Acerca de Elena F Pérez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de León

Entidades esenciales y entidades importantes en el marco DNIS2

El 14 de septiembre de 2023, la Comisión Europea publicó las directrices sobre la aplicación del artículo 3, apartado 4, de la Directiva (UE) 2022/2555, también conocida como Directiva NIS 2 o SRI 2. Descargables aquí.

  • El objetivo de estas directrices es asistir a los Estados miembros en la identificación y registro de las entidades esenciales e importantes en materia de ciberseguridad, contribuyendo al cumplimiento del artículo 3, apartado 3, de la Directiva NIS 2 que establece que, como muy tarde el 17 de abril de 2025, los Estados miembros deben elaborar una lista de entidades esenciales e importantes, así como de entidades que prestan servicios de registro de nombres de dominio. La revisión y actualización de esta lista es un requisito indispensable, y debe llevarse a cabo al menos cada dos años.
  • El apartado 4 del mismo artículo detalla que, para elaborar dicha lista, los Estados miembros requerirán a las entidades pertinentes que proporcionen información específica
  • Las entidades deben notificar cualquier cambio que altere el contenido de  la información proporcionada y, en todo caso, en un plazo máximo de dos semanas desde que se produzca el cambio.

Paraninfo Gordón Ordás. Universidad de León

Conforme a NIS2, la Comisión, asistida por la Agencia de la Unión Europea para la Ciberseguridad (ENISA), ha de redactar sus directrices, con las correspondientes plantillas relativas a estas obligaciones.

Contenido de las directrices:

  • Orientaciones sobre las obligaciones de los Estados miembros y de las entidades afectadas en relación con la recopilación y actualización de la información requerida.
  • Orientaciones sobre el funcionamiento de los sistemas de información
  • Aclaraciones sobre las obligaciones tanto de los Estados miembros como de las entidades afectadas en lo que respecta a la recopilación y actualización de la información requerida.
  • Orientaciones sobre el formato y los procedimientos para la presentación de la información.
  • Pautas para facilitar la coherencia y similitud entre de los enfoques nacionales para identificar y registrar las entidades esenciales e importantes.Estas directrices son fundamentales para garantizar una aplicación coherente y eficaz de la Directiva NIS 2 en todos los Estados miembros y, por tanto, para fortalecer la ciberseguridad en la Unión Europea.
    Directiva NIS2 (UE) 2022/2555

 

Accionistas y política ambiental: Acceso a documentos de un banco para verificar el cumplimiento de las declaraciones ambientales

En este breve comentario se presta atención a una solicitud de acceso a documentos corporativos, por parte de un grupo de accionistas de un banco australiano. Se trataba de averiguar la fidelidad y verdad de las declaraciones de los representes del banco en relación con el cumplimiento de sus políticas medioambientales y sociales, especialmente en lo relativo a ciertos requisitos de las inversiones.

En 2019, el Commonwealth Bank of Australia (CBA) anunció públicamente su

Azaleas

Marco Medioambiental y Social, que incluía el  compromiso de que (sus)  políticas de préstamos empresariales apoyarán la transición responsable hacia una economía de emisiones netas cero para 2050, para lo cual… solo prestaremos servicios  bancarios y de financiación en el sector de los proyectos de explotación de petróleo, gas o carbón fósil cuando estén respaldados por una evaluación de los impactos ambientales, sociales y económicos de dicha actividad que demuestre su coherencia con los  objetivos del Acuerdo de París.

En este contexto, los señores Guy y Kim Abrahams accionistas del banco y representantes (fideicomisarios) del Abrahams Family Trust observaron que algunas inversiones que se estaban realizando suscitaban dudas en cuanto a su compatibilidad y coherencia con la declarada política ambiental del banco.

  • El banco estaba, en efecto, proporcionando más de 50 millones de dólares (septiembre de 2019) abriendo una línea de crédito de 545 millones de dólares para la construcción y desarrollo inicial del nuevo gasoducto Permian Highway Pipeline, de 692 km. Esta infraestructura ya ha sido terminada y transporta 2. 1.000 millones de pies cúbicos diarios de gas natural a través de Texas, en Estados Unidos.
  • Además CBA era uno de los promotores y miembros principales  de un sindicato de préstamos que proporciona financiación (deuda) por valor de 1.050 millones de dólares para construir nuevos buques de GNL por parte de Gaslog Ltd (2019)
  • También lideraba el pool de financiadores para los nuevos buques de GNL de FLEX LNG Ltd de (2020), entre otros proyectos 

El 26 de agosto de 2021, Guy y Kim Abrahams  presentaron una solicitud ante el Tribunal Federal de Australia para acceder a documentos del banco, apoyándose  en lo dispuesto en la Ley de Sociedades de Australia de 2001. Concretamente pedían acceder a documentos vinculados con la  participación del banco en los mencionados proyectos (y en otros que suscitaban similares preocupaciones).  A raíz de la audiencia de 4 de noviembre de 2021, el Tribunal Federal de Australia accedió a la solicitud de inspección de documentos, estableciendo los periodos y etapas al efecto (entre el 9 de diciembre de 2021 y el 10 de febrero de 2022).

 

Externalización de servicios «nube» en el sector financiero. Directrices ESMA

Las Directrices de Externalización a Proveedores de Servicios en la Nube publicado por la Autoridad Europea de Valores y Mercados (ESMA) (10.05.2021)  tienen como objetivo principal ayudar a las empresas financieras a identificar, abordar y supervisar los riesgos derivados de la externalización de servicios a proveedores de la nube. Estas directrices buscan garantizar que las entidades mantengan un marco sólido de gobernanza y control al adoptar servicios en la nube, promoviendo una convergencia supervisora en toda la Unión Europea.

