Propuestas para la reforma de la Directiva de redes y sistemas de información (DNIS2) y otras directivas relativas a la ciberseguridad

Posted on por

La Comisión Europea ha propuesto una modificación de la NIS 2 como parte de un paquete más amplio de reformas del marco de ciberseguridad de la Unión Europea

La propuesta de Directiva que modifica la Directiva (UE) 2022/2555 (NIS 2) —formalmente Proposal for a Directive of the European Parliament and of the Council amending Directive (EU) 2022/2555 as regards simplification measures and alignment with the Cybersecurity Act 2 (COM(2026) 13 final)— tiene por objeto introducir medidas de simplificación y una mayor alineación con el marco de ciberseguridad europeo, con el fin de facilitar el cumplimiento para las entidades reguladas, reforzar la seguridad jurídica y mantener un elevado nivel de protección de las redes y sistemas de información en la UE (así se desprende de los considerandos de la Propuesta Directiva)

La reforma se basa en el artículo 114 del TFUE (armonización de las normas dentro del mercado interior) y se alinea con los objetivos esenciales de la NIS 2 de establecer un elevado nivel común de ciberseguridad. Se prevé que los Estados miembros deberán transponer las modificaciones , pero además, que la Directiva NIS 2 en su conjunto seguirá su mecanismo de revisión periódica cada 36 meses.

Arija

Con esta Propuesta de reforma se revisa también el *Reglamento (UE) 2019/881 sobre la Agencia de la Unión Europea de Ciberseguridad y la certificación de ciberseguridad (Cybersecurity Act),

 

 

La Comisión Europea ha planteado esta modificación de la NIS 2 como parte de un paquete más amplio de reformas del marco de ciberseguridad de la Unión Europea Cybersecurity Act 2 (Propuesta de Reglamento). También afecta a otras políticas y marcos de la UE relevantes para la resiliencia digital, como la Cyber Resilience Act (CRA), la Cyber Solidarity Act (CSoA) y la estrategia de respuesta a crisis cibernéticas (EU-Cyber Blueprint).  El objetivo es avanzar en la regulación para la ciberseguridad y la convergencia en el mercado interior digital.

Más concretamente, persigue:

  1. Clarificar y armonizar el ámbito de aplicación y las definiciones de la NIS 2.
  2. Reducir la complejidad de cumplimiento para empresas sujetas a múltiples requisitos de ciberseguridad en distintos cuerpos normativos.
  3. Incrementar la coherencia entre NIS 2 y el nuevo marco de certificación europeo de ciberseguridad (Cybersecurity Act 2).
  4. Reforzar la supervisión transfronteriza y la coordinación con la Agencia de la Unión Europea de Ciberseguridad (ENISA).
  5. Mejorar la transparencia y la calidad de la información sobre incidentes, en particular los de tipo ransomware.
  6. Facilitar la transición hacia nuevas tecnologías resilientes, como la criptografía poscuántica.

Cambios principales que introduce

  1. Alcance, definiciones y categorías de entidades.  La propuesta introduce ajustes al régimen de alcance de la NIS 2 para proporcionar mayor  proporcionalidad:
    • Pequeñas “mid-caps”: crea una nueva categoría de empresas de tamaño intermedio (“small mid-caps”), que en principio, se considerarán entidades importantes en lugar de esenciales, reduciendo así la carga de supervisión y ciertas obligaciones directas. Esta nueva definición se articula en línea con la Commission Recommendation (EU) 2025/1099 on the definition of small mid-cap enterprises.
    • Proveedor de servicios DNS micro y pequeños: excluye expresamente a este colectivo del ámbito de la NIS 2 para evitar cargas desproporcionadas.
    • Clarificaciones sectoriales: se precisan las reglas de inclusión y exclusión para proveedores sanitarios, productores de electricidad, empresas de hidrógeno y del sector químico, con referencia a las normas sectoriales pertinentes (p. ej., Directive (EU) 2019/944 para energía).
    • Entidades de infraestructura digital crítica: amplía el listado de entidades sujetas a la Directiva incluyendo, independientemente de su tamaño, a proveedores de European Digital Identity Wallets y otros servicios de infraestructura digital de importancia sistémica.

2. Ajuste en las reglas jurisdiccionales y de supervisión transfronteriza, incluida la obligación de designar un representante en la UE para entidades no establecidas que prestan servicios dentro del mercado único.

3. Simplificación y armonización de obligaciones.

  • Un elemento central de la reforma es la armonización de medidas técnicas y metodológicas de gestión de riesgos, en donde se pretende la armonización máxima. Así, se establece que cuando la Comisión adopte actos de ejecución específicos en virtud del artículo 21(5) de la NIS 2 para fijar medidas de gestión de riesgos, los Estados miembros no podrán imponer requisitos adicionales de carácter técnico, metodológico o sectorial a las entidades afectadas por esos actos.
  • Se potencia el uso de esquemas de certificación europeos como instrumento de cumplimiento: los Estados podrán exigir la obtención de certificados de ciberseguridad (“cyber posture”) basados en el marco europeo de certificación (Cybersecurity Act 2), y dichos certificados se reconocerán como prueba de cumplimiento respecto de determinados requisitos supervisores.
  • La Propuesta también prevé que la Comisión emita directrices sobre la seguridad de la cadena de suministro, con el fin de homogenizar las exigencias de información que las entidades trasladan a sus proveedores y reducir cargas administrativas

4. Ransomware: datos, reporte y responsabilidad

Para mejorar la comprensión y respuesta ante ataques de ransomware, la Propuesta introduce requisitos más claros de notificación de ciertos aspectos del ataque (por ejemplo, vector de entrada, medidas de mitigación adoptadas y, a solicitud de la autoridad, detalles sobre demandas de rescate y pago). Se subraya que estas obligaciones de reporte no deben generar automáticamente nuevas responsabilidades jurídicas para las entidades, y que los Estados miembros deben gestionar los riesgos de responsabilidad derivados del reporting dentro de su ordenamiento.

5 Preparación frente a amenazas futuras: Criptografía poscuántica

La Propuesta incorpora la obligación para los Estados miembros de adoptar políticas específicas para la transición a la criptografía poscuántica (PQC) como parte de sus estrategias nacionales de ciberseguridad, alineadas con las hojas de ruta europeas para el periodo 2025-2035.

6 Gobernanza y papel reforzado de ENISA

Se refuerza la dimensión transfronteriza de la supervisión mediante la ampliación de las competencias atribuidas a ENISA. Entre otras medidas, ENISA gestionará un registro ampliado de entidades esenciales e importantes y podrá apoyar a las autoridades nacionales en la supervisión y en la evaluación de medidas de gestión de riesgos, así como en la coordinación de acciones conjuntas.

 

 

IA y sector financiero: análisis desde el Parlamento Europeo

Posted on por

La aplicación de la inteligencia artificial (IA) en los mercados de valores y de derivados —estrechamente entrelazada con la negociación algorítmica de alta frecuencia (HFT)— ha dejado de ser una innovación periférica para convertirse en un elemento estructural de la microestructura financiera contemporánea, con implicaciones profundas para la estabilidad del sistema, la equidad de los mercados y la función supervisora. En este contexto, el 11 de noviembre de 2025 la Comisión de Asuntos Económicos y Monetarios del Parlamento Europeo publicó un informe que incorpora una propuesta de Resolución sobre el impacto de la inteligencia artificial en el sector financiero (Informe del Parlamento Europeo sobre el impacto de la IA en el sector financiero, Report A10-0225/2025). Ese informe es el punto de referencia político más reciente sobre el tema y fue posteriormente seguido por la adopción formal de la Resolución por el Pleno el 25 de noviembre de 2025

Ao solpor

Estos trabajos se insertan en el debate institucional europeo sobre la transformación tecnológica de los servicios financieros y sobre la necesidad de adaptar el marco regulatorio al uso creciente de sistemas de IA en actividades esenciales del sector. Ofrece un análisis sistemático del empleo de estas tecnologías y de sus efectos sobre el funcionamiento de los mercados, al tiempo que examinan el marco normativo aplicable. Desde una perspectiva de política legislativa, el ponente del informe subraya la importancia de facilitar la adopción de la IA en el sector financiero europeo sin menoscabar la protección del consumidor, la estabilidad financiera ni la integridad del mercado. En este sentido, identifica solapamientos normativos y zonas de incertidumbre jurídica, y propone medidas destinadas a clarificar la aplicación de la legislación financiera vigente cuando intervienen sistemas basados en IA.

El informe destaca la rápida implantación de la IA en el ámbito financiero y las oportunidades que ofrece para mejorar la eficiencia, la innovación y la calidad de los servicios. No obstante, insiste en que este potencial solo puede materializarse si se mantiene un equilibrio adecuado entre innovación tecnológica y regulación. Resultan centrales, a este respecto, el cumplimiento normativo, el uso de datos de alta calidad y una gestión rigurosa de los riesgos, con especial atención a la ciberseguridad. Asimismo, se subraya la necesidad de que las Autoridades Europeas de Supervisión refuercen sus capacidades técnicas y sus herramientas de control para acompañar el despliegue creciente de la IA, protegiendo al consumidor y preservando la estabilidad del sistema financiero.

Desde una perspectiva estratégica, el Parlamento apuesta por impulsar la innovación y la inversión en inteligencia artificial dentro del ecosistema europeo, en particular en el marco de la futura Unión de Ahorro e Inversión. El desarrollo de capacidades propias en IA se considera esencial para la competitividad del sector financiero europeo y para reducir la dependencia de proveedores tecnológicos externos. Paralelamente, se insta a la Comisión Europea a elaborar orientaciones claras y operativas sobre la aplicación de la normativa financiera vigente al uso de sistemas de IA, en colaboración con las Autoridades Europeas de Supervisión, las autoridades nacionales competentes y los actores del mercado.

Un eje central del informe es la simplificación y coherencia del marco regulatorio. El texto advierte del riesgo de duplicidades —especialmente en materia de evaluación y notificación de riesgos— y de enfoques uniformes que no reflejan la diversidad de usos y perfiles de riesgo de la IA en el sector financiero. Frente a ello, se propone una supervisión continua del despliegue de estas tecnologías, capaz de identificar lagunas, solapamientos o cargas excesivas, y una coordinación estrecha entre la Comisión y los Estados miembros para ajustar el marco normativo de forma proporcionada y dinámica.

Mongolfiera

El informe pone de relieve que la IA atraviesa múltiples horizontes normativos. Un mismo caso de uso puede activar simultáneamente normas financieras, de protección de datos, de ciberseguridad o de competencia. El riesgo es doble: un exceso de cargas regulatorias puede frenar la innovación, mientras que un vacío normativo puede dejar desprotegido al consumidor y al mercado. De ahí la insistencia del Parlamento en la necesidad de clarificaciones, guías comunes, criterios operativos y convergencia supervisora, articuladas sobre un principio de proporcionalidad que gradúe las exigencias en función de los usos y de sus impactos.

