Acerca de Elena F Pérez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de León

FT, eIDAS2 y el rol del registrador

Posted on 18 marzo, 2026 por Elena F Pérez Carrillo

La transposición de la Directiva (UE) 2025/25 obliga a reconfigurar el ecosistema societario español en torno a un modelo digital e interoperable a escala europea. Este proceso no se limita a la digitalización de procedimientos existentes, sino que implica la integración de la práctica societaria nacional en una infraestructura común de datos, basada en la equivalencia funcional de las formalidades jurídicas tradicionales, la interoperabilidad efectiva con los sistemas europeos de información societaria y de titularidad real, la aceptación de instrumentos electrónicos uniformes y la articulación de controles de prevención del blanqueo de capitales y de financiación del terrorismo en entornos de verificación remota conforme al marco eIDAS2.

Camelia

España parte de una base institucional y tecnológica sustentada en normas como la Ley de Sociedades de Capital (arts. 20, 22, 23, 28 y 33 del Real Decreto Legislativo 1/2010), el Reglamento del Registro Mercantil (arts. 5, 6, 58 y concordantes del Real Decreto 1784/1996), la Ley del Notariado (arts. 1, 17 bis y 24) y la Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo (arts. 2, 3, 4 y 16). No obstante, la Directiva desplaza el foco desde la mera digitalización de trámites hacia la operación nativa en una infraestructura europea de datos, donde la interoperabilidad, la estandarización y la trazabilidad se convierten en elementos estructurales del sistema societario.

PRINCIPIOS ESTRUCTURALES DE LA ADAPTACIÓN DEL DERECHO SOCIETARIO ESPAÑOL

Fruits de mer

Equivalencia funcional del instrumento público, la representación y la inscripción

El núcleo del régimen societario español descansa en tres pilares jurídicos claramente definidos en la legislación vigente: la exigencia de forma pública para determinados actos societarios (arts. 20 y 22 LSC), la validez jurídica de la representación (arts. 233 y 234 LSC) y la eficacia constitutiva de la inscripción en el Registro Mercantil (art. 33 LSC y art. 9 del Reglamento del Registro Mercantil).

La transición al entorno digital exige reconocer la equivalencia funcional de estas instituciones en soporte electrónico. En este sentido, se entiende que resulta necesario introducir en la LSC y en el Reglamento del Registro Mercantil una cláusula general que reconozca como instrumento público electrónico aquel documento autorizado por notario mediante firma electrónica cualificada, conforme al art. 17 bis de la Ley del Notariado y a los Reglamentos (UE) eIDAS. Ese documento estaría dotado de estructura de datos y metadatos normalizados y acompañado de evidencias verificables de identificación remota.

En cuanto a la representación societaria debe armonizarse con el poder digital europeo, de modo que las facultades conferidas y verificadas en origen mediante servicios de confianza desplieguen efectos en España sin necesidad de legalización o apostilla, en coherencia con el principio de reconocimiento mutuo previsto en el Derecho de la Unión y con las reglas de eficacia del poder representativo recogidas en los arts. 1259 y 1713 del Código Civil y en los arts. 233 y 234 LSC.

Asimismo, el identificador único europeo de sociedades (EUID) y el modelo de datos armonizado deberían integrarse como elementos identificativos esenciales en el contenido mínimo de los asientos registrales, en coherencia con lo previsto en los arts. 94 y 95 del Reglamento del Registro Mercantil, relativos al contenido de las inscripciones.

DIGITALIZACIÓN INTEGRAL DEL CICLO SOCIETARIO

Constitución íntegramente en línea y prueba electrónica. La constitución íntegramente en línea constituye uno de los ejes centrales de la Directiva y encuentra ya un antecedente normativo en el art. 15 bis de la Ley de Sociedades de Capital, introducido para permitir la constitución telemática de sociedades de responsabilidad limitada. La identificación mediante videoidentificación cualificada, el uso de carteras de identidad digital europea y la utilización de firmas electrónicas cualificadas remotas permiten acreditar la identidad y la voluntad de los otorgantes con un nivel de garantía equiparable al modelo presencial, en coherencia con el principio de equivalencia funcional recogido en el art. 3.10 de la Ley 6/2020, reguladora de determinados aspectos de los servicios electrónicos de confianza.