Las directrices de ESMA aplican a todas las entidades bajo su supervisión, incluyendo:

        • Empresas de inversión
        • Entidades de crédito que ofrecen servicios de inversión
        • Contrapartes Centrales (CCPs)
        • Depósitos Centrales de Valores (CSDs)
        • Gestores de fondos de inversión (UCITS y AIFMs)

Estas entidades deben cumplir con las directrices cuando externalizan funciones críticas o importantes a proveedores de servicios en la nube.

Azaleas

Los aspectos y orientaciones principales en estas Directrices son:

1.- Evaluación de riesgos y diligencia debida: Las empresas deben realizar una evaluación exhaustiva de riesgos y una diligencia sobre el futuro proveedor debida antes de contratar a tal proveedor de servicios en la nube (CSP). Esto implica analizar la capacidad del CSP para cumplir con los requisitos legales y regulatorios, así como su solidez financiera y medidas de seguridad.

  • En relación con la debida diligencia: Se deben evaluar los riesgos del proveedor antes de la contratación, considerando su solidez financiera, capacidad técnica, ubicación y cumplimiento normativo. Ello incluye:

        • Solidez financiera y estabilidad del proveedor.
        • Capacidad técnica y cumplimiento con estándares de seguridad y normativas.
        • Ubicación de los servidores y jurisdicciones aplicables.
        • Historial de incidentes de seguridad o interrupciones del servicio.
        • Cumplimiento normativo con GDPR y regulaciones financieras.
  • Por lo que respecta a la gobernanza interna (y al control sobre el proveedor): Se requiere una estrategia clara de externalización y una supervisión adecuada por parte del consejo de administración. Se debe deben establecer un marco claro para gestionar la externalización, que incluya:

        • Un proceso formal de aprobación para externalizar funciones críticas.
        • Supervisión continua del proveedor mediante revisiones periódicas.
        • Una estrategia para garantizar la continuidad del negocio en caso de interrupciones en el servicio.
        • Roles y responsabilidades definidos para la gestión de los servicios en la nube.
        • Aprobación y puesta en marcha de  políticas y procedimientos adecuados para la gestión de la externalización en la nube.

3.- Elementos contractuales esenciales en la externalización de servicios: Los acuerdos de externalización deben contener cláusulas específicas que aborden aspectos como la confidencialidad, la integridad y la disponibilidad de los datos, los niveles de servicio esperados, los derechos de auditoría y el cumplimiento de las normativas aplicables. Además deben:

        • Definir los niveles de servicio (alcance  y niveles de servicio (SLAs), incluyendo tiempos de respuesta y disponibilidad).
        • Responsabilidades de ambas partes en caso de incidentes de seguridad o fallos en el servicio y penalizaciones
        • Garantizar acceso, auditoría y supervisión por parte de la entidad y de las autoridades regulatorias.
        • Planes de continuidad, de terminación y de salida con cláusulas adecuadas para minimizar riesgos en caso de finalización del contrato (ver apartado 4).
        • Medidas para la  confidencialidad, integridad y disponibilidad de los datos externalizados.
        • Sistemas para verificar el cumplimiento normativo por parte del proveedor.

4.- Estrategias de salida: Las empresas del sector deben desarrollar planes de salida que aseguren una transición ordenada y minimicen la interrupción de los servicios en caso de finalizar la relación con el CSP. Estos planes deben contemplar la recuperación de datos y la continuidad operativa, así como:

        • Establecer mecanismos para recuperar datos y sistemas en caso de terminación del servicio.
        • Definir estrategias de transición a otros proveedores o reinternalización de los servicios.

5.- Notificación a las autoridades competentes: Conforme a DORA, existe obligación de notificar a las autoridades competentes sobre los acuerdos de externalización en la nube que involucren funciones críticas o importantes. En las directrices se señala que la notificación debe incluir información detallada sobre la naturaleza de los servicios externalizados y las medidas de control implementadas.

 

Primeros desarrollos reglamentarios y de normas técnicas de DORA. Listados

Las normas de desarrollo del DORA, aprobadas por la Comisión Europea  con el apoyo en las normas técnicas de las autoridades independientes financieras  han sido ya en su mayoría  adoptadas, o al menos han sido publicadas los borradores finales de normas técnicas:

Rio Arno, Luminaria, di San Rainieri, 2024

 

 

Sobre la Directiva DORA, (complementa al Reglamento DORA) y las cadenas de proveedores TIC en el sector financiero

La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea.

Il Giardino II

Il Giardino II

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbación relacionada con las tecnologías de la información y la comunicación (TIC). Además, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gestión de riesgos derivados de las terceras partes que proveen servicios tecnológicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposición concluyó el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

  • Directiva 2009/65/CE: relativa a la coordinación de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversión colectiva en valores mobiliarios (OICVM).
  • Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
  • Directiva 2011/61/UE: relativa a los gestores de fondos de inversión alternativos.
  • Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de crédito y la supervisión prudencial de las entidades de crédito y las empresas de inversión.
  • Directiva 2014/59/UE: por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.
  • Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
  • Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
  • Directiva (UE) 2016/2341 relativa a las actividades y la supervisión de los fondos de pensiones de empleo.

Objetivos de la directiva:

Camminare sopra le mura pisane

  1. Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
  2.  Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
  3. Supervisión y gestión de riesgos: Implementar mecanismos robustos de gestión de riesgos de las TIC y establecer procesos de notificación de incidentes significativos.
  4. Terceras Partes Críticas: Regular la supervisión de proveedores externos de servicios TIC que sean críticos para el funcionamiento de las entidades financieras, asegurando que también cumplan con los estándares de resiliencia operativa.

En relación con este último aspecto,  las cadenas de suministros TIC más importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gestión de Riesgos de Terceras Partes Críticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios críticos, como los proveedores de tecnología, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Artículo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios críticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibernéticos. En particular, se exige que las entidades financieras evalúen la concentración de sus proveedores, para evitar dependencias excesivas de un único proveedor o de una región geográfica vulnerable.

4.2 Supervisión de las Cadenas de Valor Externas

La directiva establece una obligación de transparencia y supervisión de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnológicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibernéticos, tecnológicos o de infraestructura que afecten a los servicios críticos.