El documento también anima a explorar activamente el potencial de las herramientas basadas en IA en distintos segmentos del sector financiero, como la intermediación, la gestión de carteras o la automatización de funciones de cumplimiento normativo. Esta exploración se vincula a los objetivos estratégicos de la Unión de Ahorro e Inversión y exige un marco regulatorio tecnológicamente neutro, capaz de integrar la innovación sin generar distorsiones en la competencia.

En esta línea, el informe recomienda reducir las barreras de entrada para las iniciativas de innovación financiera basadas en IA dentro de la Unión. Propone, entre otras medidas, la simplificación de los procedimientos de autorización, el apoyo al escalado transfronterizo y la integración de estas iniciativas en espacios de innovación supervisada. Asimismo, sugiere evaluar el valor añadido de entornos de pruebas regulatorios específicos para IA, así como de centros de innovación y mecanismos de experimentación transfronteriza, con el objetivo de facilitar el ensayo de nuevos productos y servicios sin comprometer la protección del consumidor ni la integridad del mercado.

Una atención particular se dedica a los fundamentos técnicos. El dato se identifica como insumo crítico, exigiéndose calidad, trazabilidad, representatividad, control de sesgos y pleno cumplimiento de la normativa de protección de datos. La gestión de modelos ocupa igualmente un lugar central: validación independiente, documentación clara, explicabilidad suficiente, pruebas periódicas, control de cambios y gestión de incidentes se configuran como elementos esenciales para reducir el riesgo de modelo y facilitar la auditoría.

La ciberseguridad constituye otro pilar del enfoque propuesto. Los sistemas de IA introducen nuevas superficies de ataque y riesgos específicos —como el envenenamiento de datos, la extracción de modelos o el fraude aumentado por IA— que obligan a reforzar controles, clasificar activos, realizar pruebas realistas y coordinarse estrechamente con terceros. La resiliencia operativa y la continuidad de negocio se presentan como requisitos indisociables del despliegue responsable de la IA en el sector financiero.

El informe subraya, finalmente, el papel clave de las autoridades europeas y nacionales de supervisión. Estas deben emitir orientaciones armonizadas, compartir buenas prácticas, coordinar pruebas y reforzar sus competencias internas, invirtiendo en herramientas y capacidades técnicas. Esta cooperación contribuye a reducir asimetrías, aumentar la seguridad jurídica y fortalecer la confianza en el sistema.

En conclusión, la propuesta de Resolución del Parlamento Europeo traza una hoja de ruta clara para una innovación financiera basada en inteligencia artificial que sea competitiva, segura y responsable. Sin imponer soluciones cerradas, orienta la acción regulatoria futura hacia un equilibrio exigente entre impulso tecnológico y protección de los valores fundamentales del mercado financiero europeo, situando la proporcionalidad, la coherencia normativa y la resiliencia como ejes vertebradores de ese proceso.

 

 

 

 

Ciber contaminación. Navegación y espacios de datos. Actualización, unos años después

Posted on por

Sobre este tema escribimos hace 8 años.Aquella entrada (aquí) sigue encajando en la realidad actual. Pero, corresponde actualizarla:

Centros de datos, inteligencia artificial y sostenibilidad: una actualización necesaria

La infraestructura física que sostiene la economía digital —centros de datos, redes de transmisión y sistemas de almacenamiento— se ha convertido en un elemento estructural del desarrollo económico contemporáneo. Sin embargo, buena parte de los análisis divulgativos que circularon entre 2015 y 2018 han quedado obsoletos, tanto en cifras como en el enfoque, a raíz de dos factores convergentes: la expansión acelerada de la computación en la nube y, especialmente, el despliegue masivo de inteligencia artificial intensiva en cálculo.

Nuevas cifras y nuevo contexto energético

Los estudios recientes permiten ofrecer hoy una imagen más precisa.

  • En 2024, el consumo eléctrico global de los centros de datos se situó en torno a 415 TWh, aproximadamente un 1,5 % del consumo mundial de electricidad, con previsiones de crecimiento que apuntan a una cifra cercana a 945 TWh en 2030 si se mantiene el actual ritmo de despliegue, impulsado principalmente por centros optimizados para entrenamiento y operación de modelos de IA (International Energy Agency (IEA), Data Centre Energy Use: Critical Review of Models and Results, 2025). Este aumento no implica necesariamente un crecimiento lineal de las emisiones, pero sí introduce un riesgo sistémico.
  • En ausencia de mejoras sustanciales de eficiencia energética y de una descarbonización efectiva del mix eléctrico, los centros de datos y las redes asociadas podrían representar entre el 1 % y el 3 % de las emisiones energéticas globales a mediados de la próxima década, en escenarios que los acercan, por volumen agregado, a sectores tradicionalmente intensivos como la aviación (Carbon Brief, AI: five charts that put data centre energy use and emissions into context, 2024).
Localización, redes eléctricas y consumo de agua
  • El debate actual ya no se limita a cuánto consumen los centros de datos, sino dónde se localizan y cómo se integran en los sistemas energéticos. Muchos centros de nueva generación superan los 100 MW de potencia instalada, y algunos proyectos de “campus de IA” se diseñan a escalas que obligan a reforzar infraestructuras de transporte y distribución eléctrica, generando tensiones en redes locales y regionales (Data Center Dynamics, IEA: data center energy consumption set to double by 2030, 2024).
  • A ello se añade el consumo de agua asociado a los sistemas de refrigeración de alta densidad de cálculo. La disponibilidad hídrica, junto con el acceso a energía renovable y la menor congestión de red, se ha convertido en un criterio central de localización, con efectos relevantes en la planificación territorial y en las políticas industriales, particularmente en la Unión Europea (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).
De la “huella digital” individual al consumo agregado
  • La literatura divulgativa de hace unos años (como la referenciada en la mencionada  antigua entrada DerMerUle)  tendía a sobredimensionar el impacto climático de gestos individuales —como enviar correos electrónicos o realizar búsquedas— mediante comparaciones llamativas pero técnicamente imprecisas. Los análisis más recientes recomiendan desplazar el foco hacia el consumo agregado de servicios digitales, en particular el streaming de vídeo, el almacenamiento masivo en la nube y, cada vez más, el uso intensivo de IA (European Climate Pact, Going digital: good or bad for the climate?, 2025,).
  • Ello no vacía de contenido la dimensión pedagógica del debate. El almacenamiento ilimitado de datos y la ausencia de políticas de depuración contribuyen a mantener infraestructuras permanentemente activas. Su impacto es marginal a nivel individual, pero no neutro en términos agregados, lo que enlaza las decisiones de uso digital con las estrategias de reducción de la huella de carbono tanto personales como corporativas.
Gobernanza, sostenibilidad y reporting
  • La huella ambiental de los centros de datos se ha incorporado de forma estable a la agenda de la doble transición verde y digital. La Comisión Europea los identifica como infraestructuras intensivas en energía que deben alinearse con los objetivos del Pacto Verde, mediante eficiencia energética, uso creciente de renovables y obligaciones reforzadas de información sobre consumo de energía, agua y emisiones (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).
  • Para las empresas usuarias de servicios en la nube, estas exigencias tienen consecuencias directas: la selección de proveedores, la localización de los centros de datos y la contratación de servicios de computación “verde” forman ya parte de la gestión ESG y de la responsabilidad ambiental corporativa (World Economic Forum, Data centres and energy demand, 2025)
Implicaciones de Derecho Societario  y de Derecho de la competencia
  • Desde una perspectiva de Derecho mercantil, el impacto ambiental de los centros de datos y de la IA deja de ser una cuestión reputacional para integrarse en el núcleo de los deberes de diligencia de los administradores. La planificación tecnológica, la externalización de servicios en la nube y la elección de infraestructuras digitales forman parte hoy de las decisiones estratégicas de la empresa y deben evaluarse a la luz de los riesgos regulatorios, energéticos y de sostenibilidad, especialmente en contextos de reporting no financiero y de diligencia debida en materia ESG.
  • Al mismo tiempo, el fenómeno plantea retos relevantes desde el Derecho de la competencia. La concentración territorial de grandes centros de datos, el acceso preferente a energía barata o renovable y las economías de escala asociadas a la IA pueden reforzar posiciones dominantes, elevar barreras de entrada y condicionar la competencia efectiva en mercados digitales y de servicios en la nube. La sostenibilidad, en este contexto, no es solo un objetivo ambiental, sino también un factor estructural de competencia que exige atención por parte de autoridades regulatorias y de la defensa de la competencia.

 

 

Industria de Defensa. Reglamento Europeo del rearme y de la financiación de tecnologías de doble uso

Posted on por

El Reglamento (UE) 2025/2653 del Parlamento Europeo y del Consejo, de 17 de octubre de 2025 introduce modificaciones en  en varios reglamentos sectoriales de la UE para integrar la política industrial de defensa en el núcleo de los programas de financiación existentes. Se trata de un importante paso para implementar el Plan “ReArmar Europa”.

  • Entre las normas afectadas por esta reforma se encuentran el Reglamento (UE) 2021/694, que establece el programa Europa Digital; el Reglamento (UE) 2021/695, que crea Horizonte Europa; el Reglamento (UE) 2021/697, relativo al Fondo Europeo de Defensa; el Reglamento (UE) 2021/1153, que establece el Mecanismo «Conectar Europa»; y el Reglamento (UE) 2024/795, que pone en marcha la Plataforma de Tecnologías Estratégicas para Europa (STEP).

En el actual contexto caracterizado por el deterioro geopolítico, el incremento del gasto en defensa y las dificultades de acceso a financiación para la industria del sector, la finalidad transversal de estas modificaciones es movilizar tanto inversión pública como privada hacia capacidades militares y tecnologías de doble uso.  Es decir, que la política de defensa europea no dependa exclusivamente de esfuerzos nacionales aislados, sino que se articule de manera coordinada y estratégica en el conjunto de los grandes programas comunitarios.

El núcleo del Reglamento reside en la ampliación de la Plataforma de Tecnologías Estratégicas para Europa, que hasta ahora cubría tres ámbitos estratégicos —transición digital y deep tech, tecnologías limpias y biotecnologías—.  Ahora se se incorpora un cuarto sector específico de “tecnologías de defensa”.

