseñas más o menos robustas (83,7 %) y la realización de copias de seguridad en ubicaciones separadas (79,2 %). Aun así, el 21,5 % de las empresas sufrió incidentes de seguridad con consecuencias negativas.

Conforme a la Comunicación, el presupuesto dedicado a la seguridad informática creció, llegando a representar un promedio del 9 % del total de TI, especialmente en sectores regulados por la Directiva NIS, donde la madurez en ciberseguridad es más avanzada. El sector de telecomunicaciones destaca por su nivel de preparación.

Los Estados miembros han incluido en sus Planes Nacionales unas 38 medidas para reforzar la ciberseguridad, con un presupuesto conjunto cercano a los 7.000 millones de euros, orientados a fortalecer la formación, crear centros especializados y mejorar las capacidades tanto públicas como privadas. Pero, según la Comisión Europea resulta preocupante la lenta y desigual adopción de tecnologías clave como IPv6, con una penetración superior al 40 % en países como Bélgica, Francia o Alemania, pero inferior al 10 % en otros como Croacia, Chipre o Malta. IPv6   (Internet Protocol version 6) es la versión más reciente del protocolo de Internet, que es el sistema que permite identificar y localizar dispositivos en una red —especialmente en Internet— y facilitar su comunicación

Marco legislativo y regulatorio europeo

Entre 2024 y 2025, la UE ha dado pasos importantes en su agenda legislativa y regulatoria de ciberseguridad.

  • La Directiva NIS2, respecto de la cual hay obligación de transposición en octubre de 2024, establece estándares estrictos para 18 sectores críticos.
  • También en octubre 2024, la Comisión Europea aprobó el primer acto delegado bajo NIS2, que detalla las medidas de gestión de riesgos y los criterios para la notificación de incidentes importantes.
  • El Cyber Resilience Act ,  o Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia)
     introduce requisitos de seguridad para productos digitales.
  • En cuanto al Cyber Solidarity Act, Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024, por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad)
    estableció un sistema europeo de alerta en ciberseguridad, así como mecanismos de respuesta rápida ante incidentes, apoyados en inteligencia artificial.
  • Con el modificado Cybersecurity Act , Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») ,se permite la certificación de servicios gestionados de seguridad.
  • Por otro lado, en enero de 2025 se adoptó un Plan de Acción para mejorar la ciberseguridad en hospitales y proveedores de salud.
  • En febrero de 2025 se propuso un nuevo Cybersecurity Blueprint que integra la cooperación civil-militar y mejora la capacidad de respuesta a crisis.

Por otro lado, en el ámbito de  las tecnologías emergentes, el  desarrollo de la Infraestructura Europea de Comunicación Cuántica (EuroQCI), dentro del programa IRIS 2 (2023-2027), busca ofrecer servicios altamente seguros para el intercambio de claves criptográficas y la protección de infraestructuras críticas. En 2024, el foco estuvo en el desarrollo de redes nacionales cuánticas y la previsión de conexiones transfronterizas en 2026. La computación cuántica trasformará o desplazará la criptografía actual, por lo que la Comisión Europea recomendó (ya en 2024) que los Estados miembros preparen hojas de ruta sincronizadas para la transición a criptografía post-cuántica, especialmente en administraciones públicas e infraestructuras críticas, con objetivos a corto y medio plazo.

En esta Comunicación, la Comisión aconseja a los Estados miembros:

..

  • Transponer la Directiva NIS2 y adoptar medidas adicionales para asegurar la implementación plena de los marcos europeos, incluyendo la caja de herramientas para seguridad 5G y restricciones a proveedores de alto riesgo.
  • Fortalecer la formación y las capacidades del personal en ciberseguridad, aprovechando recursos como el Marco Europeo de Competencias.
  • Elaborar, dentro del Grupo de Cooperación NIS, hojas de ruta para la transición sincronizada a criptografía post-cuántica en sectores públicos y críticos.
  • Avanzar en la migración de sistemas criptográficos actuales a tecnologías post-cuánticas, con metas parciales para 2030 y finalización prevista para 2035.

