Archivo del Autor: Elena F Pérez Carrillo

Acerca de Elena F Pérez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de León

Primeros desarrollos reglamentarios y de normas técnicas de DORA. Listados

Posted on por

Las normas de desarrollo del DORA, aprobadas por la Comisión Europea  con el apoyo en las normas técnicas de las autoridades independientes financieras  han sido ya en su mayoría  adoptadas, o al menos han sido publicadas los borradores finales de normas técnicas:

Rio Arno, Luminaria, di San Rainieri, 2024

 

 

Sobre la Directiva DORA, el Reglamento DORA y las cadenas de proveedores TIC en el sector financiero

Posted on por

La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea.

Il Giardino II

Il Giardino II

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbación relacionada con las tecnologías de la información y la comunicación (TIC). Además, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gestión de riesgos derivados de las terceras partes que proveen servicios tecnológicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposición concluyó el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

  • Directiva 2009/65/CE: relativa a la coordinación de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversión colectiva en valores mobiliarios (OICVM).
  • Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
  • Directiva 2011/61/UE: relativa a los gestores de fondos de inversión alternativos.
  • Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de crédito y la supervisión prudencial de las entidades de crédito y las empresas de inversión.
  • Directiva 2014/59/UE: por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.
  • Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
  • Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
  • Directiva (UE) 2016/2341 relativa a las actividades y la supervisión de los fondos de pensiones de empleo.

Objetivos de la directiva:

Camminare sopra le mura pisane

  1. Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
  2.  Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
  3. Supervisión y gestión de riesgos: Implementar mecanismos robustos de gestión de riesgos de las TIC y establecer procesos de notificación de incidentes significativos.
  4. Terceras Partes Críticas: Regular la supervisión de proveedores externos de servicios TIC que sean críticos para el funcionamiento de las entidades financieras, asegurando que también cumplan con los estándares de resiliencia operativa.

En relación con este último aspecto,  las cadenas de suministros TIC más importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gestión de Riesgos de Terceras Partes Críticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios críticos, como los proveedores de tecnología, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Artículo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios críticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibernéticos. En particular, se exige que las entidades financieras evalúen la concentración de sus proveedores, para evitar dependencias excesivas de un único proveedor o de una región geográfica vulnerable.

4.2 Supervisión de las Cadenas de Valor Externas

La directiva establece una obligación de transparencia y supervisión de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnológicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibernéticos, tecnológicos o de infraestructura que afecten a los servicios críticos.

4.3 Requisitos de Notificación de Incidentes de Terceras Partes

El Artículo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a través de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Además, las autoridades competentes deben tener acceso a esta información para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deberán informar de los incidentes que hayan tenido un impacto significativo en su operación o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluación y Mitigación de Riesgos en las Cadenas de Valor

  • La directiva también obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sistémicos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnología.
  • Las medidas de mitigación pueden incluir la diversificación de proveedores y la gestión de contratos con cláusulas específicas que aseguren la continuidad de los servicios en caso de crisis.

  4.5 Intervención de las Autoridades de Supervisión

  • Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisión pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

¿Qué relación tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los ámbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un énfasis en la gestión de riesgos de las cadenas de valor externas y la supervisión de las relaciones con terceros. Se ocupa de los siguientes aspectos de las cadenas de valor:

  • La Directiva se enfoca en la gestión de riesgos derivados de los proveedores de servicios tecnológicos críticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnología. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios críticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
  • En cuanto a la evaluación de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. También exige que las entidades informen sobre incidentes graves de terceros que afecten su operación.
  • Por lo que respecta a la supervisión y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibernéticos o tecnológicos que puedan afectar la cadena de valor.

Teverga

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles más técnicos y operativos sobre la implementación de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos específicos y los procedimientos.

  • El Reglamento DORA establece los detalles operativos para la evaluación de proveedores de servicios críticos (terceras partes). En él, se encuentran las especificaciones para la supervisión de los proveedores de servicios tecnológicos y los requisitos detallados sobre cómo las entidades financieras deben gestionar su relación con estos proveedores.
  • El artículo 28 del Reglamento detalla cómo deben gestionarse las relaciones contractuales con los proveedores críticos, asegurando que las cláusulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
  • El Reglamento DORA define los requisitos más detallados para la evaluación de riesgos y la mitigación de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnológicos.
  • Establece las obligaciones de monitoreo y gestión continua de las relaciones con terceros y cómo las entidades deben gestionar los riesgos de concentración, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la  Directiva DORA proporciona el marco legal general para la gestión de riesgos de las cadenas de valor en el sector financiero, enfocándose en las relaciones con proveedores externos (servicios críticos) y la obligación de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el Reglamento DORA ofrece los detalles operativos y específicos sobre cómo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluación de riesgos, contratos con proveedores y supervisión continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos específicos para llevar a cabo esos principios en la práctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

Posted on por

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Conformidad de los Productos con Elementos Digitales en el Reglamento de Ciberresiliencia

Posted on por

El Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.° 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia, CRA por sus siglas en inglés) introduce un sistema escalonado de verificación de conformidad, para que los productos con elementos digitales cumplen con estándares de ciberseguridad antes de su comercialización en la UE. La combinación de la declaración de conformidad, la certificación y el marcado CE refuerza la seguridad en el ecosistema digital europeo

1. Declaración UE de Conformidad (Artículo 20 CRA)

Es un documento obligatorio que el fabricante debe emitir para confirmar que su producto cumple con los requisitos esenciales de ciberseguridad establecidos en el Anexo I del Reglamento.

  • Es exigida para todos los productos con elementos digitales que entran en el mercado de la UE.
  • Permite la libre circulación de estos productos dentro del mercado único europeo.
  • Debe mantenerse actualizada y accesible para las autoridades nacionales competentes durante al menos 10 años después de que el producto haya sido comercializado.
  • Su contenido mínimo está detallado en el Anexo V del Reglamento.

2. Certificación Europea de Ciberseguridad (Artículo 21 CRA)

Para productos considerados de mayor riesgo, el Reglamento exige una certificación de ciberseguridad que verifique su conformidad con los estándares europeos.

  • Aplica a los productos críticos con elementos digitales enumerados en el Anexo IV del CRA.
  • La certificación se realiza bajo esquemas europeos de certificación regulados por el Reglamento (UE) 2019/881 sobre ciberseguridad.
  • Existen tres niveles de garantía, en función del riesgo:
    • Básico: Protección contra riesgos mínimos.
    • Sustancial: Protección frente a ataques más sofisticados.
    • Alto: Garantiza un alto nivel de resistencia ante amenazas avanzadas.
  • La certificación debe ser realizada por Organismos de Evaluación de la Conformidad, acreditados por los Estados miembros y supervisados por la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

3. Marcado CE y Obligaciones del Fabricante (Artículos 18 y 19 CRA)

El marcado CE indica que un producto cumple con los requisitos del CRA y que puede comercializarse en la UE.

  • Con el marcado, el fabricante garantiza que el producto ha pasado los procedimientos de evaluación de conformidad.
  • Debe ser visible, legible e indeleble en el propio producto, su embalaje o su documentación.
  • Las autoridades nacionales pueden solicitar pruebas de conformidad y, en caso de incumplimiento, exigir la retirada del producto del mercado.