En este contexto, la LSC debería reconocer expresamente la presunción de autenticidad del conjunto probatorio generado conforme al Reglamento eIDAS, incluyendo firma electrónica cualificada, sello de tiempo y cadena de certificados válidos en las listas de confianza de la Unión Europea, reforzando así la seguridad jurídica del proceso constitutivo.

Aportaciones dinerarias y acreditación electrónica del desembolso. Las aportaciones dinerarias constituyen uno de los puntos críticos en los procesos de constitución societaria. La normativa vigente exige acreditar el desembolso mediante certificación bancaria, conforme al art. 62 LSC. No obstante, la adaptación al entorno digital exige habilitar la acreditación electrónica de dicha aportación mediante mensajes bancarios estructurados firmados electrónicamente por la entidad depositaria, lo que sería coherente con el principio de equivalencia funcional reconocido en el art. 326 de la Ley de Enjuiciamiento Civil y con las reglas sobre documentos electrónicos establecidas en la mencionada Ley 6/2020. Este modelo permitiría ir eliminando los certificados en soporte papel y reducir riesgos operativos, facilitando la automatización de los procesos de inscripción y la reducción de plazos, en línea con lo previsto en los arts. 18 y 19 del Código de Comercio y en el art. 6 del Reglamento del Registro Mercantil, relativos a la calificación e inscripción registral.

FUNCIONES INSTITUCIONALES EN EL NUEVO ENTORNO DIGITAL

Notariado: control de legalidad digital y obligaciones de diligencia debida. La transformación digital no reduce el papel del notariado, sino que lo reconfigura en torno a un modelo de control de legalidad basado en la verificación de evidencias electrónicas.

El notario continúa siendo sujeto obligado en materia de prevención del blanqueo de capitales, conforme al art. 2.1.o) de la Ley 10/2010, y debe aplicar medidas de diligencia debida en la identificación del cliente y del titular real, de acuerdo con los arts. 3 y 4 de dicha ley. La digitalización de los procedimientos exige adaptar estas obligaciones al entorno remoto, garantizando que la identificación electrónica cumpla niveles equivalentes a los exigidos en el modelo presencial. La consulta al Registro de Titularidades Reales se integra en este proceso como instrumento ordinario de verificación, en coherencia con el art. 4 bis de la Ley 10/2010 y con las disposiciones reglamentarias sobre acceso a la información de titularidad real. Asimismo, la función notarial incorpora la custodia de evidencias electrónicas, en aplicación de los principios de fe pública y conservación documental recogidos en los arts. 1 y 17 bis de la Ley del Notariado.

Registro Mercantil: del documento al dato estructurado El Registro Mercantil evoluciona hacia un modelo basado en datos estructurados interoperables, lo que implica una transformación de sus funciones tradicionales de calificación y publicidad registral. La calificación registral, regulada en los arts. 18 del Código de Comercio y 6 del Reglamento del Registro Mercantil, se apoya progresivamente en validaciones automáticas relativas a la integridad de firmas electrónicas, la coherencia de identificadores y la consistencia de la información con los registros europeos. La interoperabilidad con sistemas europeos exige la adopción de estándares de intercambio de datos y la integración de repositorios electrónicos de poderes, en coherencia con las funciones de publicidad formal previstas en los arts. 23 del Código de Comercio y 79 y siguientes del Reglamento del Registro Mercantil.

La normativa societaria y registral deberá reconocer como títulos suficientes el certificado de sociedad de la Unión Europea y el poder digital europeo para operaciones transfronterizas, evitando la exigencia de documentos nacionales equivalentes cuando los instrumentos electrónicos cumplan los estándares establecidos en el marco eIDAS.