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

Posted on por

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Modernización del Derecho Europeo de protección de los consumidores (y de la competencia desleal) ante la digitalización

Galería

Posted on por

El impacto de la digitalización y de las grandes plataformas no deja de sentirse en todos los ámbitos de la contratación. La UE aprobó, en 2019, la llamada Directiva de Modernización, Directiva (UE) 2019/2161 del Parlamento Europeo y del Consejo … Sigue leyendo

Confirmación de la multa de 2,4 mil millones de euros impuesta a Google por abuso de posición dominante al haber favorecido su propio servicio de comparación de productos

Posted on por
Así se pronuncia el Tribunal de Justicia en su sentencia de 10 de septiembre de 2024 en el asunto C-48/22 P | Google y Alphabet/Comisión (Google Shopping), desestimando el recurso de casación interpuesto por Google y Alphabet. (ECLI:EU:C:2024:726)

– Recordemos que mediante Decisión de 27 de junio de 2017 la Comisión impuso a Google una multa de en torno a 2,4 mil millones de euros por haber abusado de su posición dominante en varios mercados nacionales de la búsqueda en Internet y al haber favorecido su propio servicio de comparación de productos frente al de sus competidores. Según la Comisión desde 2008 Google tenía una posición dominante en el mercado de la búsqueda general en cada país del Espacio Económico Europeo, a excepción de la República Checa, donde no ocupó esta posición hasta 2011, lo que dedujo básicamente de las cuotas de mercado de Google, frente a las de sus competidores y teniendo en cuenta la gran reputación de que disfrutaba Google.

  • La Comisión consideró que, a partir de distintos momentos iniciados, el más antiguo, en enero de 2008, Google había abusado de la posición dominante que tenía  en trece mercados nacionales de la búsqueda general dentro del EEE, disminuyendo el tráfico procedente de sus páginas de resultados generales dirigido
    By A. Zorita

    By A. Zorita

    a los comparadores de productos de la competencia e incrementando ese tráfico hacia su comparador de productos, con los posibles  efectos contrarios a la competencia en los trece mercados nacionales correspondientes de la búsqueda especializada para la comparación de productos, y también en los trece mercados nacionales de búsqueda general. Esos 13 países afectados eran concretamente Bélgica, la República Checa, Dinamarca, Alemania, España, Francia, Italia, los Países Bajos, Austria, Polonia, Suecia, el Reino Unido y Noruega.

  • La Comisión señaló que el abuso consistía en posicionar y presentar, en las páginas de resultados generales de Google, su comparador de productos de forma más favorable que los comparadores de productos de la competencia.  La estrategia consistía en mostrar su comparador de productos en sus páginas de resultados generales en un lugar destacado y de forma atractiva, en «boxes» utilizados a tal fin, sin someterlo a sus algoritmos de ajuste, mientras que los comparadores de productos de la competencia solo podían aparecer en forma de resultados de búsqueda general (enlaces azules) y nunca en un formato enriquecido, aparte de que estaban sujetos a la posibilidad de que su clasificación, dentro de los resultados genéricos, se viera reducida por los algoritmos llamados de «ajuste». En este sentido, la Comisión ponía el acento en que no cuestionaba los distintos criterios de selección elegidos por Google, calificados como criterios de relevancia, sino el hecho de que no se aplicaran por igual los criterios de posicionamiento y de visualización a su comparador de productos y a los comparadores de la competencia.
  • Estimó la Comisión que las prácticas controvertidas tenían efectos contrarios a la competencia potenciales en los trece mercados nacionales de la búsqueda especializada para la comparación de productos y en los trece mercados nacionales de la búsqueda general mencionados. En relación con los mercados de la búsqueda especializada para la comparación de productos, consideró probado que las prácticas controvertidas podían provocar que los comparadores de productos de la competencia cesaran sus actividades y podían repercutir negativamente en la innovación, reduciendo las posibilidades de los consumidores de acceder a los servicios más eficientes.
  • Así las cosas, la  Comisión declaró que Google y Alphabet, desde que tomó el control de Google, habían infringido el artículo 102 TFUE y el artículo 54 del Acuerdo EEE en los trece países citados, requiriendo a Google que pusiera fin a las prácticas controvertidas. La Comisión, en su Decisión impuso a Google una multa de de 2 424 495 000 euros, de los cuales, 523 518 000 euros solidariamente con Alphabet.
By M.A Díaz

By M.A Díaz

– Frente a esta Decisión de la Comisión, Google y Alphabet interpusieron un recurso contra la Decisión de la Comisión ante el Tribunal General el 11 de septiembre de 2017, por el que solicitaba la anulación de la Decisión y, subsidiariamente, la supresión o la reducción del importe de la multa.  El Tribunal General confirmó, en esencia, dicha Decisión y mantuvo la multa, desestimando el recurso, mediante sentencia de 10 de noviembre de 2021. Sin embargo, el Tribunal General consideró que no se había demostrado que el comportamiento de Google hubiera tenido efectos anticompetitivos, siquiera potenciales, en el mercado de la búsqueda general. Así las cosas, anuló la Decisión en la medida en que la Comisión había declarado en ella la existencia de una infracción de la prohibición del abuso de posición dominante también en relación con ese mercado.