4. Procedimientos de Evaluación de la Conformidad (Artículo 22 CRA)

El CRA establece diferentes procedimientos para evaluar si un producto cumple con los requisitos de ciberseguridad:

      1. Control interno de la producción:

        • Aplicable a productos con menor impacto en la ciberseguridad.
        • El fabricante realiza una autoevaluación y emite la Declaración UE de Conformidad.

      2. Gestión de calidad total:

        • Aplicable a productos con mayor impacto en la ciberseguridad (por ejemplo, los del Anexo III del Reglamento).
        • Requiere que un organismo independiente supervise el sistema de gestión de calidad del fabricante.

      3. Evaluación por un organismo notificado:

        • Obligatorio para productos críticos incluidos en el Anexo IV.
        • Un organismo de certificación independiente (acreditado para certificar) verifica la conformidad antes de su comercialización.

Reglamento de Ciberresiliencia (CRA): Nuevas Obligaciones en Materia de Ciberseguridad para Productos con Elementos Digitales

Posted on por

El 10 de diciembre de 2024 entró en vigor el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, más conocido como Reglamento de Ciberresiliencia (CRA, por sus siglas en inglés). Establece requisitos de ciberseguridad para los productos con elementos digitales y modifica el ordenamiento anterior, principalmente el Reglamento (UE) n.º 168/2013, el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.

El Reglamento de Ciberresiliencia representa un cambio significativo en la normativa de ciberseguridad en la UE con obligaciones claras para fabricantes y distribuidores, que repercuten en la mejor protección de consumidores y empresas al exigir productos más seguros en el mercado. En este blog ya se había prestado atención a la Propuesta de la Comisión

El Reglamento de Ciberresiliencia introduce normas horizontales aplicables a múltiples sectores, estableciendo requisitos mínimos de ciberseguridad en toda la UE para

  • Mejorar la ciberseguridad de muchos productos y evitar la falta de actualizaciones de seguridad oportunas.
  • Facilitar que los productos digitales sean seguros a lo largo de su ciclo de vida.
  • Exigir a los fabricantes una supervisión continua de sus productos tras su comercialización.
  • Obligar a la certificación de productos críticos mediante organismos de certificación especializados.

Tambre

El CRA define los productos digitales en su artículo 3, como: «Programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado.»

En términos simples, los productos digitales son cualquier producto de software o hardware que incorpore elementos digitales y esté conectado directa o indirectamente a otro dispositivo o red.

El Reglamento se aplica a todos los productos digitales que puedan suponer un riesgo para la ciberseguridad dentro del mercado de la UE. No obstante, establece excepciones para algunos sectores ya regulados, como los productos sanitarios, la aviación y la automoción. También quedan excluidos ciertos productos de software de código abierto que ya cuentan con normas específicas. Además, introduce disposiciones particulares para repuestos de componentes, estableciendo que estos quedan exentos de los requisitos del CRA si cumplen dos condiciones:

  • Ser utilizados para reparar productos comercializados antes de la entrada en vigor del CRA.
  • Haber sido ya sometidos a un procedimiento de evaluación de conformidad compatible con el CRA.

En relación con los fabricantes, los principales (no los únicos) sometidos al Reglamento, los artículos 13 a 15 detallan sus principales obligaciones:

 

  • Evaluación de riesgos de ciberseguridad: Los fabricantes deben realizar una evaluación integral de riesgos en todas las fases del ciclo de vida del producto, desde su planificación hasta su mantenimiento. Esta evaluación debe documentarse y actualizarse periódicamente.
  • Diseño seguro desde el origen: Los productos deben desarrollarse con medidas de ciberseguridad adecuadas desde su concepción, asegurando que las posibles amenazas sean identificadas y mitigadas.
  • Gestión de vulnerabilidades: Los fabricantes deben detectar, notificar y corregir vulnerabilidades en sus productos, incluyendo componentes de terceros o de código abierto.
  • Documentación técnica: Toda la información sobre la gestión de ciberseguridad debe estar registrada y justificada en la documentación del producto.
  • Certificación de productos críticos: Aquellos productos con especial relevancia para la ciberseguridad deberán someterse a una evaluación por parte de Organismos de Certificación de la Conformidad acreditados en cada Estado miembro.

Marcado CE y conformidad (desarrollado en siguientes entradas)

Los productos con especial relevancia para la ciberseguridad deberán llevar el marcado CE (Conformité Européene), indicando su conformidad con los requisitos del CRA. Para ello, los fabricantes deberán (de modo previo y como requisito para la comercialización en la UE de ese producto):

  • Realizar una evaluación de conformidad para demostrar que el producto cumple con los estándares de ciberseguridad.
  • Emitir una Declaración UE de conformidad, un documento que certifica el cumplimiento del reglamento.
  • Insertar un marcado o certificado 

Conexión con la Directiva sobre responsabilidad por productos defectuosos

Fiume Arno, traversata di Pisa

El CRA complementa lo dispuesto en la Directiva (UE) 2024/2853 sobre responsabilidad por los daños causados por productos defectuosos, que establece la responsabilidad objetiva del fabricante. Esto significa que, conforme a la Directiva, los fabricantes serán responsables de los daños derivados de fallos de seguridad en sus productos, incluso sin necesidad de demostrar culpa o falta de diligencia. Por tanto, si un producto presenta vulnerabilidades tras su comercialización debido a fallos de seguridad, el fabricante podría ser considerado responsable conforme a la Directiva, sin embargo, las obligaciones relativas a actualizaciones de seguridad están definidas específicamente en el CRA.

Entrada en vigor y aplicación

Si bien el CRA entró en vigor el 10 de diciembre de 2024, sus principales requisitos serán exigibles a partir del 27 de diciembre de 2027. Esto brinda a las empresas un período de adaptación para cumplir con las nuevas obligaciones.

SEMINARIO EUROPEO: PARTICIPACIÓN MULTINIVEL DE LOS CIUDADANOS EN LAS DECISIONES DE LA UNIÓN EUROPEA // CITIZENS MULTILEVEL PARTICIPATION IN THE EU DECISSIONS

Posted on por

Seminario Europeo celebrado gracias a la iniciativa de la Comisión Europea; así como a la colaboración de los Grupos de Innovación Docente y Grupos de Investigación de Derecho Mercantil y de Derecho Constitucional de la Universidad de León, y de la Facultad de Derecho de la Universidad de León.

 Disponible como evento en el portal de participación ciudadano de la UE

Misión: Fomentar la comunicación de la Comunidad Universitaria con la Comisión Europea y otras Instituciones de la Unión Europea, a través de nuevas plataformas digitales de la Unión Europea.