INTEROPERABILIDAD EUROPEA Y NUEVOS INSTRUMENTOS JURÍDICOS DIGITALES

eIDAS2 y la identidad digital europea La implantación del Reglamento eIDAS2 introduce un modelo de identidad digital basado en credenciales verificables y servicios de confianza interoperables. La transposición de la Directiva exige garantizar la aceptación automática de medios de identificación electrónica emitidos en otros Estados miembros cuando alcancen niveles elevados de seguridad, en coherencia con el principio de reconocimiento mutuo previsto en el art. 6 del Reglamento eIDAS y con el régimen jurídico de los servicios electrónicos de confianza establecido en la Ley 6/2020.

La adopción de carteras de identidad digital europea permitirá incorporar atributos verificables, como la condición de administrador o la vigencia de un cargo, que pueden ser utilizados por notarios y registradores para verificar automáticamente la capacidad representativa de los intervinientes.

Poder digital europeo y registro electrónico de poderes El reconocimiento del poder digital europeo en el Derecho español exige admitir la equivalencia material de sus efectos respecto del apoderamiento notarial tradicional, en coherencia con el régimen jurídico del mandato y la representación recogido en los arts. 1709 y siguientes del Código Civil. La eficacia transfronteriza del poder digital requiere establecer mecanismos de revocación interoperables y sincronizados, lo que implica la creación de un registro electrónico de poderes compatible con los sistemas europeos, en línea con las funciones de publicidad registral previstas en los arts. 94 y 95 del Reglamento del Registro Mercantil.

Certificado de sociedad de la Unión Europea El certificado de sociedad de la Unión Europea está destinado a convertirse en el principal instrumento de acreditación de la existencia y situación jurídica de una sociedad en el ámbito europeo. Su reconocimiento en el Derecho español debe integrarse en el régimen de certificaciones registrales previsto en los arts. 77 y siguientes del Reglamento del Registro Mercantil, garantizando su eficacia probatoria y su equivalencia funcional respecto de las certificaciones nacionales.

PREVENCIÓN DEL BLANQUEO DE CAPITALES Y GOBIERNO DEL DATO

Integración con el sistema de titularidad real y obligaciones de diligencia debida La intensificación del uso de los registros europeos de titularidad real exige adaptar la normativa española de prevención del blanqueo de capitales para reconocer estas fuentes de información como instrumentos primarios de verificación.

La Ley 10/2010 establece la obligación de identificar al titular real y de conservar documentación acreditativa de las actuaciones realizadas (arts. 4 y 25), lo que se traduce, en el entorno digital, en la necesidad de conservar evidencias verificables de las consultas efectuadas a los registros de titularidad real y de los resultados obtenidos.

Gobierno del dato registral y seguridad jurídica. La transición hacia un modelo basado en datos estructurados requiere implantar políticas de calidad, auditoría y seguridad de la información que garanticen la fiabilidad del sistema registral. Estas exigencias encuentran fundamento en los principios de seguridad jurídica y publicidad registral recogidos en los arts. 9.3 de la Constitución Española y 20 del Código de Comercio, así como en la normativa de protección de datos personales, en particular el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018.

Azalea rosita

RÉGIMEN TRANSITORIO Y PROPUESTAS NORMATIVAS

Coexistencia de instrumentos analógicos y digitales. La implantación del nuevo modelo exigirá un período transitorio en el que coexistirán instrumentos tradicionales y electrónicos. Durante este período, la normativa deberá reconocer la validez de los instrumentos analógicos existentes y establecer mecanismos de conversión que permitan su integración en el sistema digital. Este régimen transitorio puede apoyarse en las reglas generales sobre validez de los actos jurídicos y conservación de documentos recogidas en los arts. 1216 y siguientes del Código Civil (documentos públicos) y en las normas sobre eficacia temporal de las leyes previstas en el art. 2 del Código Civil.