– Google y Alphabet interpusieron recurso de casación ante el Tribunal de Justicia, por el que solicitaron la anulación de la sentencia del Tribunal General en la medida en que éste había desestimado su recurso, así como la anulación de la Decisión de la Comisión.

El Tribunal de Justicia, en la sentencia a la que aquí nos referimos, desestima el recurso de casación, confirmando la sentencia del Tribunal General.

  • Insiste el Tribunal de Justicia, en la sentencia, que el Derecho de la Unión no prohíbe la existencia de una posición dominante, sino únicamente su explotación abusiva.

A este propósito, señala el Tribunal que “el artículo 102 TFUE no tiene por objeto impedir que las empresas alcancen, por sus propios méritos, una posición dominante en uno o varios mercados ni garantizar que permanezcan en el mercado empresas competidoras menos eficaces que las que ocupan tal posición dominante. Por el contrario, la competencia basada en los méritos puede, por definición, entrañar la desaparición del mercado o la marginalización de los competidores menos eficaces y, por tanto, menos interesantes para los consumidores, especialmente en cuanto a precios, producción, oferta, calidad o innovación”.

En este sentido manifiesta el Tribunal que para poder calificar un comportamiento concreto como «explotación abusiva de una posición dominante» en el sentido del artículo 102 TFUE, “es necesario, como regla general, demostrar que, mediante el recurso a medios distintos de los que rigen una competencia entre las empresas basada en los méritos, este comportamiento tiene por efecto real o potencial restringir esta competencia excluyendo a empresas competidoras igualmente eficaces del mercado o de los mercados en cuestión, o impidiendo su desarrollo en estos mercados, debiendo señalarse que tales mercados pueden ser tanto aquellos en los que se ostenta la posición dominante como aquellos, conexos o próximos, en los que tal comportamiento puede producir sus efectos reales o potenciales”.

De esta suerte, quedarían prohibidos los comportamientos de empresas en posición dominante que restrinjan la competencia basada en los méritos y que, a resultas de ello, puedan causar un perjuicio a las empresas individuales y a los consumidores. Aquí se sitúan los que impiden, por medios distintos de los que rigen una competencia basada en los méritos, el mantenimiento o el desarrollo de la competencia en un mercado en el que el grado de competencia ya se encuentra debilitado debido a la existencia de una o varias empresas en posición dominante.

El Tribunal de Justicia matiza que, en términos generales, no puede sostenerse que una empresa dominante que aplica a sus productos o a sus servicios un trato más favorable que el que concede a los de sus competidores esté adoptando, independientemente de las circunstancias concurrentes en el caso, un comportamiento ajeno a la competencia basada en los méritos. No obstante, señala que, en este caso, el Tribunal General estimó correctamente que, habida cuenta de las características del mercado y de las circunstancias específicas del caso, el comportamiento de Google era discriminatorio y no correspondía a la competencia basada en los méritos.

El texto íntegro de la sentencia puede verse aquí.

Hacia la Directiva de Diligencia Debida de las empresas (Derechos Humanos y Medio Ambiente)

Galería

Posted on por

La Directiva de Diligencia Debida (DDD) se presenta como un instrumento transversal de protección frente a los impactos de las empresas en materia de Derechos Humanos (DH) y en materia de medioambiente (Ma). Introduce una nueva forma de gobernanza para … Sigue leyendo

En caso de cancelación de un vuelo por el transportista aéreo se considera que el pasajero ha aceptado el reembolso del billete en forma de un bono de viaje cuando, al cumplimentar un formulario en el sitio web del transportista, haya renunciado al reembolso del billete en forma de una suma de dinero

Galería

Posted on por
Catedral de León. Semana Santa. By M.A. Díaz

Esta galería contiene 3 fotos.

Así se ha pronunciado la Sentencia del Tribunal de Justicia de 21 de marzo de 2024 en el asunto C-76/23 | Cobult La petición de decisión prejudicial, planteada sobre la base del art. 267 TFUE, por el Landgericht Frankfurt am … Sigue leyendo

Subasta de datos personales con fines publicitarios: El Tribunal de Justicia aclara las normas sobre subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet conforme al Reglamento (UE) 2016/679

Galería

Posted on por

Esta galería contiene 3 fotos.

Las cuestiones fundamentales que trata de despejar el Tribunal de Justicia en esta Sentencia son, fundamentalmente, las siguientes: ¿Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de … Sigue leyendo