4.3 Requisitos de Notificación de Incidentes de Terceras Partes

El Artículo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a través de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Además, las autoridades competentes deben tener acceso a esta información para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deberán informar de los incidentes que hayan tenido un impacto significativo en su operación o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluación y Mitigación de Riesgos en las Cadenas de Valor

  • La directiva también obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sistémicos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnología.
  • Las medidas de mitigación pueden incluir la diversificación de proveedores y la gestión de contratos con cláusulas específicas que aseguren la continuidad de los servicios en caso de crisis.

  4.5 Intervención de las Autoridades de Supervisión

  • Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisión pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

¿Qué relación tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los ámbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un énfasis en la gestión de riesgos de las cadenas de valor externas y la supervisión de las relaciones con terceros. Se ocupa de los siguientes aspectos de las cadenas de valor:

  • La Directiva se enfoca en la gestión de riesgos derivados de los proveedores de servicios tecnológicos críticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnología. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios críticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
  • En cuanto a la evaluación de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. También exige que las entidades informen sobre incidentes graves de terceros que afecten su operación.
  • Por lo que respecta a la supervisión y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibernéticos o tecnológicos que puedan afectar la cadena de valor.

Teverga

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles más técnicos y operativos sobre la implementación de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos específicos y los procedimientos.

  • El Reglamento DORA establece los detalles operativos para la evaluación de proveedores de servicios críticos (terceras partes). En él, se encuentran las especificaciones para la supervisión de los proveedores de servicios tecnológicos y los requisitos detallados sobre cómo las entidades financieras deben gestionar su relación con estos proveedores.
  • El artículo 28 del Reglamento detalla cómo deben gestionarse las relaciones contractuales con los proveedores críticos, asegurando que las cláusulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
  • El Reglamento DORA define los requisitos más detallados para la evaluación de riesgos y la mitigación de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnológicos.
  • Establece las obligaciones de monitoreo y gestión continua de las relaciones con terceros y cómo las entidades deben gestionar los riesgos de concentración, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la  Directiva DORA proporciona el marco legal general para la gestión de riesgos de las cadenas de valor en el sector financiero, enfocándose en las relaciones con proveedores externos (servicios críticos) y la obligación de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el Reglamento DORA ofrece los detalles operativos y específicos sobre cómo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluación de riesgos, contratos con proveedores y supervisión continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos específicos para llevar a cabo esos principios en la práctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Conformidad de los Productos con Elementos Digitales en el Reglamento de Ciberresiliencia

El Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.° 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia, CRA por sus siglas en inglés) introduce un sistema escalonado de verificación de conformidad, para que los productos con elementos digitales cumplen con estándares de ciberseguridad antes de su comercialización en la UE. La combinación de la declaración de conformidad, la certificación y el marcado CE refuerza la seguridad en el ecosistema digital europeo

1. Declaración UE de Conformidad (Artículo 20 CRA)

Es un documento obligatorio que el fabricante debe emitir para confirmar que su producto cumple con los requisitos esenciales de ciberseguridad establecidos en el Anexo I del Reglamento.

  • Es exigida para todos los productos con elementos digitales que entran en el mercado de la UE.
  • Permite la libre circulación de estos productos dentro del mercado único europeo.
  • Debe mantenerse actualizada y accesible para las autoridades nacionales competentes durante al menos 10 años después de que el producto haya sido comercializado.
  • Su contenido mínimo está detallado en el Anexo V del Reglamento.

2. Certificación Europea de Ciberseguridad (Artículo 21 CRA)

Para productos considerados de mayor riesgo, el Reglamento exige una certificación de ciberseguridad que verifique su conformidad con los estándares europeos.

  • Aplica a los productos críticos con elementos digitales enumerados en el Anexo IV del CRA.
  • La certificación se realiza bajo esquemas europeos de certificación regulados por el Reglamento (UE) 2019/881 sobre ciberseguridad.
  • Existen tres niveles de garantía, en función del riesgo:
    • Básico: Protección contra riesgos mínimos.
    • Sustancial: Protección frente a ataques más sofisticados.
    • Alto: Garantiza un alto nivel de resistencia ante amenazas avanzadas.
  • La certificación debe ser realizada por Organismos de Evaluación de la Conformidad, acreditados por los Estados miembros y supervisados por la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

3. Marcado CE y Obligaciones del Fabricante (Artículos 18 y 19 CRA)

El marcado CE indica que un producto cumple con los requisitos del CRA y que puede comercializarse en la UE.

  • Con el marcado, el fabricante garantiza que el producto ha pasado los procedimientos de evaluación de conformidad.
  • Debe ser visible, legible e indeleble en el propio producto, su embalaje o su documentación.
  • Las autoridades nacionales pueden solicitar pruebas de conformidad y, en caso de incumplimiento, exigir la retirada del producto del mercado.

4. Procedimientos de Evaluación de la Conformidad (Artículo 22 CRA)

El CRA establece diferentes procedimientos para evaluar si un producto cumple con los requisitos de ciberseguridad:

      1. Control interno de la producción:

        • Aplicable a productos con menor impacto en la ciberseguridad.
        • El fabricante realiza una autoevaluación y emite la Declaración UE de Conformidad.
      2. Gestión de calidad total:

        • Aplicable a productos con mayor impacto en la ciberseguridad (por ejemplo, los del Anexo III del Reglamento).
        • Requiere que un organismo independiente supervise el sistema de gestión de calidad del fabricante.
      3. Evaluación por un organismo notificado:

        • Obligatorio para productos críticos incluidos en el Anexo IV.
        • Un organismo de certificación independiente (acreditado para certificar) verifica la conformidad antes de su comercialización.