Contexto y resumen ejecutivo: Los Grupos de Innovación Docente y de Investigación de Derecho Mercantil y de Derecho Constitucional, con el Servicio de Citizens Engagement de la Comisión Europea celebran, a lo largo del próximo miércoles 19 de febrero de 2025, un seminario europeo donde se presentarán  las principales plataformas ciudadanas para realizar propuestas a la Comisión Europea. El seminario y las mesas que lo componen están especialmente dirigidos a los alumnos de Derecho Mercantil y Derecho Constitucional. Además, la ASISTENCIA PRESENCIAL está ABIERTA A LOS INTERESADOS. (inscripción para constancia a investigadores en https://forms.gle/8bRbMysEYLMZHTDj9)

 

Fecha: 19 Febrero 2025 // Lugar: Salón de Grados- Facultad de Derecho-Universidad de León

Programa y horarios

9:15.- Bienvenida. Facultad de Derecho.

9:30- 10:30 Mesa de Participación ciudadana. Orientación a la pequeña empresa y publicidad. Prop-Ule

  • Carlos Pérez Padilla. -Comisión Europea.
  • Profesores de Derecho Mercantil. Universidad de León
  • Grupos de alumnos del Grado de Márketing e Investigación y Técnicas de Mercado (Derecho Empresarial)
  • Grupos de alumnos del Grado en Derecho (Derecho de la Publicidad)
  • Otros miembros de la Comunidad Universitaria

11:30-13:30 Mesa de Participación ciudadana. Presupuesto de la Unión Europea. Desarrollo humano y desarrollo empresarial: Proponiendo para León

  • Carlos Pérez Padilla. -Comisión Europea.
  • Profesores de Derecho Mercantil. Universidad de León
  • Grupos de alumnos del Grado de Derecho- Grupos de mañana (Derecho Mercantil I; Derecho Constitucional II). Grupo de Derecho Mercantil I del Doble Grado de Derecho y ADE. Grupo de Derecho Mercantil III del Doble Grado de Derecho
  • Otros miembros de la Comunidad Universitaria

17:00-19:00 Mesa de Participación ciudadana. Presupuesto de la Unión Europea. Derechos humanos, empresa y territorios. Propuestas desde León

  • Carlos Pérez Padilla. -Comisión Europea.
  • Profesores de Derecho Mercantil. Universidad de León
  • Grupos de alumnos del Grado de Derecho- Grupos de tarde (Derecho Mercantil I; Derecho Constitucional II)
  • Otros miembros de la Comunidad Universitaria
Organización y secretaría:  Álvarez Robles, Tamara; Díaz Gómez, Elicio; Díaz Gómez, María Angustias; Pérez Carrillo, Elena; Seijas Villadangos, Esther.

 

 

 

Responsabilidad ambiental de sociedades y de sus administradores. RU (II)

Posted on por

Fundamentos para la exigencia de responsabilidad ambiental contra administradores. A propósito de  Reino Unido (II)

 

  • Incumplimiento de deberes (fiduciarios) de los administradores. Como ejemplo cabe recordar que, en marzo de 2024, la ONG ClientEarth anunció que estaba dando el primer paso para iniciar acciones legales en el Reino Unido contra 13 de los directores de Shell, alegando incumplimientos de los deberes de los administradores y directivos por no haber preparado suficientemente el riesgo de transición de Shell a cero emisiones netas. Si el caso prospera, será el primero en el Reino Unido en el que se pretenda responsabilizar personalmente a los consejeros por no haber gestionado adecuadamente el riesgo climático. Ver.
    • El principal fundamento jurídico sustantivo consistió en la acusación de infracción de deberes de los administradores, dado que el artículo 172 de la Ley de Sociedades de 2006 exige a los administradores que actúen de la forma más adecuada para promover el éxito de la empresa, teniendo en cuenta el impacto sobre la comunidad y el medio ambiente. Para ello, los administradores deben actuar con la diligencia, destreza y cuidado razonables.
    • Conforme a los demandantes, los administradores habrían debido adoptar medidas para abordar cuestiones medioambientales como el cambio climático para evitar daños o pérdidas causados a la sociedad.
    • Esta reclamación de la ONG ClientEarth contra los miembros del consejo de Shell por no haber aplicado políticas adecuadas para cumplir las obligaciones de cero emisiones netas poniendo así en peligro el valor a largo plazo de Shell .
  • Otras reclamaciones climáticas pueden derivar de la falta de trasparencia corporativa como ponen de manifiesto los trabajos del Grupo de Trabajo sobre Divulgación de Información Financiera Relacionada con el Clima (TCFD).
    • Desde su publicación en 2017, las recomendaciones del TCFD han sido adoptadas por numerosas organizaciones, convirtiéndose en un estándar de facto para la divulgación de información financiera relacionada con el clima. Se estructuran en torno a :
      • Gobernanza: Divulgar la gobernanza de la organización en torno a los riesgos y oportunidades relacionados con el clima
      • Estrategia: Divulgar los impactos reales y potenciales de los riesgos y oportunidades relacionados con el clima en los negocios, la estrategia y la planificación financiera de la organización
      • Gestión de riesgos: Divulgar cómo la organización identifica, evalúa y gestiona los riesgos relacionados con el clima.
      • Métricas y objetivos: Divulgar las métricas y objetivos utilizados para evaluar y gestionar los riesgos y oportunidades relacionados con el clima.
    • Incluso si estas recomendaciones son autoasumidas por las empresas,  existen importantes obstáculos jurídicos para presentar demandas por falta de trasparencia (o por informaciones erróneas)  sobre riesgos climáticos pues, esa información tendría que estar dirigida a un demandante específico que se hubiera apoyado en ella y que, en consecuencia hubiera sufrido daños. La individualización de los efectos parece poco probable a la luz de la documentación que cumplimentan las empresas en relación con los riesgos climáticos (que suene ser informes de tipo general).
  • Alternativamente, se podría presentar una demanda en el Reino Unido  en virtud de la sección 90A de la Ley de Servicios y Mercados Financieros de 2000 (FSMA), que se ocupa de la información errónea publicada que afecta al mercado. Sin embargo, este tipo de demandas sólo pueden interponerse contra un emisor concreto y siempre que su actuación (o la de sus dirigentes responsables de la publicación de información ) sea deshonesta o temerariamente imprudente temeraria dando lugar a inexactitues en la información.

Defensas y protección de los administradores frente a la exigencia de responsabilidad por daños ambientales

 