Resumen de propuestas normativas. La transposición de la Directiva (UE) 2025/25 requerirá una intervención normativa coordinada que afecte, al menos, a las siguientes disposiciones:

— Ley de Sociedades de Capital, en particular los arts. 20, 22, 23, 33, 62 y 233;
— Reglamento del Registro Mercantil, especialmente los arts. 6, 77, 94 y 95;
— Ley del Notariado, en sus arts. 1 y 17 bis;
— Ley 10/2010, de prevención del blanqueo de capitales y de la financiación del terrorismo, en relación con los arts. 2, 3, 4 y 25;
— Ley 6/2020, reguladora de determinados aspectos de los servicios electrónicos de confianza.

En términos funcionales, las reformas deberían orientarse a: definir legalmente el instrumento público electrónico y su fuerza probatoria;reconocer el poder digital europeo y el certificado de sociedad de la Unión Europea como títulos suficientes en el tráfico jurídico;habilitar la acreditación electrónica de aportaciones dinerarias;integrar los sistemas registrales nacionales en las plataformas europeas de información societaria;y reconocer la identificación remota mediante medios electrónicos cualificados como medio válido de identificación en sede notarial y registral.

La Directiva (UE) 2025/25: la segunda ola de digitalización societaria en la Unión Europea

Posted on 11 marzo, 2026 por Elena F Pérez Carrillo

La Directiva (UE) 2025/25 del Parlamento Europeo y del Consejo, de 19 de diciembre de 2024, se presenta como un hito en la configuración de un Derecho de sociedades europeo adaptado a un entorno jurídico y económico crecientemente digitalizado. No se trata simplemente de continuar la senda iniciada por la Directiva (UE) 2019/1151, centrada en la constitución en línea de sociedades y otras actuaciones puntuales. Ni se limita a desmaterializar documentos, sino que articula una infraestructura institucional digital que modifica cómo se constituyen, operan y se relacionan las sociedades europeas.

Esta Directiva amplía de forma decisiva el foco y propone una auténtica arquitectura institucional digital para la constitución, la publicidad, el gobierno y la actuación transfronteriza de las sociedades mercantiles en el mercado interior. Su objeto principal es la modificación de las Directivas 2009/102/CE y (UE) 2017/1132, extendiendo y profundizando la digitalización de procedimientos societarios, reforzando la fiabilidad de la información registral y estableciendo instrumentos jurídicos electrónicos uniformes para su uso en toda la Unión. Se sitúa en la transición desde un modelo basado en documentos nacionales, papel y presencia física hacia un sistema basado en datos estructurados, servicios de confianza y registros interconectados.

Contexto, finalidad y alcance de la reforma

La Directiva se aprobó el 19 de diciembre de 2024 y fue publicada en el DOUE el 10 de enero de 2025

Primavera en color anaranjado

Su gestación estuvo marcada por varios vectores regulatorios y tecnológicos que han confluido para impulsar una segunda fase de digitalización societaria. En primer lugar, la consolidación del mercado único digital con el desarrollo del Reglamento eIDAS2, que ha elevado el estándar europeo de identificación digital, autenticación electrónica y verificación remota. Esto ha permitido que determinadas actuaciones —tradicionalmente vinculadas a la presencia física o al soporte documental en papel— puedan realizarse ahora con mayor seguridad jurídica en entornos digitales. En segundo término, la consolidación de infraestructuras europeas como BRIS (Business Registers Interconnection System), el Registro de Titularidad Real BORIS y el Registro de Insolvencias IRI en un ecosistema interconectado de información societaria. La Directiva 2025/25 culmina este proceso al asignar a dichas infraestructuras un papel estructural en el Derecho societario de la Unión.