  • Este sector se define por referencia a los productos relacionados con la defensa y a las tecnologías necesarias para su desarrollo, según los criterios establecidos por la Directiva 2009/43/CE sobre transferencias intracomunitarias de productos de defensa.
  • Asi, se permite ahora que los proyectos de defensa puedan beneficiarse del “sello STEP”, de la priorización en la evaluación y de ventajas de cofinanciación, abarcando iniciativas que impliquen capacidades intensivas en datos, infraestructuras avanzadas de computación o “gigafactorías de inteligencia artificial” susceptibles de aplicación militar. Esta ampliación refleja un cambio sustancial en la orientación de la política industrial europea, al vincular la innovación tecnológica avanzada con necesidades estratégicas de defensa en el marco de los programas comunitarios existentes.

Zamora, vista allén del río

De manera complementaria, el Reglamento introduce una excepción significativa en el programa Horizonte Europa. Mientras que el artículo 7, apartado 1, del , todavía vigente, Reglamento (UE) 2021/695 consagra el carácter civil de las actividades financiadas, el nuevo texto permite, con carácter excepcional y estrictamente acotado, que el Acelerador del Consejo Europeo de Innovación apoye innovaciones con posibles aplicaciones de doble uso. Esta medida habilita la financiación mediante instrumentos de capital a pymes, start‑ups y small mid‑caps del sector de la defensa que desarrollen tecnologías consideradas fundamentales para este ámbito, asegurando al mismo tiempo la complementariedad con el Fondo Europeo de Defensa y otros instrumentos financieros de la Unión, como InvestEU.

El Reglamento refuerza asimismo las salvaguardas de seguridad y el control de acceso para los proyectos de doble uso. En determinadas convocatorias, las normas de admisibilidad y selección pueden limitar la participación a entidades establecidas en Estados miembros y, de forma limitada, en algunos países asociados, excluyendo empresas controladas por terceros países no asociados cuando ello sea necesario para proteger los intereses estratégicos y de seguridad de la Unión. La Comisión queda obligada a supervisar el uso de esta “excepción de defensa” dentro de Horizonte Europa, recopilando y comunicando información sobre los proyectos afectados sin generar nuevas cargas administrativas para los beneficiarios, lo que garantiza una gestión controlada y transparente de los recursos públicos destinados a la innovación estratégica.

Además, las modificaciones introducidas en Europa Digital, el Fondo Europeo de Defensa y el Mecanismo «Conectar Europa» completan esta lógica de integración, facilitando que programas originalmente concebidos para la digitalización, la investigación y desarrollo civil o las infraestructuras de transporte y energía puedan apoyar de manera efectiva capacidades críticas con relevancia militar o de doble uso. Entre estas capacidades destacan infraestructuras esenciales para la movilidad de fuerzas, la resiliencia energética y la seguridad de las comunicaciones, que se vuelven estratégicas en el marco del Plan ReArmar Europa.

Este Reglamento (UE) 2025/2653 constituye una pieza central de coordinación y planificación presupuestaria, trasladando la política de defensa desde un enfoque estrictamente nacional hacia una estrategia industrial europea integrada, que articula los grandes instrumentos de financiación de la Unión para responder a desafíos geopolíticos y tecnológicos contemporáneos.

Hacia la simplificación del ordenamiento europeo de sociedades y ESG

Posted on por

Riaño, by Ricardo Castellanos Blanco

La creciente densidad del acervo europeo en materia financiera, societaria y de sostenibilidad ha generado una preocupación creciente por la complejidad y los costes de cumplimiento asociados. En sus recientes comunicaciones e informes sobre simplificación, la COMISIÓN EUROPEA viene anunciando que está sometiendo la legislación vigente a revisión para detectar acumulaciones regulatorias, racionalizar obligaciones y garantizar que las normas sigan siendo proporcionadas y adecuadas a sus fines . Véase, por ejemplo, la Comunicación «Una normativa de la UE más sencilla, eficaz y preparada para el futuro», COM(2025) 47 final, y el Informe sobre simplificación, aplicación y cumplimiento, COM(2025) 871 final). Cada comisario ha asumido, en este contexto, un mandato específico de revisión de su cartera normativa, con prioridad en aquellos ámbitos en los que empresas y partes interesadas perciben mayor carga administrativa, de modo que los resultados de este escrutinio alimentan tanto futuras iniciativas de reforma como sucesivos paquetes “ómnibus” orientados a corregir disfunciones y solapamientos.

Tanto el denominado Informe Draghi sobre competitividad europea (M. Draghi, «The future of European competitiveness. A competitiveness strategy for Europe (Part A)», Informe para la Comisión Europea, 9.9.2024) como la Declaración de Budapest en favor de un nuevo pacto para la competitividad (CONSEJO DE LA UE, “Declaración de Budapest sobre el Nuevo Pacto para la Competitividad Europea”, Comunicado de prensa 838/24, 8.11.2024) han contribuido a reforzar esta orientación, al reclamar una “revolución de la simplificación” y un marco normativo más predecible y menos oneroso, en particular para las pymes.

En este marco, la reforma conocida como Ómnibus I, articulada a través de una Propuesta de Directiva que modifica, entre otros instrumentos, la Directiva sobre información corporativa en materia de sostenibilidad (Directiva (UE) 2022/2464 del Parlamento Europeo y del Consejo, relativa a la información corporativa sobre sostenibilidad, “CSRD”) y la Directiva sobre diligencia debida en materia de sostenibilidad empresarial (Directiva (UE) 2024/1760 del Parlamento Europeo y del Consejo, sobre diligencia debida de las empresas en materia de sostenibilidad, “DDD”), se inserta en una estrategia explícita de simplificación para reducir la carga administrativa asociada a las obligaciones ESG de las empresas europeas (Propuesta de Directiva por la que se modifican las Directivas 2006/43/CE, 2013/34/UE, (UE) 2022/2464 y (UE) 2024/1760 en lo que respecta a determinados requisitos de presentación de información corporativa y de diligencia debida de las empresas en materia de sostenibilidad, COM(2025) 81 final).

Ómnibus I puede leerse como una reacción ponderada, aunque no exenta de controversia, frente a la centralidad adquirida por la sostenibilidad en la agenda regulatoria europea, entendida en los últimos años como un vector destinado a reorientar las prioridades de las sociedades mercantiles combinando la obtención de beneficios económicos, con objetivos ambientales, sociales y de buen gobierno (ESG)

  • En el ámbito de la información sobre sostenibilidad, la propuesta reduce de forma sustancial el universo de empresas obligadas elevando los umbrales de entrada, de manera que solo queden plenamente sometidas sociedades de gran dimensión —por encima de determinados niveles de plantilla y facturación— incluidas ciertas filiales y sucursales de grupos de terceros países con actividad relevante en la Unión (conforme a los nuevos umbrales que introduce la Propuesta COM(2025) 81 final al modificar la Directiva 2013/34/UE y la Directiva (UE) 2022/2464).
  • Paralelamente, se simplifican los contenidos de la información que deben elaborar las empresas, se flexibilizan determinados estándares sectoriales, se introduce un modelo optativo para la comunicación del grado de alineación con el Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo, de 18 de junio de 2020, relativo a la taxonomía de actividades sostenibles (“Reglamento de Taxonomía”), y se refuerzan salvaguardias destinadas a evitar el traslado indirecto de obligaciones hacia empresas de menor tamaño a través de la cadena de valor.
  • Se acompaña de medidas de apoyo institucional —como portales digitales con orientaciones y plantillas armonizadas— y de una reprogramación temporal que difiere la plena aplicación del nuevo marco, con el objetivo declarado de ofrecer flexibilidad y permitir una adaptación progresiva, en especial para empresas intermedias o en transición

La reforma proyecta efectos relevantes también sobre el régimen de diligencia debida en materia de sostenibilidad, que pasa a concentrarse en un número más reducido de empresas de gran dimensión, modulando el alcance de la identificación y gestión de riesgos ambientales y sociales, suavizando ciertas consecuencias jurídicas —incluido el régimen sancionador— y precisando las cadenas de relaciones comerciales a las que debe extenderse el deber de vigilancia, mediante las modificaciones introducidas sobre la Directiva (UE) 2024/1760 por la Propuesta COM(2025) 81 final. En paralelo, algunas posiciones nacionales, como la del Bundesrat alemán (BUNDESRAT, “Beitrag des Deutschen Bundesrats zur Überarbeitung der Europäischen Standards zur Nachhaltigkeitsberichterstattung und der CSDDD”, 2025), reclaman una clarificación adicional del perímetro de las obligaciones de diligencia y del contenido de los estándares materiales aplicables, así como la necesidad de directrices uniformes sobre responsabilidad civil para evitar divergencias interpretativas que podrían generar inseguridad jurídica y distorsiones competitivas dentro del mercado interior.

Con todo, aunque el propósito explícito de estas modificaciones es reforzar la proporcionalidad regulatoria, reducir costes de cumplimiento y preservar la competitividad de las empresas europeas, el sentido de la reforma no está exento de ambivalencias. La elevación de umbrales, la reducción del detalle informativo y el recurso a modelos voluntarios en ámbitos clave pueden traducirse, según advierten diversos sectores académicos, organizaciones ambientales y actores de la sociedad civil, en una pérdida de densidad evaluativa, una menor trazabilidad de impactos y un debilitamiento de los incentivos para integrar de forma sustantiva la sostenibilidad en la estrategia corporativa y en los sistemas de gobernanza. En este sentido, la propuesta  Ómnibus I refleja una opción de política económica que prioriza la reducción de cargas y la estabilidad competitiva frente al impulso transformador que caracterizó las fases iniciales de la agenda europea de sostenibilidad, de manera que su efectividad real dependerá, en última instancia, de cómo empresas y supervisores consigan equilibrar esa simplificación normativa con la preservación de los objetivos ambientales y sociales a medio y largo plazo (tal y como han subrayado diversas valoraciones críticas del paquete, tanto institucionales como académicas).

En cuanto a Ómnibus II,  COMISIÓN EUROPEA: Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2015/1017, (EU) 2021/523, (EU) 2021/695 and (EU) 2021/1153 as regards increasing the efficiency of the Union guarantee under Regulation (EU) 2021/523 and simplifying reporting requirements, COM(2025) 84 final, Bruselas, 2025; modifica —como parte del paquete Omnibus II— el marco normativo que rige el programa InvestEU y otros instrumentos relacionados con la garantía de la UE para facilitar la movilización de inversiones, simplificar requisitos de reporte y reducir cargas administrativas para implementar inversiones estratégicas.

 

«Aprender Derecho Mercantil de los Negocios Internacionales, y aprender a emprender en un mundo hiperglobal»

Posted on por

Aula 4. Facultad de CC Económicas y Empresariales. Universidad de León 

II SEMINARIO INTERNACIONAL PERSPECTIVAS SOBRE EL COMERCIO INTERNACIONAL ACTUAL  

Edición 2025: «Aprender Derecho Mercantil de los Negocios Internacionales, y aprender a emprender en un mundo hiperglobal». 