Reglamento de Ciberresiliencia (CRA): Nuevas Obligaciones en Materia de Ciberseguridad para Productos con Elementos Digitales

El 10 de diciembre de 2024 entró en vigor el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, más conocido como Reglamento de Ciberresiliencia (CRA, por sus siglas en inglés). Establece requisitos de ciberseguridad para los productos con elementos digitales y modifica el ordenamiento anterior, principalmente el Reglamento (UE) n.º 168/2013, el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.

El Reglamento de Ciberresiliencia representa un cambio significativo en la normativa de ciberseguridad en la UE con obligaciones claras para fabricantes y distribuidores, que repercuten en la mejor protección de consumidores y empresas al exigir productos más seguros en el mercado. En este blog ya se había prestado atención a la Propuesta de la Comisión

El Reglamento de Ciberresiliencia introduce normas horizontales aplicables a múltiples sectores, estableciendo requisitos mínimos de ciberseguridad en toda la UE para

  • Mejorar la ciberseguridad de muchos productos y evitar la falta de actualizaciones de seguridad oportunas.
  • Facilitar que los productos digitales sean seguros a lo largo de su ciclo de vida.
  • Exigir a los fabricantes una supervisión continua de sus productos tras su comercialización.
  • Obligar a la certificación de productos críticos mediante organismos de certificación especializados.

Tambre

El CRA define los productos digitales en su artículo 3, como: «Programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado.»

En términos simples, los productos digitales son cualquier producto de software o hardware que incorpore elementos digitales y esté conectado directa o indirectamente a otro dispositivo o red.

El Reglamento se aplica a todos los productos digitales que puedan suponer un riesgo para la ciberseguridad dentro del mercado de la UE. No obstante, establece excepciones para algunos sectores ya regulados, como los productos sanitarios, la aviación y la automoción. También quedan excluidos ciertos productos de software de código abierto que ya cuentan con normas específicas. Además, introduce disposiciones particulares para repuestos de componentes, estableciendo que estos quedan exentos de los requisitos del CRA si cumplen dos condiciones:

  • Ser utilizados para reparar productos comercializados antes de la entrada en vigor del CRA.
  • Haber sido ya sometidos a un procedimiento de evaluación de conformidad compatible con el CRA.

En relación con los fabricantes, los principales (no los únicos) sometidos al Reglamento, los artículos 13 a 15 detallan sus principales obligaciones:

 

  • Evaluación de riesgos de ciberseguridad: Los fabricantes deben realizar una evaluación integral de riesgos en todas las fases del ciclo de vida del producto, desde su planificación hasta su mantenimiento. Esta evaluación debe documentarse y actualizarse periódicamente.
  • Diseño seguro desde el origen: Los productos deben desarrollarse con medidas de ciberseguridad adecuadas desde su concepción, asegurando que las posibles amenazas sean identificadas y mitigadas.
  • Gestión de vulnerabilidades: Los fabricantes deben detectar, notificar y corregir vulnerabilidades en sus productos, incluyendo componentes de terceros o de código abierto.
  • Documentación técnica: Toda la información sobre la gestión de ciberseguridad debe estar registrada y justificada en la documentación del producto.
  • Certificación de productos críticos: Aquellos productos con especial relevancia para la ciberseguridad deberán someterse a una evaluación por parte de Organismos de Certificación de la Conformidad acreditados en cada Estado miembro.

Marcado CE y conformidad (desarrollado en siguientes entradas)

Los productos con especial relevancia para la ciberseguridad deberán llevar el marcado CE (Conformité Européene), indicando su conformidad con los requisitos del CRA. Para ello, los fabricantes deberán (de modo previo y como requisito para la comercialización en la UE de ese producto):

  • Realizar una evaluación de conformidad para demostrar que el producto cumple con los estándares de ciberseguridad.
  • Emitir una Declaración UE de conformidad, un documento que certifica el cumplimiento del reglamento.
  • Insertar un marcado o certificado 

Conexión con la Directiva sobre responsabilidad por productos defectuosos

Fiume Arno, traversata di Pisa

El CRA complementa lo dispuesto en la Directiva (UE) 2024/2853 sobre responsabilidad por los daños causados por productos defectuosos, que establece la responsabilidad objetiva del fabricante. Esto significa que, conforme a la Directiva, los fabricantes serán responsables de los daños derivados de fallos de seguridad en sus productos, incluso sin necesidad de demostrar culpa o falta de diligencia. Por tanto, si un producto presenta vulnerabilidades tras su comercialización debido a fallos de seguridad, el fabricante podría ser considerado responsable conforme a la Directiva, sin embargo, las obligaciones relativas a actualizaciones de seguridad están definidas específicamente en el CRA.

Entrada en vigor y aplicación

Si bien el CRA entró en vigor el 10 de diciembre de 2024, sus principales requisitos serán exigibles a partir del 27 de diciembre de 2027. Esto brinda a las empresas un período de adaptación para cumplir con las nuevas obligaciones.

SEMINARIO EUROPEO: PARTICIPACIÓN MULTINIVEL DE LOS CIUDADANOS EN LAS DECISIONES DE LA UNIÓN EUROPEA // CITIZENS MULTILEVEL PARTICIPATION IN THE EU DECISSIONS

Seminario Europeo celebrado gracias a la iniciativa de la Comisión Europea; así como a la colaboración de los Grupos de Innovación Docente y Grupos de Investigación de Derecho Mercantil y de Derecho Constitucional de la Universidad de León, y de la Facultad de Derecho de la Universidad de León.

 Disponible como evento en el portal de participación ciudadano de la UE

Misión: Fomentar la comunicación de la Comunidad Universitaria con la Comisión Europea y otras Instituciones de la Unión Europea, a través de nuevas plataformas digitales de la Unión Europea.