Por último, esta Directiva responde a una necesidad de reducir la carga administrativa, evitar duplicidades en la presentación de información y garantizar la fiabilidad y actualidad de los datos societarios disponibles en los registros europeos. Se busca que la información fluya entre autoridades sin intervención del administrado, incorporando el principio de «solo una vez» como fundamento operativo de la actuación administrativa digital. Presenta tres finalidades estructurales: profundizar la digitalización de los procedimientos societarios; simplificar y abaratar los trámites que realizan empresas, notarios, registradores y profesionales jurídicos; y reforzar la fiabilidad, actualidad y accesibilidad transfronteriza de la información registral.

Novedades materiales: hacia procedimientos plenamente digitales

2.1. Constitución íntegramente en línea

La modificación más visible y con mayor impacto inmediato es la consolidación de la constitución íntegramente en línea de sociedades de capital. La Directiva no solo legitima esta posibilidad, sino que la convierte en regla general del sistema. La preparación, firma, presentación y verificación de los documentos de constitución pueden realizarse enteramente mediante medios electrónicos, sin exigir normalmente la presencia física de los otorgantes salvo en supuestos excepcionales y debidamente motivados.

Esto tiene implicaciones relevantes para la función del notariado y del registro mercantil. La identificación, la comprobación de la capacidad y la verificación de la autenticidad pasan a realizarse a través de firmas electrónicas cualificadas, videoidentificación y otros mecanismos de confianza contemplados en eIDAS, lo que obliga a redefinir la naturaleza del control preventivo y los requisitos de prueba de la identidad y de la representación.

La constitución digital deja de ser una opción marginal para convertirse en un estándar europeo, especialmente significativo en el caso de las pymes, que encuentran en esta vía un procedimiento menos costoso y más eficiente.

2.2. El principio «solo una vez» como eje estructural

La Directiva declara que se reconoce una dimensión nueva al principio «solo una vez». Dejaría de ser una recomendación administrativa para convertirse en norma. Cuando se haya proporcionado cierta información a una autoridad pública o registro interconectado, conforme al nuevo régimen no se podría exigir nuevamente. Serían las administraciones y registros quienes deben obtener esa información mediante BRIS u otros mecanismos de interoperabilidad. De consolidarse, este principio supondría un cambio cultural: el empresario pasa de ser un transmisor de datos relevantes para la constitución a ser el usuario de una infraestructura pública que garantizaría la circulación automática y fiable de la información.

2.3. Ampliación del ámbito subjetivo y homogeneización de la publicidad societaria

Otra novedad destacada es la extensión de determinadas obligaciones de publicidad a formas societarias que, en algunos ordenamientos, habían quedado históricamente fuera de las exigencias de transparencia reservadas a las sociedades de capital. La Directiva permite extender estas obligaciones a sociedades personalistas si los Estados miembros las someten a inscripción como requisito de existencia o de publicidad. Con ello se busca evitar el arbitraje regulatorio que derivaría de la elección estratégica de formas societarias más opacas. Y también, favorecer un estándar mínimo de transparencia independiente de la forma jurídica elegida.

3. Interconexión registral, transparencia e información en tiempo real

La Directiva hace descansar gran parte de su potencial transformador en el fortalecimiento de la arquitectura registral europea. En este sentido, BRIS sería la pieza central del sistema, no ya como un mecanismo de consulta, sino como una plataforma para la circulación automatizada de datos estructurados.

El renovado BRIS se acompaña de su integración con BORIS y con el Registro de Insolvencias IRI. Esta interconexión permite que las autoridades nacionales —registradores, notarios, supervisores, jueces— puedan acceder de manera casi inmediata a información sobre sociedades, titulares reales y situaciones concursales, lo que incrementa la seguridad del tráfico y facilita tanto la actividad económica transfronteriza como el control y la supervisión administrativa.