Inscripciones *(y conexión online) Sara Ranz Ortego sararanz@reicaz.com

 

 

PRESENTACIONES (viernes 12 y viernes 19. 12.2025)

Viernes 12.12.2025.- Innovación docente para el emprendimiento en Comercio Internacional.

  • 16:00 Abordar una segunda edición del seminario internacional.- María Angustias Díaz Gómez.- Catedrática de Derecho Mercantil. Universidad de León.
  • 16:45. Aprender, innovar y emprender en comercio internacional . Dr. mult. D. H. C. Alfonso Ortega Giménez. Universidad Miguel Hernández de Elche (UMH)
  • 17:00 Innovación docente: Lo que queda por hacer, señoras y señores alumnos de Derecho de Los Negocios Internacionales. Elena Pérez Carrillo. Profesora Titular de Derecho Mercantil Universidad de León. Formulación de ejercicios para el público asistente.
  • 17:30- 18:30 Trabajo en equipos. Proyectos de emprendimiento. Desde la ULE

 

Viernes 19.12.2025.- Negocios Internacionales Problemas jurídicos explicados a los no juristas interesados en emprender

  • 16:00 El comercio internacional: un negocio global y regional  en la práctica del aula. Prof. Elena Pérez Carrillo. Profesora de Derecho Mercantil. Universidad de León. España
  • 16:20 Las empresas familiares ante el comercio exterior: retos y fortalezas. Dr.  Elicio Díaz Gómez. Profesor de Derecho Mercantil. Universidad de León. España
  • 16:40 Redes y colaboraciones comerciales para un comercio más justo. Dr. Javier Mateo Oyague. Catedrático de Tecnología de los Alimentos y Director del Grupo de Comercio Justo. Universidad de León. España
  • 17:00. Abordar los aspectos jurídicos desde la técnica del comercio. Prof Sara Ranz. Profesora de Derecho de la Empresa. UNED

Conexiones: Visión internacional del aprendizaje jurídico para emprender en comercio internacional (* conexión asíncrona/ síncrona). Se subirá a Moodle sólo esta parte

  • 18:00 Empresas peruanas, negocios internacionales con el Pacífico y la Unión Europea. – Dr. Edison Tabra Ochoa. Pontificia Universidad Católica. Perú
  • 18: 15. Negocios internacionales desde el Atlántico Sur. Dr. Beatriz Bugallo. Universidad de la República (UDELAR) Montevideo. Uruguay
  • 18:30. Relaciones comerciales de la Unión Europea con los países del Pacífico Sur. Don Carlos Pérez Padilla. Comisión Europea. Bruselas
  • 18:45. Una alternativa diferente de trabajo trasfronterizo : el investigador universitario. Prof Dra Ana Castro Franco. Prof. Ayudante Doctor e Investigadora postdoctoral internacional

El II Seminario Internacional “Perspectivas sobre el Comercio Internacional Actual”, edición 2025 titulada “Aprender Derecho Mercantil de los Negocios Internacionales, y aprender a emprender en un mundo hiperglobal”, se desarrolla como actividad académica del Grupo de Innovación Docente DerMerUle de la Universidad de León, con apoyo de las Facultades de Ciencias Económicas y Empresariales y de Derecho. El proyecto promueve la reflexión colectiva sobre metodologías de enseñanza del Derecho del Comercio para alumnado no jurista con especialización en Comercio Internacional, en un marco de cooperación e intercambio académico que permite contrastar experiencias formativas y fortalecer vínculos entre universidades. Esta segunda edición aporta una visión de innovación docente orientada al espíritu emprendedor, promoviendo enfoques interdisciplinarios, prácticos y vinculados a la realidad empresarial.

Comité científico: Profesor Dr , Dr HC. Luis Velasco. Catedrático de Derecho Mercantil. Profesora Dra. María Angustias Díaz. Catedrático de Derecho Mercantil. Profesor Javier Mateo, Catedrático de Tecnología de los Alimentos. Profesor Dr. Juan Lanero. Profesor Titular de Filología Inglesa. Profesor Dr. Roberto Fernández. Profesor Titular de Derecho del Trabajo y de la Seguridad Social. Profesor Bernardo García Angulo. Profesor Asociado de Derecho Mercantil. Secretaría. Elicio Díaz Gómez. Coordinación Elena Pérez Carrillo.

Inscripciones Sara Ranz Ortego sararanz@reicaz.com

Litigios medioambientales, gestión de riesgos de inversión y responsabilidad de gestores de fondos

Posted on por

¿El deber de vigilancia ambiental forma parte del deber general de atención, diligencia y cuidado de los gestores de fondos de pensiones?

Algunas decisiones judiciales apuntan a que en el ámbito de la gestión de activos, los gestores de fondos estarían obligados a incorporar en sus decisiones de inversión una evaluación diligente de los riesgos medioambientales relevantes —incluidos los vinculados a contaminación, pérdida de biodiversidad, deterioro de ecosistemas, estrés hídrico, transición hacia fuentes de energía renovables o impactos derivados del cambio climático—. Esta consideración no constituiría una opción estratégica, sino parte del deber profesional de identificar, medir y gestionar los riesgos que pueden afectar al valor de los activos y a los intereses de los partícipes.

En consecuencia, cuando un gestor omite —de manera injustificada— el análisis de los riesgos ambientales, o no adopta medidas razonables para integrarlos en los procesos de inversión y de gestión del riesgo, se expone a reclamaciones tanto contractuales como extracontractuales por parte de quienes se hallen afectados por las consecuencias negativas de la falta de atención negligente o, incluso, dolosa.

Dichas reclamaciones pueden basarse en la infracción de los estándares de diligencia profesional; en el incumplimiento de políticas declaradas y autoasumidas frente a los inversores; o incluso, en la generación de perjuicios derivados de decisiones de inversión que ignoraron factores medioambientales materialmente relevantes. De este modo, la perspectiva ambiental no solo condiciona la calidad técnica de la gestión, sino que delimita el ámbito de responsabilidad del gestor.

Plaza de Santo Domingo, León. R Castellanos Blanco

En Australia, el asunto McVeigh v. Retail Employees Superannuation Trust – settlement agreement (explicado aqui ) es significativo

La gestora del fondo de pensiones Retail Employees Superannuation Trust (REST), con un volumen de activos gestionados de 50.000 millones de dólares australianos, fue demandada por incumplimiento de su deber de diligencia al no incorporar consideraciones sobre cambio climático en su estrategia de inversión. El caso se resolvió en noviembre de 2020 con un acuerdo  que tenía en cuenta las aspiraciones del demandante: A raíz del litigio, REST emitió un comunicado reconociendo que el cambio climático constituye un riesgo financiero material, y se comprometió a alcanzar emisiones netas cero para 2050, así como a garantizar que sus gestores de inversión “adopten medidas activas para considerar, medir y gestionar los riesgos financieros derivados del cambio climático y otros riesgos ESG relevantes”.

En el Reino Unido, el asunto McGaughey & Davies v. Universities Superannuation Scheme Limited muestra otra interesante vertiente, pese a que las aspiraciones de los demandantes no tuvieron éxito:En octubre de 2021, los beneficiarios del fondo de pensiones University Superannuation Scheme (USS) presentaron una reclamación contra los administradores de la sociedad gestora del fondo. El argumento principal fue que la decisión de éstos de continuar invirtiendo en combustibles fósiles, pese a reconocer que el cambio climático constituye un riesgo financiero sustancial para la rentabilidad, es un incumplimiento del deber fiduciario. Este caso fue desestimado por motivos procesales en mayo de 2022 y, posteriormente, en julio de 2023, el Tribunal de Apelación confirmó la desestimación total de la demanda.

En Corea del Sur, el asunto Kim Min et al. v. Kim Tae‑Hyun et al., (Seoul Central District Court, 20 de junio de 2025), treinta y cinco partícipes del National Pension Service (NPS) interpusieron una demanda contra el consejero delegado, el director   y la auditora  por una supuesta vulneración de sus deberes fiduciarios en la gestión del mayor fondo público surcoreano. Los demandantes sostenían que los directivos habían incumplido su deber de abordar adecuadamente los riesgos climáticos, en particular al no aplicar la política de eliminación progresiva del carbón anunciada por el propio NPS en 2021 (coal phase-out declaration). Solicitaban una indemnización de 20.500.000 KRW alegando perjuicios financieros y afectación a su salud derivada de la persistencia de inversiones en empresas altamente emisoras.

El tribunal desestimó íntegramente la demanda. Consideró que la declaración de 2021 constituía una manifestación programática sin fuerza jurídica vinculante y que ni la Carbon Neutrality Act ni la Act on the Management of Public Institutions imponían obligaciones ejecutables de retirada inmediata de inversiones en combustibles fósiles. Asimismo, afirmó que los directivos del NPS gozan de un amplio margen de discrecionalidad para gestionar el fondo conforme a los principios de estabilidad y rentabilidad establecidos en las NPS Fund Management Guidelines, de modo que la continuidad de las inversiones en KEPCO resultaba compatible con esos criterios. El tribunal concluyó también que los demandantes no habían demostrado daños financieros efectivos ni un nexo causal suficiente que permitiera vincular supuestos impactos en la salud con las decisiones de inversión del fondo.

Pese a desestimar las pretensiones, la sentencia ofrece orientaciones relevantes sobre el estatuto fiduciario del NPS en materia ESG. El tribunal reconoció que, conforme a las NPS Fund Management Guidelines y al Stewardship Code aplicable al fondo, los gestores tienen un deber institucional de promover inversiones responsables que integren factores ambientales, sociales y de buen gobierno. Además, dejó claro que, de haberse adoptado decisiones que vaciasen de contenido práctico la declaración de eliminación del carbón o que hubieran generado pérdidas previsibles contrarias a los principios de gestión prudente del fondo, podría haberse configurado un incumplimiento fiduciario susceptible de responsabilidad

Del Parque Quevedo, León. By R Castellanos Blanco

Por lo que respecta a la situación en la UE.  En el marco europeo vigente, no existe un deber uniforme que imponga siempre y en cualquier circunstancia a los gestores de fondos la integración de factores medioambientales, pero tampoco puede sostenerse que dicho deber se limite exclusivamente a los fondos etiquetados como verdes o sostenibles. los fondos sostenibles están sujetos a un deber específico y reforzado de integración de factores ambientales, mientras que los fondos no sostenibles están sujetos a un deber general de integrar los riesgos medioambientales cuando tengan relevancia financiera.