Contexto y resumen ejecutivo: Los Grupos de Innovación Docente y de Investigación de Derecho Mercantil y de Derecho Constitucional, con el Servicio de Citizens Engagement de la Comisión Europea celebran, a lo largo del próximo miércoles 19 de febrero de 2025, un seminario europeo donde se presentarán  las principales plataformas ciudadanas para realizar propuestas a la Comisión Europea. El seminario y las mesas que lo componen están especialmente dirigidos a los alumnos de Derecho Mercantil y Derecho Constitucional. Además, la ASISTENCIA PRESENCIAL está ABIERTA A LOS INTERESADOS. (inscripción para constancia a investigadores en https://forms.gle/8bRbMysEYLMZHTDj9)

 

Fecha: 19 Febrero 2025 // Lugar: Salón de Grados- Facultad de Derecho-Universidad de León

Programa y horarios

9:15.- Bienvenida. Facultad de Derecho.

9:30- 10:30 Mesa de Participación ciudadana. Orientación a la pequeña empresa y publicidad. Prop-Ule

  • Carlos Pérez Padilla. -Comisión Europea.
  • Profesores de Derecho Mercantil. Universidad de León
  • Grupos de alumnos del Grado de Márketing e Investigación y Técnicas de Mercado (Derecho Empresarial)
  • Grupos de alumnos del Grado en Derecho (Derecho de la Publicidad)
  • Otros miembros de la Comunidad Universitaria

11:30-13:30 Mesa de Participación ciudadana. Presupuesto de la Unión Europea. Desarrollo humano y desarrollo empresarial: Proponiendo para León

  • Carlos Pérez Padilla. -Comisión Europea.
  • Profesores de Derecho Mercantil. Universidad de León
  • Grupos de alumnos del Grado de Derecho- Grupos de mañana (Derecho Mercantil I; Derecho Constitucional II). Grupo de Derecho Mercantil I del Doble Grado de Derecho y ADE. Grupo de Derecho Mercantil III del Doble Grado de Derecho
  • Otros miembros de la Comunidad Universitaria

17:00-19:00 Mesa de Participación ciudadana. Presupuesto de la Unión Europea. Derechos humanos, empresa y territorios. Propuestas desde León

  • Carlos Pérez Padilla. -Comisión Europea.
  • Profesores de Derecho Mercantil. Universidad de León
  • Grupos de alumnos del Grado de Derecho- Grupos de tarde (Derecho Mercantil I; Derecho Constitucional II)
  • Otros miembros de la Comunidad Universitaria
Organización y secretaría:  Álvarez Robles, Tamara; Díaz Gómez, Elicio; Díaz Gómez, María Angustias; Pérez Carrillo, Elena; Seijas Villadangos, Esther.

 

 

 

Responsabilidad ambiental de sociedades y de sus administradores. RU (II)

Fundamentos para la exigencia de responsabilidad ambiental contra administradores. A propósito de  Reino Unido (II)

 

  • Incumplimiento de deberes (fiduciarios) de los administradores. Como ejemplo cabe recordar que, en marzo de 2024, la ONG ClientEarth anunció que estaba dando el primer paso para iniciar acciones legales en el Reino Unido contra 13 de los directores de Shell, alegando incumplimientos de los deberes de los administradores y directivos por no haber preparado suficientemente el riesgo de transición de Shell a cero emisiones netas. Si el caso prospera, será el primero en el Reino Unido en el que se pretenda responsabilizar personalmente a los consejeros por no haber gestionado adecuadamente el riesgo climático. Ver.
    • El principal fundamento jurídico sustantivo consistió en la acusación de infracción de deberes de los administradores, dado que el artículo 172 de la Ley de Sociedades de 2006 exige a los administradores que actúen de la forma más adecuada para promover el éxito de la empresa, teniendo en cuenta el impacto sobre la comunidad y el medio ambiente. Para ello, los administradores deben actuar con la diligencia, destreza y cuidado razonables.
    • Conforme a los demandantes, los administradores habrían debido adoptar medidas para abordar cuestiones medioambientales como el cambio climático para evitar daños o pérdidas causados a la sociedad.
    • Esta reclamación de la ONG ClientEarth contra los miembros del consejo de Shell por no haber aplicado políticas adecuadas para cumplir las obligaciones de cero emisiones netas poniendo así en peligro el valor a largo plazo de Shell .
  • Otras reclamaciones climáticas pueden derivar de la falta de trasparencia corporativa como ponen de manifiesto los trabajos del Grupo de Trabajo sobre Divulgación de Información Financiera Relacionada con el Clima (TCFD).
    • Desde su publicación en 2017, las recomendaciones del TCFD han sido adoptadas por numerosas organizaciones, convirtiéndose en un estándar de facto para la divulgación de información financiera relacionada con el clima. Se estructuran en torno a :
      • Gobernanza: Divulgar la gobernanza de la organización en torno a los riesgos y oportunidades relacionados con el clima
      • Estrategia: Divulgar los impactos reales y potenciales de los riesgos y oportunidades relacionados con el clima en los negocios, la estrategia y la planificación financiera de la organización
      • Gestión de riesgos: Divulgar cómo la organización identifica, evalúa y gestiona los riesgos relacionados con el clima.
      • Métricas y objetivos: Divulgar las métricas y objetivos utilizados para evaluar y gestionar los riesgos y oportunidades relacionados con el clima.
    • Incluso si estas recomendaciones son autoasumidas por las empresas,  existen importantes obstáculos jurídicos para presentar demandas por falta de trasparencia (o por informaciones erróneas)  sobre riesgos climáticos pues, esa información tendría que estar dirigida a un demandante específico que se hubiera apoyado en ella y que, en consecuencia hubiera sufrido daños. La individualización de los efectos parece poco probable a la luz de la documentación que cumplimentan las empresas en relación con los riesgos climáticos (que suene ser informes de tipo general).
  • Alternativamente, se podría presentar una demanda en el Reino Unido  en virtud de la sección 90A de la Ley de Servicios y Mercados Financieros de 2000 (FSMA), que se ocupa de la información errónea publicada que afecta al mercado. Sin embargo, este tipo de demandas sólo pueden interponerse contra un emisor concreto y siempre que su actuación (o la de sus dirigentes responsables de la publicación de información ) sea deshonesta o temerariamente imprudente temeraria dando lugar a inexactitues en la información.