Garexo no verán

Garexo no verán

  • La sección 463 de la Ley de Sociedades del Reino Unido de 2006 ofrece un posible puerto seguro para los administradores. En virtud de esta disposición, sólo serán responsables ante la empresa por la información contenida en el informe de gestión, el informe de remuneración de los directores, el informe estratégico, la declaración de gobierno corporativo (u otros informes corporativos preceptivos) ,  en la medida en que conociesen que la información es inexacta o falsa  (o si  ignorasen,  por su propia negligencia, que la declaración era falsa o deshonesta (sección 90A).
Corporate Indemnification (y límites)
  • Algunos administradores se benefician de una indemnización corporativa pactada. O pueden resultar protegidos mediante la contratación de seguros. Sin embargo, existen una serie de límites a estas protecciones. Aunque está admitido que la sociedad puede pagar los costes de los administradores derivados de su defensa en procedimientos civiles (corporate indemnification),  si se dicta sentencia firme contra el administrador o administradores en cuestión, dichas sumas deben ser reembolsadas.
  • Ello es así porque artículo 232 de la Ley de Sociedades de 2006 prohíbe a las sociedades indemnizar a los administradores por su responsabilidad por negligencia, incumplimiento, vulneración del deber o abuso de confianza en relación con la sociedad o una de su grupo.
  • Por otro lado, es lícito que la sociedad financie los gastos de defensa de los administradores en procedimientos iniciados por la autoridad reguladora. Pero, no le está permitido indemnizar al administrador por las sanciones impuestas por la autoridad reguladora (ni abonarlas).
Seguros
  • Las pólizas de administradores y directivos (D&O) aseguran a los administradores (tanto ejecutivos como no ejecutivos) y/o a los directivos corporativos frente a su responsabilidad y a los costes de defensa. La cobertura ofrecida suele ampliarse para cubrir investigaciones, incluidas las penales, reclamaciones relacionadas con mercados de valores, entre otras.
  • Los litigios climáticos contra empresas y sus directivos han implicado hasta la fecha la articulación novedosa de causas  que se hacen valer en procedimientos clásicos (como el incumplimiento de deberes fiduciarios y estatutarios, acciones derivadas, reclamaciones sobre folleto, e investigaciones del regulador) , Estos procedimientos entran de lleno en las que pudieron ser diseñadas en las pólizas de D&O.

Mas:

 

Anuncio e Invitación al Seminario Nuevas tecnologías en las aulas de derecho, el 21.01.2025

Posted on por

I SEMINARIO INTERNACIONAL DE INNOVACIÓN PARA LA DOCENCIA Y EL APRENDIZAJE JURÍDICOS (SIIDAJ)-FACULTAD DE DERECHO- UNIVERSIDAD DE LEÓN-

NUEVAS TECNOLOGÍAS DIGITALES EN LAS AULAS DE DERECHO

21 enero 2025//Salón de Grados-Facultad de Derecho- Universidad de León

 

Este Seminario está dirigido tanto a alumnos de las facultades de derecho y ciencias sociales, como al profesorado, principalmente profesorado en formación. Sus objetivos incluyen:

  •  Comprender el impacto de las nuevas tecnologías en el aprendizaje y en la enseñanza del Derecho
  • Fomentar el uso de la inteligencia artificial y la automatización en la educación jurídica
  • Desarrollar competencias digitales docentes aplicadas al ámbito jurídico
  • Impulsar el uso de plataformas colaborativas para la enseñanza del Derecho
  • Integrar nuevas tecnologías que faciliten el acceso inclusivo a la educación jurídica
  • Crear propuestas prácticas de innovación aplicables al aula de Derecho
  • Preparar a la comunidad jurídica en formación para el uso de herramientas tecnológicas en el ejercicio profesional del Derecho
  • Iniciar en las competencias para el manejo de documentación, producción y edición digital

 

Los participantes que se inscriban, y lo deseen, podrán presentar comunicaciones para su publicación en soporte digital

Matrícula (gratuita) en : https://actividadesextensionuniversitaria.unileon.es/curso.aspx?id=3151

El programa que desarrollaremos es este:

  •  8:45. Inauguración y entrega de credenciales
  •  9:00. Presentación y bienvenida.
  • 9:15. La incorporación de la Inteligencia Artificial en la educación superior.
  • 10:30. Recursos muy didácticos. El H5P en las aulas de derecho (y otras ciencias sociales) 
  • 11:00 Instrumentos de apoyo. Docencia del Derecho apoyada en pantallas interactivas. 
  •  12:30- 14:15 MESA REDONDA. Pioneros con mucho futuro: Redes sociales, blogs, webs
  •  Entre guindas y aguardiente
  • Teoría jurídica y práctica en las redes sociales. 
  • Encantados de conocerles
  • Migrando con Derechos.
  • La web universitaria institucional. Creando una comunidad con proyección global. 

—-

16:30 –MESA REDONDA. Experiencias colaborativas en la elaboración de videos por parte de alumnos

  • Más allá del video estático. “Droneando” en Derecho. 
  • Protagonistas de nuestra película Visualización de videos protagonizados por estudiantes del Grado de Derecho y del Doble Grado de Derecho y ADE de la Universidad de León. Los equipos protagonistas, ganadores de la 3ª edición de “Sostenibilidad Empresa Justicia” GID DERMERULE comentan su experiencia.

18:00 Software inteligente aplicado al estudio y a las profesiones jurídicas.

18:30. – Brainstorning y llamada a comunicaciones.

Más información eperc@unileon.es

A propósito de los «guardianes de acceso» en el Digital Markets Act (DMA)

Posted on por

El DMA, Reglamento (UE) 2022/1925, sobre mercados disputables y equitativos en el sector digital impone obligaciones y prohibiciones a los llamados guardianes de acceso: empresas que proporcionan «servicios básicos de plataforma» , que son designadas como tales por la Comisión Europea (artículo 2(1) DMA). (Se pueden consultar notas anteriores sobre el DMA aqui y aqui )

Luminaria pisana

Tales servicios básicos de plataforma abarcan la mayoría de los proveedores de los principales servicios digitales  (art. 2(2)DMA):

  • Motores de búsqueda y otros servicios de intermediación en línea;
  • Redes sociales, plataformas para compartir vídeos y otros servicios de comunicación interpersonal;
  • Sistemas operativos, navegadores web y asistentes virtuales;
  • Servicios de computación en la nube;
  • Servicios de publicidad en línea.

La Comisión designa a los guardianes como tales, cuando verifica que cumplen una serie de condiciones (art. 3):

  • Un impacto significativo en el mercado de la UE : esta condición se presume si los ingresos anuales de la empresa superan los 7.500 millones de euros o tienen una capitalización de mercado superior a 75.000 millones de euros.
  • Su plataforma de servicios representa un punto de entrada importante  para que los usuarios comerciales lleguen a los usuarios finales: esta condición se presume si la empresa tiene al menos 45 millones de usuarios mensuales y al menos 10 000 usuarios comerciales activos anualmente en la Unión.
  • Una  posición arraigada y duradera  en sus operaciones: esta condición se presume si la empresa cumplió las condiciones anteriores en cada uno de los tres años anteriores a la designación.

En septiembre de 2023, la Comisión Europea designó a seis guardianes: Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft.

Fiume Arno, traversata di Pisa

Obligaciones de los guardianes

Una vez designados, los guardianes de acceso tienen seis meses para cumplir con un conjunto de obligaciones específicas (artículo 3(8)).

Las obligaciones se dividen en dos grupos: unas que se aplican siempre (listadas en el artículo 5 DMA) y otra que contiene obligaciones que la Comisión puede especificar con más detalle (enumeradas en el artículo 6 DMA). En cualqier caso, el cumplimiento de estas obligaciones no puede evitarse con justificaciones de eficiencia o protección de privacidad, sino sólo con alguna excepción establecida en la propia ley ( a diferencia de lo que sucede con las obligaciones derivadas de la legislación de competencia de la UE de conformidad con los artículos 101 y 102 del TFUE).