  • En los fondos clasificados conforme al Reglamento sobre divulgación de finanzas sostenibles (SFDR), concretamente los artículos 8 y 9, sí opera un deber explícito y reforzado: los gestores deben integrar factores ambientales en la selección de inversiones, en la gestión del riesgo y en la información divulgada, asegurando la coherencia entre la estrategia del fondo, los objetivos anunciados y los compromisos ambientales asumidos. En este contexto, el incumplimiento puede generar responsabilidad por prácticas de venta inadecuadas, por greenwashing o por infracciones de las obligaciones de información.
  • En los fondos convencionales, no sostenibles, el panorama es distinto. Las reformas introducidas en la Directiva sobre mercados de instrumentos financieros (MiFID II), en la Directiva sobre organismos de inversión colectiva en valores mobiliarios (UCITS) y en la Directiva sobre gestores de fondos de inversión alternativos (AIFMD) han incorporado la evaluación de los riesgos de sostenibilidad como parte del deber general de gestión diligente del riesgo. Ello significa que, aunque estos fondos no estén obligados a perseguir objetivos ambientales, sus gestores sí deben considerar los riesgos medioambientales cuando sean financieramente materiales, es decir, cuando puedan afectar al valor, la liquidez, la exposición o la volatilidad de los activos en cartera. Se trata de un deber financiero, no ideológico: ignorar riesgos ambientales claramente relevantes —como la exposición a activos intensivos en carbono en pleno proceso regulatorio de transición energética— puede dar lugar a reclamaciones por infracción del deber de diligencia profesional.

Con todo, en Estados Unidos, se han producido movimientos significativos para negar la exigencia de cuidado medioambiental a los gestores.

  • Algunas decisiones apuntan a que éstos deben primar la rentabilidad por encima de otras consideraciones. En Wong v. New York City Employees’ Retirement System. 2024-05062, N.Y. App. Div.  trabajadores de Nueva York reclamaron contra el New York City Employees’ Retirement System y otros dos fondos de pensiones, alegando que los gestores de fondos vulneraron sus deberes fiduciarios al desinvertir en activos de combustibles fósiles que resultarían más rentables (la demanda fracasó al no poder demostrar la existencia de pérdida.
  • En el asunto Spence v. American Airlines, Inc. (United States District Court for the Northern District of Texas, 2023), el tribunal federal declaró que American Airlines y su Employee Benefits Committee habían vulnerado el deber de lealtad impuesto por la Employee Retirement Income Security Act of 1974 (ERISA) al permitir que consideraciones corporativas vinculadas a objetivos ambientales, sociales y de gobernanza (ESG), así como los intereses ESG de su gestor externo, influyeran en la gestión de los planes de pensiones de los empleados. Sin embargo, ocho meses después de dicho pronunciamiento, el tribunal rechazó las pretensiones indemnizatorias del demandante al no haberse acreditado pérdidas económicas efectivas sufridas por los planes. Y estimó necesario imponer medidas de carácter estrictamente equitativo para garantizar el cumplimiento futuro de los estándares de ERISA. El tribunal dictó una injunction permanente que prohíbe a los demandados “permitir cualquier voto por delegación (proxy voting), propuestas de accionistas u otras actividades de stewardship en nombre del plan que estén motivadas por fines no pecuniarios, incluidos —aunque no exclusivamente— los objetivos ESG que no respondan al interés financiero exclusivo de los partícipes y beneficiarios”. Asimismo, ordenó la designación de dos miembros independientes del Employee Benefits Committee, sin vínculos con administradores, asesores o gestores de activos del plan. También impuso la obligación de emitir una certificación anual a los partícipes del plan declarando que tanto el comité como los gestores de activos “perseguirán única y exclusivamente objetivos de inversión basados en el rendimiento financiero demostrable, y no en criterios ESG, de sostenibilidad u otros factores no financieros”, y que los votos por delegación se ejercerán “solo para maximizar los rendimientos financieros a largo plazo de las inversiones, sin atender a criterios ajenos a dicho interés pecuniario”. Además, la compañía debe publicar información sobre su eventual participación en organizaciones dedicadas a objetivos relacionados con DEI, ESG o clima —como UN PRI, Net Zero Asset Managers Initiative o Ceres Investor Network— e incluir enlaces a los términos y condiciones de dichas adhesiones.

En conjunto, los litigios muestran el papel crítico de los gestores de activos en la transición energética y la divergencia creciente entre distintas jurisdicciones respecto a la consideración de riesgos climáticos y la adopción de medidas ESG en la gestión de activos y la gobernanza corporativa.

La cuenca del río Klamath en varias disputas medioambientales con la Endangered Species Act como telón de fondo.

Posted on por

La cuenca del río Klamath, situada en EEUU, entre Oregón y California, constituye uno de los ejemplos más complejos de gestión hídrica en Estados Unidos.

 

Es una cuenca que atraviesa terreno caracterizado por sequías recurrentes, infraestructura hidráulica histórica y conflictos entre irrigadores, comunidades indígenas y autoridades federales.

Durante más de dos décadas, la  confluencia de intereses sobre esa zona ha sido objeto de conflictos y de litigios, con la Endangered Species Act (ESA), ley federal de EEUU, desempeñando un papel central.

 

En torno al paso del río Klamath confluyen usuarios agrícolas, comunidades indígenas —como las Klamath Tribes, Yurok Tribe o Hoopa Valley Tribe—, que se sirven de las disputadas aguas, transitadas , además, por especies en peligro de extinción.

La autoridad federal encargada de la gestión del agua, el Bureau of Reclamation, supervisa el encaje entre unos y otros, y a menudo debe adoptar decisiones de carácter administrativo.

Las recurrentes sequías, la reducción estructural de caudales y la presencia de especies protegidas (p. ej. Lost River sucker, Shortnose sucker, coho salmon) han obligado, también, a que los tribunales federales evalúen la prioridad entre los derechos de acceso al agua por parte de las poblaciones agrícolas que habitan el cauce;   las obligaciones de conservación reconocidas al amparo de la Endangered Species Act (ESA) y los derechos tribales de los indígenas que cohabitan la región.

Pues bien, reiteradamente, los tribunales han confirmado que deben prevalecer las obligaciones impuestas por la ESA, incluso si ello implica modificar asignaciones de agua previamente concedidas, e incluso en contra del criterio administrativo del Bureau of Reclamation que había hecho valer los derechos de los regantes.

La ESA exige la protección de especies como Lost River sucker (Deltistes luxatus), Shortnose sucker (Chasmistes brevirostris) y salmón coho (Oncorhynchus kisutch). Es la base jurídica para demolir cuatro presas hidroeléctricas —Iron Gate, Copco 1, Copco 2 y J.C. Boyle— en 2024, con  el llamado  Klamath River Renewal Project, el mayor proyecto de demolición de presas  de EE.UU; operación que liberó más de 400 millas de hábitat fluvial y dio inicio a programas de restauración ecológica (inundación) permitiendo el retorno del salmón a zonas históricas de desove tras más de un siglo de bloqueo. La demolición fue apoyada en sede judicial, frente a los derechos que reclamaban los regantes (Klamath Irrigation District v. United States Bureau of Reclamation, 69 F.4th 963; 9th Cir. 2023). (9º Circuito: volumen 69 de Federal Reporter, 4ª serie, pg 963).

En la cuenca, también se disputan ciertos derechos tribales  —como los de las Klamath Tribes, Yurok y Hoopa Valley Tribes—. Los tribunales han confirmado que los derechos de los indígenas prevalecen frente a usos agrícolas, a pesar de lo que el Bureau of Reclamation había mantenido (Yurok Tribe v. U.S. Bureau of Reclamation,No. 1:19-cv-04405,U.S. District Court for the Northern District of California, Order -Sept. 13, 2023).

La zona ha sido escenario de otras reclamaciones por tomas de agua para riego,  “takings” , relacionadas con las restricciones en el uso de agua impuestas para cumplir la ESA.  También ante esta problemática, los tribunales han rechazado reconocer compensaciones a irrigadores, al considerar que los derechos tribales y las obligaciones ambientales prevalecen sobre derechos de uso agrícola.(Klamath Irrigation District v. United States Bureau of Reclamation, 69 F.4th 963 (9th Cir. 2023).

 

Valorización del conocimiento y pruebas de concepto a través de varias Recomendaciones de la UE

Posted on por

La valorización del conocimiento es un proceso mediante el cual se transforma el conocimiento generado en investigación en productos, servicios, soluciones y políticas que aporten valor social y económico a la sociedad.

Expo na Cidade da Cultura (Santiago, 2021)

Las Pruebas de Concepto (PoC) juegan un papel esencial en la innovación, ya que constituyen un instrumento práctico para verificar la viabilidad de la transformación del conocimiento en soluciones aplicables. Permiten testar la efectividad de un modelo, prototipo o herramienta en condiciones controladas, evaluando su utilidad, escalabilidad y adecuación a las necesidades del mercado o de la sociedad.

En el caso de start-ups universitarias, las PoC permiten identificar riesgos legales, regulatorios o tecnológicos y validar soluciones antes de su implementación definitiva. Esto es especialmente relevante en sectores altamente dinámicos, como la inteligencia artificial, la ciberseguridad o la digitalización de servicios, donde los marcos normativos evolucionan rápidamente. Una PoC proporciona evidencia tangible de la aplicabilidad de un marco de gobernanza o un prototipo tecnológico, facilitando la posterior adopción por parte de la start-up, su escalado y la transferencia de conocimiento al mercado. Además, contribuye a generar confianza entre inversores, colaboradores y usuarios, reforzando la sostenibilidad del proyecto.

La integración de PoC en las estrategias de valorización del conocimiento también permite un aprendizaje iterativo y multidisciplinar. La evaluación continua durante la PoC proporciona información crítica sobre la adecuación del modelo de compliance, la interoperabilidad de los sistemas y la efectividad de las medidas de gestión de riesgos. Este proceso de retroalimentación no solo mejora el prototipo o la herramienta evaluada, sino que también fortalece la capacidad institucional de la universidad y de las start-ups para innovar de manera segura y conforme al marco regulatorio vigente. La Recomendación del Consejo destaca que este tipo de experiencias piloto son instrumentos clave para maximizar el impacto social y económico de la investigación, asegurando que los resultados se traduzcan en soluciones concretas y replicables.

Se amplian estas ideas con apoyo en algunas Recomendaciones europeas

Según la Recomendación del Consejo (EU) 2022/2415, este proceso debe implicar la participación de diversos actores, incluyendo universidades, empresas, start-ups, entidades públicas y sociedad civil, y abarcar tanto disciplinas tecnológicas como ciencias sociales, humanidades y artes.