Defensas y protección de los administradores frente a la exigencia de responsabilidad por daños ambientales

 

Garexo no verán

Garexo no verán

  • La sección 463 de la Ley de Sociedades del Reino Unido de 2006 ofrece un posible puerto seguro para los administradores. En virtud de esta disposición, sólo serán responsables ante la empresa por la información contenida en el informe de gestión, el informe de remuneración de los directores, el informe estratégico, la declaración de gobierno corporativo (u otros informes corporativos preceptivos) ,  en la medida en que conociesen que la información es inexacta o falsa  (o si  ignorasen,  por su propia negligencia, que la declaración era falsa o deshonesta (sección 90A).
Corporate Indemnification (y límites)
  • Algunos administradores se benefician de una indemnización corporativa pactada. O pueden resultar protegidos mediante la contratación de seguros. Sin embargo, existen una serie de límites a estas protecciones. Aunque está admitido que la sociedad puede pagar los costes de los administradores derivados de su defensa en procedimientos civiles (corporate indemnification),  si se dicta sentencia firme contra el administrador o administradores en cuestión, dichas sumas deben ser reembolsadas.
  • Ello es así porque artículo 232 de la Ley de Sociedades de 2006 prohíbe a las sociedades indemnizar a los administradores por su responsabilidad por negligencia, incumplimiento, vulneración del deber o abuso de confianza en relación con la sociedad o una de su grupo.
  • Por otro lado, es lícito que la sociedad financie los gastos de defensa de los administradores en procedimientos iniciados por la autoridad reguladora. Pero, no le está permitido indemnizar al administrador por las sanciones impuestas por la autoridad reguladora (ni abonarlas).
Seguros
  • Las pólizas de administradores y directivos (D&O) aseguran a los administradores (tanto ejecutivos como no ejecutivos) y/o a los directivos corporativos frente a su responsabilidad y a los costes de defensa. La cobertura ofrecida suele ampliarse para cubrir investigaciones, incluidas las penales, reclamaciones relacionadas con mercados de valores, entre otras.
  • Los litigios climáticos contra empresas y sus directivos han implicado hasta la fecha la articulación novedosa de causas  que se hacen valer en procedimientos clásicos (como el incumplimiento de deberes fiduciarios y estatutarios, acciones derivadas, reclamaciones sobre folleto, e investigaciones del regulador) , Estos procedimientos entran de lleno en las que pudieron ser diseñadas en las pólizas de D&O.

Mas:

 

Anuncio e Invitación al Seminario Nuevas tecnologías en las aulas de derecho, el 21.01.2025

I SEMINARIO INTERNACIONAL DE INNOVACIÓN PARA LA DOCENCIA Y EL APRENDIZAJE JURÍDICOS (SIIDAJ)-FACULTAD DE DERECHO- UNIVERSIDAD DE LEÓN-

NUEVAS TECNOLOGÍAS DIGITALES EN LAS AULAS DE DERECHO

21 enero 2025//Salón de Grados-Facultad de Derecho- Universidad de León

 

Este Seminario está dirigido tanto a alumnos de las facultades de derecho y ciencias sociales, como al profesorado, principalmente profesorado en formación. Sus objetivos incluyen:

  •  Comprender el impacto de las nuevas tecnologías en el aprendizaje y en la enseñanza del Derecho
  • Fomentar el uso de la inteligencia artificial y la automatización en la educación jurídica
  • Desarrollar competencias digitales docentes aplicadas al ámbito jurídico
  • Impulsar el uso de plataformas colaborativas para la enseñanza del Derecho
  • Integrar nuevas tecnologías que faciliten el acceso inclusivo a la educación jurídica
  • Crear propuestas prácticas de innovación aplicables al aula de Derecho
  • Preparar a la comunidad jurídica en formación para el uso de herramientas tecnológicas en el ejercicio profesional del Derecho
  • Iniciar en las competencias para el manejo de documentación, producción y edición digital

 

Los participantes que se inscriban, y lo deseen, podrán presentar comunicaciones para su publicación en soporte digital

Matrícula (gratuita) en : https://actividadesextensionuniversitaria.unileon.es/curso.aspx?id=3151

El programa que desarrollaremos es este:

  •  8:45. Inauguración y entrega de credenciales
  •  9:00. Presentación y bienvenida.
  • 9:15. La incorporación de la Inteligencia Artificial en la educación superior.
  • 10:30. Recursos muy didácticos. El H5P en las aulas de derecho (y otras ciencias sociales) 
  • 11:00 Instrumentos de apoyo. Docencia del Derecho apoyada en pantallas interactivas. 
  •  12:30- 14:15 MESA REDONDA. Pioneros con mucho futuro: Redes sociales, blogs, webs
  •  Entre guindas y aguardiente
  • Teoría jurídica y práctica en las redes sociales. 
  • Encantados de conocerles
  • Migrando con Derechos.
  • La web universitaria institucional. Creando una comunidad con proyección global. 

—-

16:30 –MESA REDONDA. Experiencias colaborativas en la elaboración de videos por parte de alumnos

  • Más allá del video estático. “Droneando” en Derecho. 
  • Protagonistas de nuestra película Visualización de videos protagonizados por estudiantes del Grado de Derecho y del Doble Grado de Derecho y ADE de la Universidad de León. Los equipos protagonistas, ganadores de la 3ª edición de “Sostenibilidad Empresa Justicia” GID DERMERULE comentan su experiencia.

18:00 Software inteligente aplicado al estudio y a las profesiones jurídicas.

18:30. – Brainstorning y llamada a comunicaciones.