Las obligaciones impuestas por el DMA son bastante específicas y responden a casos concretos, aunque la Comisión tiene la facultad de actualizarlas, de conformidad con el artículo 12 DMA, para adaptarlas a nuevos productos y modelos comerciales. A día de hoy, algunas obligaciones y prohibiciones destacan por su relación con decisiones judiciales y administrativas previas:

Datos

  • Abuso de la posibilidad técnica de las plataformas de utilizar datos de sus usuarios comerciales. El artículo 6(2) establece la obligación de que los guardianes se abstengan de utilizar los datos de sus usuarios comerciales o de los obtenidos como consecuencia de la relación con ellos. Se entiende generalmente que esta disposición se inspira en la investigación de la Comisión a  Amazon por utilizar los datos de comerciantes usuarios de la plataforma para replicar sus productos más exitosos (posiblemente con la consecuencia de expulsarlos del mercado) (Caso no. AT.40462 – Amazon Marketplace).
  • Acceso de los usuarios comerciales a datos de los guardianes de acceso, por ejemplo, a los datos de los motores de búsqueda (artículo 6(7) y (8), de modo que puedan ser aprovechados al margen de la propia plataforma. Estas disposiciones tienen por objeto generar igualdad de condiciones en áreas en las que los gigantes del big data como Google tienen ventaja.

Neutralidad en la intermediación y distribución

  • El DMA se ocupa de impulsar la distribución justa de productos digitales en las plataformas, de prevenir el abuso del poder de las plataformas que controlan el acceso a la web y a sus propios servicios por parte de millones de usuarios y de evitar  «cuellos de botella» en las web.  Este tipo de preocupación se evidenció , entre otros, cuando Spotify se quejó de no poder celebrar contratos ni facturar, en sus propios términos y condicionados contractuales, con los usuarios de Apple. Sucedía que esta gran digital obligaba -de hecho- a que los pagos de productos y servicios realizados en sus infraestructuras se realizasen empleando el propio el sistema de pago de la aplicación de Apple. En efecto, Apple exigía el abono de una tarifa elevadísima (el 30%) a los proveedores de servicios que se apoyasen en medios de pago distintos de los de la propia Apple. Ello, en su día desencadenó reclamaciones en los Países Bajos  y la interposición de la demanda de Epic Games, en EE. UU.
  • Las prohibiciones relacionadas con estos hechos, se localizan hoy en el artículo 5(2)(c) DMA sobre cruce de datos; en el artículo 6 (3) DMA relativo a acuerdos de vinculación. La obligación legal de permitir las tiendas de aplicaciones de terceros (artículo 6(5) DMA) también está relacionada con los mencionados comportamientos. Y, el llamado acceso «FRAND» a las tiendas de aplicaciones no es ajeno a la voluntad del legislador europeo de evitarlos. En esencia, las disposiciones indicads tienen como objetivo rebajar el nivel de control que ejercen los grandes proveedores de plataformas y los sistemas operativos, como Apple y Google. La DMA promueve que esas plataformas estén abiertas a aplicaciones, servicios de pago y tiendas de aplicaciones de terceros, con el fin de permitir a los usuarios finales diversificar el origen de sus aplicaciones.
  • Con todo, el DMA incluye una cláusula específica que permite a los guardianes rechazar actuar como plataforma de algunos servicios comerciales por cuestiones de integridad o seguridad

Neutralidad de dispositivos e interoperabilidad

  • Los guardianes de acceso deben garantizar que los usuarios puedan desinstalar aplicaciones en los sistemas operativos, asistentes virtuales y navegadores web (6(3) DMA; así como cambiar la configuración predeterminada de servicios como los motores de búsqueda, haciendo frente de modo preventivo a un problema antimonopolio que se remonta a los primeros casos de Microsoft (ver aquí)
  • Los guardianes deberán ofrecer a sus usuarios la posibilidad de elegir entre aplicaciones propias y de terceros (Preámbulo, 45). Esto se relaciona con la sanción de 4,34 bn euros impuesta por la Comisión Europea a Google (ver aqui)
  • Los guardianes de acceso deben abrir sus servicios de mensajería (“servicios de comunicaciones interpersonales independientes de los números”), garantizando la interoperabilidad entre sus servicios y los de terceros.

Neutralidad en la clasificación (prohibición de autopreferenciarse)

  • La prohibición de autopreferenciarse se relaciona con el asunto Google Shopping. Google había introducido un servicio de comparación de compras que permitía a los usuarios comparar rápidamente productos y precios utilizando un botón en la parte superior de la página de resultados de búsqueda de Google. Pero, en ese servicio la gran plataforma  había relegado los sitios de los servicios de la competencia en el interfaz que mostraba los resultados, privándolos de tráfico indispensable. En respuesta, la Comisión ordenó a Google que tratara a los servicios de comparación de compras de la competencia de la misma manera que a los suyos (EU Commission, June 27, 2017, Case no. AT.39740Google Search (Shopping).  El Tribunal General de la UE confirmó la decisión de la Comisión sobre la neutralidad de los motores de búsqueda en 2021 (Case no. T-612/17 – Google and Alphabet v Commission (Google Shopping)  , como hizo el Tribunal de Justicia de la UE (Case C‑48/22 P) . (comentada aqui)
  • Esta disposición se aplicará no sólo a los servicios de comparación de compras, sino también a otras funciones de los motores de búsqueda especializados que Google supuestamente intentó excluir, como bolsas de trabajo, sitios de búsqueda de vuelos o portales de viajes.

Transparencia en la publicidad online

  • Google genera el 80% de sus ingresos a partir de anuncios en línea (así se refleja en las investigaciones de la estadounidense SEC y de la Autoridad Británica de la Competencia).  Sus altísimas ganancias derivan en buena medida, por lo tanto, de su posición dominante en la venta de espacio para anuncios en línea y en la cadena de suministro de los servicios publicitarios .
  • Hoy, el DMA obliga a los proveedores de tecnología publicitaria como Google a proporcionar información completa sobre precios y tarifas  y a proporcionar a sus clientes los datos necesarios para realizar mediciones independientes.

Concentraciones

  • Las GAFA (Google, Amazon, Facebook, Apple) adquirieron más de 400 empresas en la década entre 2009 y 2019. En muchos casos, el resultado fue el cierre de la empresa objetivo, es decir, la eliminación del competidor. Incialmente, tales operaciones resultaron inadvertidas por las autoridades de la competencia pues no superaban los umbrales de notificación (centrados en los ingresos, no en el valor de la transacción) porque las empresas más jóvenes cuyo producto futuro puede llegar a ser muy valioso, no generan ingresos significativos cuando se convierten en objetivo de las grandes, quedando así por debajo del umbral de control de la autoridad de la competencia. Tomando esta situación como referencia, el DMA obliga a los guardianes a informar a la Comisión de todas las transacciones de fusión y adquisición previstas, antes de que se lleven a cabo. Y, si una autoridad de un Estado miembro considera que una transacción es perjudicial, puede solicitar a la Comisión que revise el caso, utilizando el procedimiento de remisión del artículo 22 del Reglamento 139/2004 (UE) (Reglamento de concentraciones).
  • Conforme al DMA,  la Comisión puede imponer una prohibición total de todas las transacciones de los infractores reincidentes. Ese «incumplimiento sistemático» o «reincidente» se produce si un guardián de acceso viola las mismas obligaciones o obligaciones similares. A tal efecto, la Comisión puede realizar investigacions (artículo 16(3a) DMA).