  • Subraya que la transferencia de conocimiento no se limita a la protección de la propiedad intelectual, sino que debe promover su explotación, reutilización y difusión de manera que genere impacto tangible en la sociedad y la economía. Asimismo, destaca la necesidad de fortalecer las estructuras de apoyo, las capacidades y los incentivos para la valorización del conocimiento. Esto incluye fomentar la movilidad entre universidad, empresa y sector público, promover competencias emprendedoras, pensamiento crítico y cultura de transferencia, así como desarrollar sistemas que permitan un aprendizaje entre pares entre regiones, países y actores diversos.
  • Establece principios orientadores para los Estados miembros y la Comisión Europea, que incluyen asegurar que las actividades de investigación y desarrollo financiadas públicamente contemplen un uso amplio de los resultados, maximicen el impacto para la sociedad y definan políticas y prácticas claras de creación de valor. También propone establecer métricas y sistemas de seguimiento y evaluación para las operaciones de valorización del conocimiento, promoviendo incentivos equitativos para investigadores y organizaciones implicadas. Estas medidas buscan garantizar que los resultados de investigación no queden confinados al ámbito académico, sino que se transfieran efectivamente al mercado y a la sociedad.
  • Por último, aunque la Recomendación no es vinculante, insta a los Estados miembros a promover políticas, procesos y prácticas que faciliten la aplicación práctica de la investigación. Asimismo, enfatiza que la valorización del conocimiento debe contribuir a los objetivos de desarrollo sostenible de la Unión Europea y al Pacto Verde Europeo, integrando los resultados científicos y tecnológicos en soluciones útiles para la sociedad y la economía.

Expo. Cidade da Cultura. Santiago de Compostela. 2021–

La Recomendación (UE) 2024/736 de la Comisión Europea establece un Código de buenas prácticas para la participación ciudadana en la valorización del conocimiento, subrayando que el involucramiento activo de los ciudadanos es esencial para acelerar la adopción de soluciones innovadoras y responder a desafíos sociales con equidad y transparencia. Esta participación no solo promueve la co-creación de ideas y tecnologías, sino también fortalece la legitimidad de los procesos de I+D+i al incluir perspectivas diversas de la sociedad. Al integrar estos principios en una PoC, se asegura que la transferencia del conocimiento no sea solo un proceso técnico-jurídico, sino también democráticamente construido.

  • La  Recomendación recomienda invertir en capacitación y desarrollo de competencias para que los investigadores y el personal institucional puedan diseñar y gestionar procesos participativos eficaces. Esto encaja directamente con la dimensión de “gobernanza algorítmica y compliance digital”: la PoC puede contemplar formación interna para los miembros del equipo y para las start-ups piloto, de modo que adquieran herramientas para comprometer a ciudadanos y otros stakeholders.
  • También enfatiza la importancia de incentivar y reconocer la contribución tanto de ciudadanos como de investigadores en los procesos de participación. La PoC proyectada podría incluir un mecanismo simbólico de reconocimiento para los usuarios que participen en los pilotos (informes, visibilidad, coautoría, feedback), reforzando el compromiso y maximizando el valor social generado.
  • Esta Recomendación sugiere, además, la utilización de plataformas digitales human‑centric para facilitar la participación ciudadana de forma inclusiva, lo cual se alinea con el diseño del prototipo mínimo viable: podría incorporar un módulo de feedback ciudadano o de validación social temprana, no solo desde la perspectiva técnica sino también desde la del interés público.
  • Finalmente, resalta que para valorar correctamente el impacto de la participación, es necesario contar con indicadores precisos (cuantitativos y cualitativos) que midan no solo la actividad, sino los resultados y la transformación social. En la PoC se podría definir este marco de evaluación desde el inicio, de forma que se documente cómo las contribuciones ciudadanas han influido en las decisiones de gobernanza, el cumplimiento normativo y la adopción del prototipo.

La Recomendación (UE) 2024/774 de la Comisión, adoptada el 1 de marzo de 2024, promueve un Código de buenas prácticas para fomentar la co-creación entre la industria y el mundo académico como vía clave para la valorización del conocimiento. Este instrumento insta a las instituciones tanto académicas como industriales a construir relaciones sistémicas basadas en intereses comunes, que trasciendan la mera transferencia tecnológica o investigación compartida, y apunten a producir valor conjunto mediante innovación, prototipado y explotación comercial o social.

  • En particular, la Recomendación destaca la importancia de que las organizaciones definan estrategias claras para la co-creación: esto incluye establecer misiones institucionales explícitas, crear equipos y estructuras dedicadas a impulsar la colaboración, y promover intercambios de personal entre empresas y universidades. También recomienda la elaboración de hojas de ruta conjuntas entre industria, academia y otras partes interesadas (autoridades públicas, clusters, start-ups) para identificar desafíos compartidos, alinear objetivos y planificar colaboración a medio y largo plazo.
  • Otro elemento central es la gestión de los activos intelectuales generados en estas colaboraciones. La Recomendación sugiere que, para cada resultado esperado, los socios definan reglas claras sobre propiedad, acceso, explotación o reutilización (“ownership and control”), y elaboren un plan de valorización que detalle los pasos para su explotación conjunta o individual, manteniendo el balance entre intereses públicos y privados. Además, recomienda utilizar mecanismos apropiados para acercar estos resultados al mercado, incluidos fondos de prototipado o mecanismos de co-investigación, así como facilitar la estandarización y la conexión con plataformas de innovación.
  • Para reforzar la co-creación, la Recomendación también propone invertir en infraestructuras conjuntas como hubs de innovación, espacios de testeo compartidos (“testbeds”), líneas piloto y laboratorios de experimentación (living labs), donde tanto académicos como empresas puedan trabajar de forma colaborativa y sustentable. Este tipo de espacios no solo facilita la innovación abierta, sino que también promueve la construcción de confianza, la transferencia de talento y una gestión eficiente de los riesgos.
  • Finalmente, la Recomendación subraya la necesidad de evaluar los impactos de estas colaboraciones mediante métricas conjuntas que combinen indicadores de negocio, sociales y de investigación. Se recomienda acordar criterios de valoración desde el inicio, incluyendo métricas cuantitativas (licencias, software, patentes…) y cualitativas (relaciones de confianza, intercambio de conocimiento, impacto social). Esta evaluación debe permitir una redistribución equitativa del valor generado y ayudar a identificar lecciones para mejorar futuras colaboraciones.

La Recomendación 2023/499 enfatiza que una gestión eficiente de los activos intelectuales es esencial para acelerar la adopción de soluciones innovadoras y para desarrollar nuevos productos, servicios y tecnologías con impacto social. Según la Comisión, esto es clave para afrontar retos como la transición digital y ecológica, y para mantener la autonomía estratégica de la Unión en materia de investigación e innovación.

  • No basta con considerar solo los derechos clásicos de propiedad intelectual (como patentes o derechos de autor); la Recomendación amplía la noción de “activo intelectual” a otros elementos como datos, conocimientos técnicos, prototipos, procesos o software. La idea es que estos activos intangibles se gestionen estratégicamente para crear valor, no solo protegidos, sino también aprovechados y reutilizados de forma sostenible.
  • Para ello, la Recomendación propone que las organizaciones de I+D establezcan estrategias claras para la gestión de estos activos: definir su misión, qué tipo de activos van a generar, cómo se van a usar, quién los va a controlar y cómo se distribuye el valor de esos activos. Esto incluye tener procesos sólidos de “due diligence” para esos activos, así como mecanismos de toma de decisiones transparentes y responsables para su gestión.
  • Además, la Comisión recomienda invertir en capacidades: formación para investigadores y gestores para que sepan cómo gestionar esos activos intelectuales, promover incentivos para que se impliquen en su gestión y que haya una participación consciente y estratégica por parte de las instituciones. También se pide que se garantice una distribución equitativa del valor generado: no solo con reparto de ingresos (por ejemplo, cánones), sino a través del reconocimiento profesional o académico.
  • Por último, la Recomendación urge a que las organizaciones utilicen indicadores de medición del impacto de la gestión de activos intelectuales con métricas claras y desplegables. Se recomienda usar indicadores tanto cualitativos como cuantitativos, que evalúen no solo los ingresos o licencias, sino también el valor social, organizativo o cultural generado por esos activos.

DSA: El TGUE desestima el recurso de Amazon contra la decisión de la Comisión por la que se designó a la plataforma Amazon Store como «plataforma en línea de muy gran tamaño»

Posted on por

El Tribunal General ha dictado sentencia en el asunto T-367/23, Amazon EU contra la Comisión Europea, relativo al Reglamento de Servicios Digitales (DSA). El texto completo de la sentencia de 19.11.2025 se puede consultar aquí.

Como es sabido, el DSA  establece obligaciones específicas para los prestadores de servicios designados como plataformas en línea de muy gran tamaño o motores de búsqueda en línea de muy gran tamaño, cuando superan el umbral de 45 millones de usuarios en la Unión Europea, equivalente aproximadamente al 10 % de la población.

Mediante su recurso basado en el artículo 263 del Tratado de Funcionamiento de la Unión Europea (TFUE), la demandante, Amazon EU Sàrl, sucesora de Amazon Services Europe Sàrl, solicitó la anulación de la Decisión C(2023) 2746 final de la Comisión Europea, de 25 de abril de 2023, por la que se designa a la plataforma Amazon Store como plataforma en línea de muy gran tamaño de conformidad con el artículo 33, apartado 4, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo («Decisión impugnada»). Véase el recurso aqui

Como es sabido, el recurso de anulación permite impugnar actos de las instituciones de la Unión que sean contrarios al Derecho de la Unión. Si se declara fundado, el acto se anula y la institución debe corregir el vacío jurídico resultante.

La decisión impugnada había sido adoptada por la Comisión en el marco del DSA.

I. Antecedentes.

Amazon Store es una tienda en línea de productos de consumo, operada directamente por la demandante o por terceros vendedores, accesible a través de diversos dominios en la Unión Europea, incluidos www.amazon.fr; www.amazon.de; www.amazon.es; www.amazon.it; www.amazon.nl; www.amazon.pl; www.amazon.se; www.amazon.se.

El 17 de febrero de 2023, conforme al DSA, Amazon EU Sàrl comunicó en sus sitios web que el promedio mensual de destinatarios activos en la Unión Europea superaba los 45 millones de usuarios, equivalente aproximadamente al 10 % de la población europea, cumpliendo así los criterios cuantitativos para ser considerada una plataforma de muy gran tamaño.