Más información eperc@unileon.es

A propósito de los «guardianes de acceso» en el Digital Markets Act (DMA)

El DMA, Reglamento (UE) 2022/1925, sobre mercados disputables y equitativos en el sector digital impone obligaciones y prohibiciones a los llamados guardianes de acceso: empresas que proporcionan «servicios básicos de plataforma» , que son designadas como tales por la Comisión Europea (artículo 2(1) DMA). (Se pueden consultar notas anteriores sobre el DMA aqui y aqui )

Luminaria pisana

Tales servicios básicos de plataforma abarcan la mayoría de los proveedores de los principales servicios digitales  (art. 2(2)DMA):

  • Motores de búsqueda y otros servicios de intermediación en línea;
  • Redes sociales, plataformas para compartir vídeos y otros servicios de comunicación interpersonal;
  • Sistemas operativos, navegadores web y asistentes virtuales;
  • Servicios de computación en la nube;
  • Servicios de publicidad en línea.

La Comisión designa a los guardianes como tales, cuando verifica que cumplen una serie de condiciones (art. 3):

  • Un impacto significativo en el mercado de la UE : esta condición se presume si los ingresos anuales de la empresa superan los 7.500 millones de euros o tienen una capitalización de mercado superior a 75.000 millones de euros.
  • Su plataforma de servicios representa un punto de entrada importante  para que los usuarios comerciales lleguen a los usuarios finales: esta condición se presume si la empresa tiene al menos 45 millones de usuarios mensuales y al menos 10 000 usuarios comerciales activos anualmente en la Unión.
  • Una  posición arraigada y duradera  en sus operaciones: esta condición se presume si la empresa cumplió las condiciones anteriores en cada uno de los tres años anteriores a la designación.

En septiembre de 2023, la Comisión Europea designó a seis guardianes: Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft.

Fiume Arno, traversata di Pisa

Obligaciones de los guardianes

Una vez designados, los guardianes de acceso tienen seis meses para cumplir con un conjunto de obligaciones específicas (artículo 3(8)).

Las obligaciones se dividen en dos grupos: unas que se aplican siempre (listadas en el artículo 5 DMA) y otra que contiene obligaciones que la Comisión puede especificar con más detalle (enumeradas en el artículo 6 DMA). En cualqier caso, el cumplimiento de estas obligaciones no puede evitarse con justificaciones de eficiencia o protección de privacidad, sino sólo con alguna excepción establecida en la propia ley ( a diferencia de lo que sucede con las obligaciones derivadas de la legislación de competencia de la UE de conformidad con los artículos 101 y 102 del TFUE).

Las obligaciones impuestas por el DMA son bastante específicas y responden a casos concretos, aunque la Comisión tiene la facultad de actualizarlas, de conformidad con el artículo 12 DMA, para adaptarlas a nuevos productos y modelos comerciales. A día de hoy, algunas obligaciones y prohibiciones destacan por su relación con decisiones judiciales y administrativas previas:

Datos

  • Abuso de la posibilidad técnica de las plataformas de utilizar datos de sus usuarios comerciales. El artículo 6(2) establece la obligación de que los guardianes se abstengan de utilizar los datos de sus usuarios comerciales o de los obtenidos como consecuencia de la relación con ellos. Se entiende generalmente que esta disposición se inspira en la investigación de la Comisión a  Amazon por utilizar los datos de comerciantes usuarios de la plataforma para replicar sus productos más exitosos (posiblemente con la consecuencia de expulsarlos del mercado) (Caso no. AT.40462 – Amazon Marketplace).
  • Acceso de los usuarios comerciales a datos de los guardianes de acceso, por ejemplo, a los datos de los motores de búsqueda (artículo 6(7) y (8), de modo que puedan ser aprovechados al margen de la propia plataforma. Estas disposiciones tienen por objeto generar igualdad de condiciones en áreas en las que los gigantes del big data como Google tienen ventaja.

Neutralidad en la intermediación y distribución

  • El DMA se ocupa de impulsar la distribución justa de productos digitales en las plataformas, de prevenir el abuso del poder de las plataformas que controlan el acceso a la web y a sus propios servicios por parte de millones de usuarios y de evitar  «cuellos de botella» en las web.  Este tipo de preocupación se evidenció , entre otros, cuando Spotify se quejó de no poder celebrar contratos ni facturar, en sus propios términos y condicionados contractuales, con los usuarios de Apple. Sucedía que esta gran digital obligaba -de hecho- a que los pagos de productos y servicios realizados en sus infraestructuras se realizasen empleando el propio el sistema de pago de la aplicación de Apple. En efecto, Apple exigía el abono de una tarifa elevadísima (el 30%) a los proveedores de servicios que se apoyasen en medios de pago distintos de los de la propia Apple. Ello, en su día desencadenó reclamaciones en los Países Bajos  y la interposición de la demanda de Epic Games, en EE. UU.
  • Las prohibiciones relacionadas con estos hechos, se localizan hoy en el artículo 5(2)(c) DMA sobre cruce de datos; en el artículo 6 (3) DMA relativo a acuerdos de vinculación. La obligación legal de permitir las tiendas de aplicaciones de terceros (artículo 6(5) DMA) también está relacionada con los mencionados comportamientos. Y, el llamado acceso «FRAND» a las tiendas de aplicaciones no es ajeno a la voluntad del legislador europeo de evitarlos. En esencia, las disposiciones indicads tienen como objetivo rebajar el nivel de control que ejercen los grandes proveedores de plataformas y los sistemas operativos, como Apple y Google. La DMA promueve que esas plataformas estén abiertas a aplicaciones, servicios de pago y tiendas de aplicaciones de terceros, con el fin de permitir a los usuarios finales diversificar el origen de sus aplicaciones.
  • Con todo, el DMA incluye una cláusula específica que permite a los guardianes rechazar actuar como plataforma de algunos servicios comerciales por cuestiones de integridad o seguridad

Neutralidad de dispositivos e interoperabilidad

  • Los guardianes de acceso deben garantizar que los usuarios puedan desinstalar aplicaciones en los sistemas operativos, asistentes virtuales y navegadores web (6(3) DMA; así como cambiar la configuración predeterminada de servicios como los motores de búsqueda, haciendo frente de modo preventivo a un problema antimonopolio que se remonta a los primeros casos de Microsoft (ver aquí)
  • Los guardianes deberán ofrecer a sus usuarios la posibilidad de elegir entre aplicaciones propias y de terceros (Preámbulo, 45). Esto se relaciona con la sanción de 4,34 bn euros impuesta por la Comisión Europea a Google (ver aqui)
  • Los guardianes de acceso deben abrir sus servicios de mensajería (“servicios de comunicaciones interpersonales independientes de los números”), garantizando la interoperabilidad entre sus servicios y los de terceros.