Gobernanza

  • Los guardianes están obligados a crear departamentos de cumplimiento específicos dentro de sus empresas, así como a instalar sistemas de gestión de riesgos (art. 28 DMA): Los guardianes de acceso establecerán una función de comprobación del cumplimiento que sea independiente de sus funciones operativas y esté integrada por uno o varios agentes de cumplimiento, entre los que se encontrará el responsable de la función de comprobación del cumplimiento).

Supervisión y control

Ponti sull’Arno pisano

La Comisión Europea es la principal responsable del control y supervisión del DMA. Las autoridades de los Estados miembros participan a través de la Red Europea de Competencia y del «Grupo de alto nivel» de la DMA, que sólo tiene una función consultiva (artículo 40). Además, las autoridades de los Estados miembros y la Comisión están obligadas a informarse mutuamente sobre los trabajos pertinentes . No obstante, las autoridades nacionales pueden investigar por sí mismas las infracciones de las obligaciones si la Comisión no actúa. Las decisiones nacionales no deben contradecir las decisiones de la Comisión.

La Comisión puede hacer uso de sus poderes de ejecución comunes en las investigaciones habituales (en derecho de la copetencia) sobre prácticas antimonopolio, cárteles y fusiones:

  • solicitar información (artículo 21)
  • inspección (artículos 22 y 23, principalmente)
  • compromisos (artículo 25)
  • investigaciones de mercado para preparar un procedimiento completo (varios artículos).
  • medidas cautelares (artículos 30 y 31).

La Comisión puede imponer multas de hasta el 10% de la facturación anual mundial del guardián, y del 20% en casos de incumplimiento sistemático (artículo 26).

Las decisiones  de la Comisión están sujetas a revisión por parte de los tribunales de la UE ( artículo 261 del TFUE)

 

Entrada realizada con el apoyo del Proyecto (nacional)TED2021-130344B-100, DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO financiado por MCIN/AEI/10.13039/501100011033 y por la UE NextGenerationEU/PRTR.

¿Responsabilidad civil de administradores por incumplimientos que perjudican al medio ambiente?. Reino Unido.

Posted on por

autumn trecking

En varias jurisdicciones, como la británica,  la responsabilidad civil de administradores por daños ambientales ha alcanzado los tribunales. Ya contamos con alguna jurisprudencia sobre ese tema.

ClientEarth v Shell. La ONG verde ClientEarth reclamó la responsabilidad civil de los consejeros de la energética Shell. Les acusaba de no haber hecho lo necesario para preparar la transición energética en esa compañía y grupo.

En su calidad de accionista minoritario de Shell, la organización ecologista alegó que los administradores habían incumplido las obligaciones que les impone la Ley de Sociedades del Reino Unido (Companies Act , CA, de 2006). Las pretensiones de la demandante fueron desestimadas, con condena en costas contra ClientEarth. Este asunto es también comentado aquí

McGaughey  v Universities Superannuation Scheme. En 2023, los tribunales británicos desestimaron una demandar presentada por beneficiarios del llamado Universities Superannuation Scheme (USS), un fondo de pensiones de empleo. Argumentaban los reclamantes que los administradores de la gestora de USS había incumplido sus obligaciones al seguir invirtiendo en combustibles fósiles. Se trata del asunto McGaughey & Anor v Universities Superannuation Scheme Ltd & Ors [2023] EWCA Civ 873 (21 July 2023) , dirimido ante el Court of Appeal o Tribunal de Apelación en una decisión que puede leerse aquí

El University Superannuation Scheme (USS) es uno de los mayores planes de pensiones  privados del Reino Unido (planes de pensiones de empleo). Se especializa en las prestaciones de jubilación al personal académico y similar de las universidades y otras instituciones de enseñanza superior. El fondo está administrado por su fideicomisario corporativo, una gestora denominada Universities Superannuation Scheme Limited («USSltd»). Esta gestora adopta una forma de personificación corporativa vigente en Reino Unido, que permite la creación de sociedades limitadas por garantía y sin que sus socios sean titulares de partes alícuotas del capital social.

Los demandantes, personal académico de las universidades, eran partícipes en el USS. Canalizaron sus pretensiones solicitando ante los tribunales que se tuviese por interpuesta una demanda derivativa (es decir, en beneficio de USSltd), contra los administradores de la misma sociedad. Acusaban a éstos de haber incumplido sus deberes como tales administradores, y apoyaban su reclamación en una serie de argumentos:

  • Por un lado, que pese al objetivo publicamente declarado de la USS ltd de que sus fondos alcanzasen la neutralidad («carbono neutral») en 2050, el USS continúa invirtiendo en combustibles fósiles y los administradores de la gestora no habían puesto en marcha ningún plan de desinversión. Por ello, los demandantes consideraban que los administradores incumplían las obligaciones establecidas en los artículos 171 y 172 de la CA de 2006.
  • Por otro que con su comportamiento, los administradores de la gestora no tuvieron en cuenta una serie de consideraciones pertinentes, incluidos los resultados de una encuesta que se había realizado a los miembros partícipes del fondo en relación con aspectos éticos y con sus preferencias de inversión.
  • También aducían que los intereses a largo plazo de la sociedad USSltd y del fondo  podrían satisfacerse mediante «un programa inmediato de desinversión» , resultando, según los demandantes, que la única «medida racional» que los administradores podían adoptar en virtud de los artículos de la CA de 2006 que regulan obligaciones de administradores (arts 171 y 172) consistía en «idear y aplicar dicho programa lo antes posible».
  • Que carecer de «un programa inmediato de desinversión» había perjudicado el éxito de la sociedad, que había sufrido pérdidas como consecuencia de ello.
  • Además, los relamantes alegaban que los administradores  de la sociedad gestora del fondo habían antepuesto sus propias creencias con respecto a los combustibles fósiles, por encima de las preferencias e intereses de los beneficiarios y de la propia sociedad.

En suma, los demandantes solicitaban que se declarase que la ausencia de «un programa inmediato de desinversión» constituía un incumplimiento de los deberes estatutarios y fiduciarios, y que tales incumplimientos causaron pérdidas a la sociedad.

Las pretensiones de los reclamantes no tuvieron exito y el Court of Appeal estableció una serie de conclusiones:

  • La acción que se intentó hacer valer no puede caracterizarse como una acción derivativa dado que no cumple los requisitos de este tipo de petición, conforme al ordenamiento jurídico británico. Señalaba el Tribunal que no existían prima facie, daños causados o pérdidas para la sociedad como resultado de las supuestas infracciones de los deberes de los administradores. Y por lo tanto, no era procedente la interposición de una acción derivativa a favor de USSltd.
  • Los demandantes tampoco evidenciaron mala fe de los administradores, ni que hubieran actuado de modo distinto a lo que consideraban el mejor interés de la sociedad o del fondo de pensiones USS.
  • El criterio de los administradores se había formado tras haber recibido el asesoramiento adecuado, como  corresponde a una administración diligente.
  • Los demandantes no habían probado que las supuestas infracciones de los administradores favorecieran sus propios intereses. Ni tampoco, que las acciones de los administradores se realizasen anteponiendo las propias convicciones de éstos con respecto a los combustibles fósiles, por encima de los intereses de los beneficiarios y de la sociedad. En suma, si bien los demandantes ponían en cuestión la gestión de la sociedad fideicomisaria y sus decisiones de inversión, sus argumentos carecían de fundamento. Nada sugería que hubieran ejercido sus poderes de forma indebida.