  • El 22 de febrero de 2023, la Comisión Europea notificó a Amazon.com, Inc. y a la demandante sus conclusiones preliminares, indicando que la plataforma cumplía los requisitos para su designación como plataforma en línea de muy gran tamaño a efectos del artículo 33, apartado 1, del DSA.
  • Simultáneamente, la Comisión informó al Gran Ducado de Luxemburgo, en aplicación del artículo 33, apartado 4, de su intención de designar a Amazon Store como plataforma de muy gran tamaño, y el 27 de febrero de 2023, Luxemburgo manifestó que no tenía observaciones que formular.
  • Posteriormente, el 15 de marzo de 2023, Amazon presentó observaciones sobre las conclusiones preliminares de la Comisión. Y, por fin, mediante la Decisión impugnada, la Comisión designó formalmente a Amazon Store como plataforma en línea de muy gran tamaño.

II. Pretensiones de las partes

La demandante, junto con la Bundesverband E-Commerce und Versandhandel Deutschland eV (bevh), solicitó al Tribunal General, como medida principal, la anulación total de la Decisión impugnada.

Subsidiariamente, planteó la anulación parcial en la medida en que la decisión impone obligaciones específicas, en particular la obligación de ofrecer al menos una opción de cada sistema de recomendación que no se base en la elaboración de perfiles, conforme al artículo 38 del Reglamento 2022/2065, así como la obligación de recopilar y publicar un repositorio de anuncios de acuerdo con el artículo 39 del mismo Reglamento. Ambas partes solicitaron, además, la condena en costas a la Comisión.

Por su parte, la Comisión Europea, el Parlamento Europeo y el Bureau européen des unions de consommateurs (BEUC) pidieron la desestimación del recurso y la condena de la demandante en costas, incluidas las del procedimiento sobre medidas provisionales. El Consejo de la Unión Europea respaldó la desestimación del recurso.

III. Análisis de la sentencia del Tribunal General

La Comisión Europea había designado a Amazon Store como una de estas plataformas de muy gran tamaño, y Amazon solicitó la anulación de dicha decisión alegando que la disposición del DSA que determina estas plataformas vulnera derechos fundamentales reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, tales como la libertad de empresa, el derecho de propiedad, el principio de igualdad ante la ley, la libertad de expresión e información, y el derecho a la vida privada y a la protección de datos confidenciales.

El Tribunal General desestimó el recurso.

  • En relación con la libertad de empresa, reconoció que las obligaciones derivadas del DSA constituyen una injerencia, al implicar costes significativos, afectar la organización de las actividades y requerir soluciones técnicas complejas. No obstante, esta injerencia está prevista por la ley, no afecta al núcleo esencial de la libertad de empresa y se considera justificada conforme a la Carta, dado que el legislador de la Unión razonablemente concluyó que las plataformas de muy gran tamaño presentan riesgos sistémicos para la sociedad, incluyendo la difusión de contenidos ilícitos y la vulneración de derechos fundamentales, como la protección de los consumidores.
  • En cuanto al derecho de propiedad, el Tribunal señaló que las obligaciones del DSA son principalmente cargas administrativas que no privan a los prestadores de la titularidad de sus plataformas. Incluso si se considerara una injerencia, estaría justificada por los objetivos de prevención de riesgos sistémicos perseguidos por el legislador.
  • Respecto al principio de igualdad, el Tribunal indicó que el legislador disponía de un amplio margen para tratar de manera homogénea a las plataformas de muy gran tamaño, incluidas las de comercio, dado que también pueden generar riesgos sistémicos.
  • Por lo que respecta a la distinción basada en el número de usuarios no resulta arbitraria ni desproporcionada, considerando, según señala el TGUE, las plataformas con más de 45 millones de usuarios pueden exponer a un gran número de personas a contenidos ilícitos.
  • En lo que respecta a la libertad de expresión e información, el TGUE observó que la obligación de ofrecer una opción de recomendación sin elaboración de perfiles puede limitar la forma de presentación de productos; no obstante, esta restricción es justificada, no afecta al contenido esencial de la libertad y persigue un objetivo legítimo de protección de los consumidores.
  • Finalmente, en relación con el derecho a la vida privada y la protección de la información confidencial, el Tribunal reconoció que las obligaciones de transparencia publicitaria y el acceso de investigadores constituyen una injerencia, pero que esta es proporcional, establecida en la ley y justificada por el interés general de prevenir riesgos sistémicos y garantizar un alto nivel de protección de los consumidores. Además, la publicidad del repositorio está delimitada y el acceso de los investigadores se sujeta a estrictas garantías de seguridad y confidencialidad.

Competencia desleal por confusión. STUE, en relación con la denominación «gin» en bebidas sin alcohol

Posted on por

El Tribunal de Justicia de la Unión Europea (TJUE dictó sentencia en el asunto C‑563/24, el 13 de noviembre de 2025.  Se trata de una resolución relativa a una petición de decisión prejudicial planteada por el Landgericht Potsdam (Tribunal Regional de lo Civil y Penal de Potsdam, Alemania) mediante resolución de 6 de agosto de 2024, recibida en el Tribunal de Justicia el 20 de agosto de 2024.

La remisión prejudicial se formuló en el contexto de un litigio entre la asociación alemana Verband Sozialer Wettbewerb eV (VSW), cuya finalidad principal es la lucha contra la competencia desleal, y la empresa PB Vi Goods GmbH (PB), que comercializaba y anunciaba una bebida no alcohólica bajo la denominación «Virgin Gin Alkoholfrei». La cuestión planteada versaba sobre la interpretación de los artículos 10, apartado 7, y 12, apartado 1, del Reglamento (UE) 2019/787 relativo a la definición, designación, presentación y etiquetado de bebidas espirituosas, así como sobre la validez del artículo 10, apartado 7, a la luz del artículo 16 de la Carta de los Derechos Fundamentales de la Unión Europea, que garantiza la libertad de empresa. En esta ocasión, la Sala Séptima del Tribunal de Justicia, integrada por el Sr. F. Schalin como Ponente y Presidente, y los Sres. M. Gavalec y Z. Csehi como jueces, dictó la sentencia sin conclusiones del Abogado General, tras considerar los escritos y observaciones presentadas por las partes interesadas.

El procedimiento contó con la participación de los Gobiernos alemán, helénico, francés e italiano, el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea, todos representados por agentes y abogados, con el Abogado General M. Szpunar emitiendo su opinión no vinculante.

Garexo no verán

Garexo no verán

I Antecedentes

El litigio principal surgió cuando VSW ejercitó acción ante el Landgericht Potsdam solicitando que PB cesara la comercialización de la bebida «Virgin Gin Alkoholfrei». VSW alegaba que la denominación utilizada infringía el Reglamento 2019/787, que establece que el gin es una bebida espirituosa aromatizada con bayas de enebro, producida mediante alcohol etílico de origen agrícola, y con un grado alcohólico volumétrico mínimo de 37,5 %. PB, por su parte, sostenía que la indicación «sin alcohol» excluía cualquier riesgo de confusión para el consumidor y, por lo tanto, no infringía la normativa. Ante las dudas sobre la posible vulneración de la libertad de empresa, el tribunal remitente planteó dos cuestiones prejudiciales: primero, sobre la validez del artículo 10, apartado 7, a la luz del artículo 16 de la Carta; y, subsidiariamente, sobre la interpretación de los artículos 10, apartado 7, y 12, apartado 1, en relación con la denominación «gin sin alcohol» para bebidas no alcohólicas.

El marco jurídico aplicable se sustenta en los considerandos del Reglamento 2019/787, que destacan la necesidad de proteger a los consumidores, garantizar la transparencia del mercado y asegurar la competencia leal. En particular, el considerando 2 establece que las normas sobre bebidas espirituosas deben eliminar la asimetría de la información y evitar prácticas engañosas, mientras que el considerando 3 subraya la relevancia de estas bebidas para el sector agrícola y la importancia de preservar su reputación.

Asimismo, el considerando 10 enfatiza la necesidad de armonización de las denominaciones legales para garantizar información clara y coherente a los consumidores en toda la Unión. El artículo 10, apartado 7, prohíbe expresamente el uso de denominaciones legales de bebidas espirituosas, como «gin», en la presentación y etiquetado de bebidas que no cumplan los requisitos de la categoría correspondiente, incluso acompañadas de términos como «sin alcohol». Por su parte, el artículo 12, apartado 1, permite referencias a denominaciones de bebidas espirituosas únicamente cuando el alcohol empleado procede de la bebida referida, lo que no resulta aplicable a las bebidas no alcohólicas objeto del litigio.

II Admisión y cuestiones planteadas

Tambre

El Tribunal de Justicia consideró admisibles las cuestiones prejudiciales planteadas, señalando que el tribunal remitente había descrito de manera suficiente el contexto del litigio y la necesidad de interpretación de la normativa de la Unión para resolver el caso. Sobre el fondo, el Tribunal examinó primero la segunda cuestión prejudicial y concluyó que la utilización de la denominación «gin sin alcohol» en bebidas no alcohólicas está prohibida por el artículo 10, apartado 7, del Reglamento 2019/787.

La prohibición se fundamenta en el hecho de que la bebida no cumple los requisitos de producción y grado alcohólico mínimos establecidos en el anexo I, punto 20, letras a) y b), y que dicha denominación no puede aplicarse aunque se indique «sin alcohol», pues lo relevante es que la bebida no puede considerarse gin legalmente definido.

  • En relación con la primera cuestión prejudicial, relativa a la libertad de empresa, el Tribunal recordó que este derecho, reconocido por el artículo 16 de la Carta, no es absoluto y puede estar limitado para proteger objetivos de interés general, como la protección del consumidor, la transparencia del mercado y la prevención de la competencia desleal. La prohibición contemplada en el artículo 10, apartado 7, se establece por ley y únicamente restringe el uso de la denominación «gin», sin impedir la producción ni la comercialización de bebidas no alcohólicas, por lo que no vulnera la esencia del derecho a la libertad de empresa. El Tribunal subrayó la proporcionalidad de la medida: garantiza que los consumidores comprendan la composición de los productos, asegura la uniformidad de las bebidas espirituosas comercializadas bajo la misma denominación y protege la reputación de los productores de gin que cumplen los requisitos legales, evitando prácticas de competencia desleal.
  • El Tribunal fundamenta además su decisión en la doctrina consolidada relativa a la competencia desleal y la protección del consumidor, citando casos como SMW Winzersekt (C‑306/93), Deutsches Weintor (C‑544/10), TofuTown.com (C‑422/16) y Lidl (C‑134/15), que establecen que la protección de los consumidores frente a la confusión sobre la composición o calidad de un producto es un objetivo legítimo de interés general y que la libertad de empresa puede ser limitada de forma proporcionada para evitar la explotación indebida de la reputación de terceros y prácticas comerciales engañosas.