Neutralidad en la clasificación (prohibición de autopreferenciarse)

  • La prohibición de autopreferenciarse se relaciona con el asunto Google Shopping. Google había introducido un servicio de comparación de compras que permitía a los usuarios comparar rápidamente productos y precios utilizando un botón en la parte superior de la página de resultados de búsqueda de Google. Pero, en ese servicio la gran plataforma  había relegado los sitios de los servicios de la competencia en el interfaz que mostraba los resultados, privándolos de tráfico indispensable. En respuesta, la Comisión ordenó a Google que tratara a los servicios de comparación de compras de la competencia de la misma manera que a los suyos (EU Commission, June 27, 2017, Case no. AT.39740Google Search (Shopping).  El Tribunal General de la UE confirmó la decisión de la Comisión sobre la neutralidad de los motores de búsqueda en 2021 (Case no. T-612/17 – Google and Alphabet v Commission (Google Shopping)  , como hizo el Tribunal de Justicia de la UE (Case C‑48/22 P) . (comentada aqui)
  • Esta disposición se aplicará no sólo a los servicios de comparación de compras, sino también a otras funciones de los motores de búsqueda especializados que Google supuestamente intentó excluir, como bolsas de trabajo, sitios de búsqueda de vuelos o portales de viajes.

Transparencia en la publicidad online

  • Google genera el 80% de sus ingresos a partir de anuncios en línea (así se refleja en las investigaciones de la estadounidense SEC y de la Autoridad Británica de la Competencia).  Sus altísimas ganancias derivan en buena medida, por lo tanto, de su posición dominante en la venta de espacio para anuncios en línea y en la cadena de suministro de los servicios publicitarios .
  • Hoy, el DMA obliga a los proveedores de tecnología publicitaria como Google a proporcionar información completa sobre precios y tarifas  y a proporcionar a sus clientes los datos necesarios para realizar mediciones independientes.

Concentraciones

  • Las GAFA (Google, Amazon, Facebook, Apple) adquirieron más de 400 empresas en la década entre 2009 y 2019. En muchos casos, el resultado fue el cierre de la empresa objetivo, es decir, la eliminación del competidor. Incialmente, tales operaciones resultaron inadvertidas por las autoridades de la competencia pues no superaban los umbrales de notificación (centrados en los ingresos, no en el valor de la transacción) porque las empresas más jóvenes cuyo producto futuro puede llegar a ser muy valioso, no generan ingresos significativos cuando se convierten en objetivo de las grandes, quedando así por debajo del umbral de control de la autoridad de la competencia. Tomando esta situación como referencia, el DMA obliga a los guardianes a informar a la Comisión de todas las transacciones de fusión y adquisición previstas, antes de que se lleven a cabo. Y, si una autoridad de un Estado miembro considera que una transacción es perjudicial, puede solicitar a la Comisión que revise el caso, utilizando el procedimiento de remisión del artículo 22 del Reglamento 139/2004 (UE) (Reglamento de concentraciones).
  • Conforme al DMA,  la Comisión puede imponer una prohibición total de todas las transacciones de los infractores reincidentes. Ese «incumplimiento sistemático» o «reincidente» se produce si un guardián de acceso viola las mismas obligaciones o obligaciones similares. A tal efecto, la Comisión puede realizar investigacions (artículo 16(3a) DMA).

Gobernanza

  • Los guardianes están obligados a crear departamentos de cumplimiento específicos dentro de sus empresas, así como a instalar sistemas de gestión de riesgos (art. 28 DMA): Los guardianes de acceso establecerán una función de comprobación del cumplimiento que sea independiente de sus funciones operativas y esté integrada por uno o varios agentes de cumplimiento, entre los que se encontrará el responsable de la función de comprobación del cumplimiento).

Supervisión y control

Ponti sull’Arno pisano

La Comisión Europea es la principal responsable del control y supervisión del DMA. Las autoridades de los Estados miembros participan a través de la Red Europea de Competencia y del «Grupo de alto nivel» de la DMA, que sólo tiene una función consultiva (artículo 40). Además, las autoridades de los Estados miembros y la Comisión están obligadas a informarse mutuamente sobre los trabajos pertinentes . No obstante, las autoridades nacionales pueden investigar por sí mismas las infracciones de las obligaciones si la Comisión no actúa. Las decisiones nacionales no deben contradecir las decisiones de la Comisión.

La Comisión puede hacer uso de sus poderes de ejecución comunes en las investigaciones habituales (en derecho de la copetencia) sobre prácticas antimonopolio, cárteles y fusiones:

  • solicitar información (artículo 21)
  • inspección (artículos 22 y 23, principalmente)
  • compromisos (artículo 25)
  • investigaciones de mercado para preparar un procedimiento completo (varios artículos).
  • medidas cautelares (artículos 30 y 31).

La Comisión puede imponer multas de hasta el 10% de la facturación anual mundial del guardián, y del 20% en casos de incumplimiento sistemático (artículo 26).

Las decisiones  de la Comisión están sujetas a revisión por parte de los tribunales de la UE ( artículo 261 del TFUE)

 

Entrada realizada con el apoyo del Proyecto (nacional)TED2021-130344B-100, DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO financiado por MCIN/AEI/10.13039/501100011033 y por la UE NextGenerationEU/PRTR.