El Court of Appleal añadió que las reclamaciones podrían haber sido sustanciadas por otra vía procesal más adecuada. Concretamente, podría haberse formulado como una demanda directa por abuso de confianza, vía procesal disponible en Reino Unido. Para objetar frente a la política de inversión de una sociedad gestora de fondos la demanda directa, con sus exigencias procesales, podría haber tenidido más razón de ser.  En su lugar, interpusieron una acción derivativa, que permitiría ahorrar ciertos trámites procesales, pero que no es la vía procesal adecuada en este asunto.

Litigios de inversión en valores (security litigation)

En mayo de 2024, los inversores institucionales de Boohoo Group PLC presentaron una demanda colectiva de valores solicitando una indemnización de alrededor de 100 millones de libras esterlinas por las pérdidas financieras causadas por la no divulgación por parte de la empresa de violaciones de los derechos humanos y de la esclavitud moderna en las fábricas de sus proveedores, que, cuando se expusieron en la prensa, hicieron que el precio de las acciones cayera más de un 40%.

Los inversores pretenden recuperar estas pérdidas, alegando que se derivan de las declaraciones u omisiones falsas o engañosas sobre la empresa. Ciertamente, su demanda aborda cuestiones ASG más amplias. Pero, cuando esté resuelta las conclusiones serán aplicables a la supuesta falta de divulgación o tergiversación de cualquier riesgo material, incluido el riesgo climático. Se trata de la primera demanda de valores de este tipo (de la que se tiene noticia) en el Reino Unido.

  • Más sobre este asunto aquí.

 

Iluminación navideña

Guías y Recomendaciones Soft

Más allá de los asuntos judicializados, en 2023 la Law Society publicó una guía para abogados sobre cómo asesorar a los consejos de administración de las empresas sobre el riesgo climático. Esta guía constituye un marco para ayudar a las empresas a evaluar su impacto mediambiental (ver la noticia publicada en The Guardian).

Sin olvidar que un creciente número de empresas está adoptando las recomendaciones del Grupo de Trabajo sobre Divulgación de Información Financiera Relacionada con la Naturaleza para lograr una mayor transparencia sobre sus riesgos relacionados con la naturaleza (ver aquí las recomendaciones)

 

Más información: The transformation of European climate litigation (LSE/Grantham Research Institute on Climate Change and the Environment)

Entrada realizada con el apoyo del Proyecto orientados a la transición ecológica y a la transición digital, financiado por el Ministerio de Ciencia e Innovación, Agencia Estatal de Investigación. Proyecto competitivo nacional, con referencia:  TED2021-130344B-I00, titulado DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO,

 

 

 

¿Robot inventor? A propósito del caso DABUS puesto a prueba ante la USPTO, la OEP, la UKIPO y ante otras Oficinas ( y algunos Tribunales de Justicia)

Posted on por

Es relativamente frecuente escuchar,  en conversación ligera, que ya existen invenciones realizadas por máquinas. O que a éstas se deberían ciertas aportaciones reflejadas en reivindicaciones que forman parte de solicitudes de patentes.   Pues bien, en agosto de 2019, un equipo de investigadores presentó solicitudes de patentes en las que designaba como inventor a una Inteligencia Artificial, el DABUS. A través del procedimiento de solicitud internacional del PCT y la designación de diversos países, las solicitudes representan test de interés para avanzar en la posibilidad de reconocer (o no) algún margen de atribución a la IA en el derecho de patentes.

En tanto tenemos conocimiento, únicamente la Oficina de Patentes de Surafrica ha admitido (en 2021) la condición de inventor a esa IA (en Australia, tras un singular veredicto favorable del Tribunal Federal en 2021, el Tribunal Supremo de ese país desestimó la petición).

 

By A. Zorita

By A. Zorita

Antecedentes.

El Dr Steven Thaler presentó dos solicitudes de patente en las que aparecía el nombre de «Device for the Autonomous Bootstrapping of Unified Science» (DABUS) como único inventor, siendo DABUS un sistema de software de inteligencia artificial.

DABUS, en realidad, era resultado y se integraba en un amplio proyecto de investigación en el que participaron renombrados científicos como Ryan Abbott, Robert Jehan, Malte Koellner, Reuven Mouallem, Markus Rieck, Peggy Wu. El desarrollador de DABUS fue el propio Dr  Stephen Thaler (y equipo).

DABUS

DABUS (device and method for the autonomous bootstrapping of unified sentience) es un sistema deinteligencia artificial programado como una serie de redes neuronales artificiales. Estas redes fueron entrenadas con conocimientos generales de diferentes campos, y para poder identificar contenidos novedosos en distintos campos. Se les pidió crear invenciones de manera independiente.

DABUS ante la USPTO y ante los Tribunales de Estados Unidos

La Oficina de Patentes y Marcas de Estados Unidos (USPTO) determinó que dos   solicitudes de patente carecían de un inventor válido, y solicitó la identificación de los inventores. El Sr Thaler instó la anulación de las notificaciones, pero su pretensión fue denegada por parte de la USPTO y la solicitud de patente rechazada.  El Dr Thaler inició procedimientos ante el Tribunal de Distrito de EE.UU. para el Distrito Este de Virginia. Este Tribunal concluyó (en un procedimiento sumario) que las solicitudes carecían de inventor porque, según la ley estadounidense de patentes, un «inventor» debe ser una «persona física», y porque el significado llano de «persona física» en la ley equivale a «ser humano».

Guess who

El Sr Thaler recurrió ante el Circuito Federal. En su sentencia de 2022, Thaler v. Vidal, 43 F.4th,  1207, se inadmitió la posibilidad de que la IA fueran reconocida como inventora en sendas solicitudes de patente. rEl Circuito Federal comenzó su análisis revisando el lenguaje de la Ley de Patentes, que define a un «inventor», en 35 U.S.C. § 100(f), como el «individuo». (O individuos en las invenciones conjuntas). El Tribunal del Circuito Federal sostuvo que, aunque la Ley de Patentes no define «individuo», del lenguaje de sus disposiciones se desprende claramente que alude a una persona física, es decir, un ser humano. Y que, a menos que haya una indicación de que el Congreso que establezca algo distinto, la palabra «individuo» en la Ley de Patentes significa ser humano. Añadió, que exigir que un «inventor» sea un ser humano es coherente con los precedentes jurisprudenciales que sostienen que, ni las corporaciones o personas jurídicas, ni los Estados soberanos pueden ser inventores, porque no son personas físicas.  Por último, dijo también que en el lenguaje común, los diccionarios confirman que la palabra «individuo» utilizada por el legislador corresponde a un «ser humano».