III Conclusión

Azaleas

La medida adoptada, al impedir el uso indebido de la denominación «gin», asegura la integridad del mercado, protege la reputación de las bebidas espirituosas y evita ventajas competitivas injustas derivadas del uso de denominaciones legales no permitidas.

Así, el Tribunal concluyó que la denominación «gin» no puede aplicarse a bebidas no alcohólicas, incluso acompañada de la indicación «sin alcohol», y que el artículo 10, apartado 7, del Reglamento 2019/787 es válido y compatible con la libertad de empresa.

 

 

Ciberseguridad europea y seguros D&O para riesgos cibernéticos

Posted on por

Los riesgos cibernéticos se han convertido en una prioridad para los consejos de administración y la alta dirección debido al incremento de brechas de datos, ataques de denegación de servicio (DDoS), ransomware y extorsión cibernética. Con la entrada en vigor del Reglamento (UE) 2016/679 (“GDPR”) en mayo de 2018 se intensificó la atención de los gestores de riesgos hacia la gestión de datos y notificaciones de incidentes. Y, a pesar de que la empresa sea consciente de los riesgos, la gestión no puede reducirse a “cumplimiento formal” o “tick‑box”: debe integrarse en la cultura de la organización a todos los niveles

  • Foca en granito.

    En este entorno, la póliza D&O tradicional puede no cubrir ciertos gastos derivados de un incidente de seguridad digital (por ejemplo, la restauración de sistemas, interrupción del negocio, costes reputacionales), de modo que es importante evaluar conjuntamente la póliza D&O y la póliza de responsabilidad cibernética (“cyber liability”).

  • Los responsables de riesgo y los asegurados  deben reflexionar  y analizar sobre cómo abordar la adquisición de seguros: identificar exposiciones, definir límites, comprender exclusiones, evaluar capacidad de respuesta del asegurador y diseñar programas aseguradores adaptados al riesgo cibernético

  • Los directores y altos cargos tienen una responsabilidad activa en la supervisión del riesgo digital. La omisión o la supervisión insuficiente no solo incrementa la exposición de la empresa, sino que también puede derivar en responsabilidad personal de los administradores. Esto refuerza la idea de que la gobernanza corporativa moderna debe integrar explícitamente la gestión de riesgos cibernéticos como elemento de control interno y estrategia empresarial. La exposición personal  de administradores, consejeros y altos cargos puede verse incrementada por la omisión de una adecuada supervisión del riesgo digital

La creciente complejidad del ecosistema digital europeo, reforzada por ENISA, la red CSIRTs, ECSO y ECCG, ha transformado la ciberseguridad en un componente esencial de la responsabilidad de los administradores. En este contexto, los seguros D&O de ciber riesgos son un instrumento complementario para gestionar la exposición legal y financiera derivada de incidentes de seguridad informática, fallos en la gobernanza o incumplimiento de obligaciones normativas europeas.

1. Riesgos cubiertos y vínculo con la gobernanza. Los seguros D&O de ciber riesgos protegen a los administradores frente a reclamaciones por

  • Falta de supervisión adecuada de la seguridad informática, incluyendo la omisión de implementar buenas prácticas recomendadas por ENISA.

  • Respuesta insuficiente ante incidentes coordinados por la red CSIRTs o por alertas de vulnerabilidad críticas en infraestructuras digitales.

  • Incumplimiento de obligaciones de gestión, reporte y certificación, especialmente en los sectores y entidades sometidos a DORA, DNIS2 y otros marcos regulados.

  • Decisiones empresariales que no integren recomendaciones de ECSO sobre innovación segura o gestión de riesgos tecnológicos, con consecuencias financieras o regulatorias.

2. D&O y cumplimiento normativo europeo

Los seguros D&O no reemplazan la diligencia del administrador, sino que la complementan, ofreciendo cobertura frente a riesgos residuales que puedan derivar en responsabilidades civiles o administrativas. La contratación de un seguro D&O para ciber riesgos debe entenderse dentro de un marco de compliance proactivo:

  • Una empresa que implementa medidas recomendadas por ENISA, sigue las alertas de CSIRTs, participa en iniciativas ECSO y certifica sus sistemas según ECCG reduce su exposición a incidentes.

  • En caso de un ciberataque que derive en pérdidas financieras o daño reputacional, el seguro D&O puede cubrir reclamaciones de accionistas, sanciones civiles o defensas legales, siempre que se demuestre que los administradores actuaron con diligencia y siguiendo los estándares europeos.

  • Desde la perspectiva del mercado asegurador, la existencia de certificaciones europeas y la adopción de buenas prácticas se traduce en menores primas, reflejando la menor probabilidad de reclamaciones por negligencia en ciberseguridad.

  • La gestión del riesgo cibernético no puede limitarse a un enfoque “tick‑box” o cumplimiento mínimo. Debe integrarse en la cultura organizativa, involucrando a todos los niveles: desde la alta dirección hasta los empleados que manejan datos sensibles. Esta integración cultural facilita la detección temprana de incidentes y la respuesta coordinada, elementos críticos para limitar daños y preservar la reputación corporativa (Marsh, más abajo).

3. Integración en la estrategia de gobernanza

Para los administradores, la relación entre las estructuras europeas de ciberseguridad y los seguros D&O implica:

  • Evaluar riesgos: identificar qué activos, procesos y sistemas críticos podrían generar responsabilidades en caso de fallo de seguridad.

  • Adoptar medidas preventivas: implementación de estándares y certificaciones europeas, participación en alertas y ejercicios de CSIRTs, seguimiento de recomendaciones de ENISA y ECSO.

  • Documentar decisiones: mantener evidencia de políticas, procedimientos y medidas adoptadas para demostrar diligencia ante reclamaciones potenciales.

  • Contratar cobertura D&O adecuada: asegurar que la póliza cubre riesgos cibernéticos emergentes, incluyendo brechas de datos, ataques de ransomware o fallos en la gestión de proveedores críticos.

4. Medias previas  a contratar el seguro.

Evaluación integral de riesgos.

Antes de contratar un seguro D&O o cibernético, la empresa debe identificar los riesgos críticos a los que están expuestos los administradores, incluyendo fallos en seguridad de la información, brechas de datos, ataques de ransomware y fallos de proveedores.   La evaluación debe integrar la normativa europea de ciberseguridad  y los estándares de certificación aplicables. También se deben analizar otras coberturas contratadas por la empresa, en particular si se cuenta con pólizas de ciber riesgos , por evitar duplicidades o solapamientos de cobertura, pero también para evitar incurrir en situaciones de infra seguro o de falta de cobertura

Selección de coberturas adecuadas

Las pólizas deben cubrir responsabilidades derivadas de decisiones negligentes o incumplimientos regulatorios relacionados con la ciberseguridad. Abundando en lo que se acaba de indicar, es fundamental revisar la interacción entre D&O y seguros cibernéticos y evitar superposiciones o lagunas de cobertura.

Integración con la gobernanza corporativa

Los administradores deben documentar políticas y procedimientos de ciberseguridad, evidenciando cumplimiento con estándares europeos y buenas prácticas. La existencia de certificaciones, adopción de estándares o buenas prácticas reconocidas y la participación en alertas CSIRTs reduce el riesgo de reclamaciones y, por tanto, el coste del seguro.

Gestión del siniestro

A nivel de empresa, conviene establecer protocolos claros de notificación de incidentes, asegurando coordinación entre la empresa, los administradores y la aseguradora. También, definir responsabilidades internas y externas, evitando conflictos entre la gestión del siniestro y la defensa de los administradores.

Formación y actualización continua

Los administradores deben recibir formación sobre ciberriesgos, obligaciones regulatorias y evolución tecnológica. Entre las buenas prácticas destacables está la de realizar simulacros de incidentes y revisiones periódicas de las coberturas de seguro D&O, alineadas con la estrategia de ciberseguridad de la empresa.

Diferencias entre las coberturas de las pólizas de responsabilidad de administradores y directivos (D&O) y las pólizas de responsabilidad cibernética (“cyber liability”) frente a incidentes de ciberseguridad, enfatizando la importancia de un programa de seguros combinado para cubrir riesgos de manera integral (Recomendaciones de  la aseguradora Aon, en el enlace que se facilita más abajo).

Las pólizas D&O protegen principalmente a directivos frente a reclamaciones por actos de gestión, incumplimientos  de los fiduciarios o mala gestión, pero no están diseñadas, en principio, para ciber riesgos. Por ello, por ejemplo, pueden contar con exclusiones de gastos generados por un ciberataque, como notificaciones a afectados o recuperación de sistemas (Aon).

Piedritas de la playa sobre fondo azul

Las pólizas cibernéticas cubren tanto daños “first‑party” (la propia organización: investigación forense, restauración, interrupción del negocio, reputación) como “third‑party” (terceros afectados: demandas, defensa, indemnizaciones) ante incidentes cibernéticos

La activación de cobertura D&O al uso tras un ciberincidente depende de la redacción de la póliza. Es habitual hoy encontrar exclusiones específicas para daños cibernéticos , por lo que tal eventualidad debe ser considerada y negociada antes de contratar .

Se recomienda un programa combinado de D&O y póliza cibernética, con redacción adecuada, para gestionar de manera completa los riesgos cibernéticos (Aon), teniendo en cuenta que:

  • En compañías cotizadas, la cobertura habitual D&O por eventos cibernéticos suele limitarse a reclamaciones de accionistas y no a demandas de clientes o terceros afectados (indicado por Aon).

  • En compañías no cotizadas, la cobertura D&O tiende a ser más amplia, pero los aseguradores están incorporando exclusiones explícitas para riesgos cibernéticos (indicado por Aon).

  • Dado el aumento de incidentes cibernéticos y su complejidad, los consejos de administración y equipos de dirección deben considerar la gestión del riesgo cibernético como una cuestión de gobernanza corporativa, revisando coberturas, documentación y procedimientos de respuesta

Ver También

Aon. “Responding to Cyber Attacks: How Directors and Officers and Cyber Policies Differ.” Aon Insights, 24 Jul. 2024. Disponible en: https://www.aon.com/en/insights/articles/responding-to-cyber-attacks-how-directors-and-officers-and-cyber-policies-differ

Duque, Ruth. “Las pólizas cibernéticas y su implicación para el órgano de Administración” (1 octubre 2024) (https://www.cuatrecasas.com/es/spain/servicios-financieros-seguros/art/seguros-proteccion-administradore)

Marsh. “Understanding cyber Directors & Officers liability risks and buying insurance.” White paper (UK), Marsh, 2018. Disponible en: https://www.marsh.com/content/dam/marsh/Documents/PDF/UK-en/Understanding%20Cyber%20Directors%20&%20Officers%20Liability%20Risks%20and%20Buying%20Insurance.pdf