Sin embargo,  el Tribunal del Circuito Federal no cerró totalmente el debate pues, para finalizar su sentencia, recordó que no se le había planteado directamente la cuestión de si las invenciones realizadas por seres humanos con la ayuda de inteligencia artificial pueden ser objeto de protección mediante patente .

  • El Tribunal del Circuito Federal se apoyó en algunos precedentes, como Univ. of Utah v. Max-Planck-Gesellschaft Zur Forderung Der Wissenschaften E.V. and Beech Aircraft Corp. v. EDO Corp., (Univ. of Utah v. Max-Planck-Gesellschaft Zur Forderung Der Wissenschaften E.V., 734 F.3d 1315, 1323 (Fed. Cir. 2013); Beech Aircraft Corp. v. EDO Corp., 990 F.2d 1237, 1248 (Fed. Cir. 1993). En esos asuntos se había afirmado que los inventores deben ser personas físicas, y que no pueden ser ni personas jurídicas de tipo corporativo (corporations) ni Estados soberanos
  • La USPTO se apoyó también en los test y criterios establecidos en  Pannu v. Iolab Corp96 F. Supp. 2d 1359 (S.D. Fla. 2000) en relación con el reconocimiento de la condición de co-inventor. En este caso se afirmó que, para ser reconocida entre los inventores en una solicitud de patente, la persona (física) inventora o co-inventora debe contribuir de alguna manera significativa a la concepción o a la concreción práctica de la invención. A partir de ese principio, se concluyó que en aquellas invenciones en las que participa una IA, los humanos que sean designados como inventores individual o colectivamente deben poder evidenciar una relevante aportación o contribución humana a la invención reivindicada . La contribución del inventor o co-inventor en ningún caso puede ser insignificante en relación con la dimensión de la invención completa. Esa aportación de un humano que aspira a ser reconocido como coinventor o como inventor, no puede consistir, simplemente, en explicar a los  otros inventores  conceptos que ya son bien conocidos o que se encuentran en el estado actual de la técnica” (eso es lo que había hecho quien inicialmente fue reconocido inventor en Pannu v OILAV Corp). Además, el análisis de la aportación de la persona inventora se realiza reivindicación por reivindicación y nunca de modo general.

Pisa di notte

Seguimiento y desarrollos en Estados Unidos

 

DABUS ante la UKIPO

La solicitud de patentes a favor de DABUS también se presentó ante la Oficina de Patentes de Reino Unido, fue rechazada y recurrida ante el Tribunal Supremo de ese país

  • En Inglaterra el rechazo se produjo mediante Decisión de la UKIPO de 4.12.2019. En su respuesta inicial pidió «declaraciones de invención» para que el solicitante, Dr. Thaler, indicase cómo había obtenido la invención otorgándole un plazo de 16 meses, con el apercibimiento de que en caso de no hacerlo, las solicitudes de patente se considerarían retiradas (Rule 10(3) /de las Reglas de Patentes de 2007.El 23 de julio de 2019, el Dr. Thaler presentó sus declaraciones de invención, en las que exponía su postura: las invenciones fueron creadas por su máquina de inteligencia artificial DABUS y el Dr. Thaler había adquirido el derecho a la concesión de las patentes como propietario de la máquina. La solicitud de patente fue rechazada
  • Este informe UKIPO da forma a la visión actual desde esa oficina

Recursos ante los Tribunales de Justicia de Reino Unido

Tras las negativas de la High Court y de la Court of Appeal a reconocer a DABUS como inventor, este asunto fue dirimido finalmente ante la Supreme Court. El Tribunal Supremo del Reino Unido. El recurso fue examinado el 2 de marzo de 2023 por Lord Hodge, Lord Kitchen (ponente), Lord Hamblen, Lord Leggat y Lord Richards.

  • La sentencia señala expresamente que no se ocupa de la cuestión de si los avances técnicos generados por máquinas autónomas impulsadas por IA deberían ser patentables o de si el término «inventor» debería ampliarse para incluir a las máquinas impulsadas por IA.  Por el contrario se apoya en la interpretación de la Ley de Patentes de 1977 y ajustándose a su texto da respuesta a una serie de cuestiones muy interesantesPor una parte, se fija en el alcance y en el significado de  la palabra «inventor»  , por relación a los artículos 7 y 13 de la Ley de Patentes de 1977: un inventor es el creador de la invención, que, según su significado ordinario esuna persona que crea un producto o proceso nuevo. Por lo tanto DABUS no es inventor en el sentido de los arts 7 a 13 de esa LeyPor otro lado, el Tribunal responde a la cuestión de si el Sr Thaler, en tanto que dueño de DABUS podía solicitar patente a su propio nombre. A este respecto,  los Lores recordaron que si bien el solicitante no tiene porque ser inventor si que debe ser una de las personas legitimadas (art 7-2-b y 7-2-c) o el cusahabiente del inventor. Pero, la condición de dueño no justifica el derecho a solicitar la patente, ni de los frutos de su propiedad (rechaza la teoría de la adhesión): que Thaler sea dueño de DABUS no le legitima tampoco para ser él mismo el titular de la patente)

DABUS ante la OEP

  • La OEP se pronunció en Múnichel 27 de enero de 2020., en relación con dos solicitudes de patente, la EP 18 275 163 (contenedor de comida que utiliza diseños fractales para crear hendiduras y bultos) y la EP 18 275 174 ( dispositivo y método para atraer atención óptica mejorada). En las dos solicitudes de patentes se designaba a DABUS como su inventor único, y como solicitante (y potencial titular de las patentes) constar al Dr. Thaler,  dueño de la máquina.
  • Ante la OEP, la respuesta al Caso Dabus  fue que la mera alusión formal del robot como inventor es insuficiente, pues la exigenca de mencionar al autor no es un mero formalismo, sino que es manifestación de un derecho de la personalidad. La OEP indicó así que los nombres otorgados a las personas no solo sirven para identificarlos, sino también para ejercitar unos derechos que pueden corresponder únicamente a seres humanos.l
  • La OEP señaló que el  inventor debe ostentar personalidad, pues solo de esta forma tendrá capacidad legal para ejercer los derechos que la legislación de patentes concede al inventor, como ser designado, ser mencionado o ser notificado de dicha designación. La OEP subraya que el inventor es la persona que contribuye al diseño, desarrollo o implementación de la idea inventiva.

A través del PTO han sido muchas otras las oficinas y tribunales que deniegan la posibilidad de reconocer la condición de inventor a la IA (con la excepción de Suráfrica, hasta el momento)

 

Ver también:

 

Entrada realizada con el apoyo del Proyecto (nacional)TED2021-130344B-100, DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO financiado por MCIN/AEI/10.13039/501100011033 y por la UE NextGenerationEU/PRTR

Modernización del Derecho Europeo de protección de los consumidores (y de la competencia desleal) ante la digitalización

Galería

Posted on por

El impacto de la digitalización y de las grandes plataformas no deja de sentirse en todos los ámbitos de la contratación. La UE aprobó, en 2019, la llamada Directiva de Modernización, Directiva (UE) 2019/2161 del Parlamento Europeo y del Consejo … Sigue leyendo