La Directiva introduce, además, la obligación de ofrecer información en línea sobre estructuras de grupo, incluyendo datos esenciales sobre la sociedad matriz en terceros países cuando tenga relevancia para la comprensión de la estructura societaria o del control efectivo de la entidad. Esta mayor visibilidad se coordina con las exigencias europeas de transparencia fiscal, prevención del blanqueo de capitales y control sobre estructuras societarias complejas.
Otro aspecto relevante es la actualización dinámica de la información registral. La Directiva impone plazos breves y mecanismos sancionadores armonizados para asegurar que los datos sobre administradores, capital social, domicilio o estatutos se mantengan actualizados. El registro deja de concebirse como un repositorio pasivo y se convierte en un sistema de información viva, cuyo valor reside precisamente en la inmediatez y fiabilidad de sus datos.

El certificado de sociedad de la Unión Europea y el poder digital europeo

Uno de los cambios técnicos más significativos que establece la Directiva es la creación de instrumentos electrónicos uniformes destinados a facilitar la movilidad societaria y el reconocimiento mutuo de documentos.

El certificado de sociedad de la Unión Europea es un documento electrónico estandarizado que acredita datos esenciales de la entidad ante cualquier autoridad u operador privado en la Unión. Esta estandarización reduce la necesidad de certificados nacionales múltiples y elimina uno de los principales obstáculos prácticos en operaciones transfronterizas. El certificado, emitido en formato estructurado y verificable digitalmente, funciona como un verdadero «pasaporte societario», cuyo valor reside en su carácter uniforme y en su reconocimiento mutuo automático.
El poder de representación digital europeo es un documento electrónico multilingüe que, emitido y verificado mediante servicios de confianza cualificados, debe ser aceptado por todos los Estados miembros para operaciones societarias transfronterizas, ya sea para constitución de sociedades, inscripción de sucursales o realización de fusiones, escisiones o transformaciones. Con él se busca superar la fragmentación derivada de las diferencias nacionales en materia de representación y eliminar la dependencia de formalidades nacionales que dificultan la circulación de documentos.

Por último, la Directiva suprime la exigencia de legalización o apostilla para determinados documentos societarios electrónicos que cumplan los estándares de confianza establecidos. Este cambio es paradigmático: mientras la autenticación tradicional descansaba en cadenas diplomáticas de legalización, la autenticación electrónica se basa en tecnología interoperable y verificable en tiempo real.

Entrada en vigor, transposición y desafíos para los Estados miembros

La Directiva entró en vigor el 30 de enero de 2025. Los Estados miembros disponen hasta el 31 de julio de 2027 para su transposición, aunque algunas medidas pueden desplegarse hasta 2028 debido a los exigentes requisitos técnicos necesarios para asegurar la plena interoperabilidad.

Zarzas y lila

La transposición plantea retos sustanciales, y destacadamente estos:

Es necesario revisar las normas internas de Derecho de sociedades, notariado y registro para acomodarlas a procedimientos íntegramente digitales y redefinir las funciones de autenticación y control preventivo.
Se requiere una inversión tecnológica considerable para adaptar los sistemas nacionales a los estándares de BRIS, BORIS e IRI y para gestionar identidades electrónicas cualificadas. Por último, los intermediarios tradicionales —notarios, registradores, asesores— deberán reconfigurar su papel en un entorno en el que gran parte del control de legalidad se automatiza o se apoya en servicios de confianza transfronterizos.

Otras reformas del régimen europeo de sostenibilidad corporativa, más allá del paquete Omnibus

Posted on 6 marzo, 2026 por Elena F Pérez Carrillo

Junto a las propuestas de simplificación agrupadas en los denominados paquetes ómnibus (ver aqui), el régimen europeo de diligencia debida ha experimentado ya modificaciones normativas que forman parte del Derecho positivo vigente y que inciden de manera directa en la aplicación práctica de las obligaciones empresariales en materia de sostenibilidad. Estas reformas, adoptadas con posterioridad a la aprobación del marco originario de la diligencia debida, no responden a una lógica de reducción sustantiva del contenido de las obligaciones, sino a la necesidad de garantizar una implementación progresiva, coordinada y técnicamente viable del nuevo sistema regulatorio europeo.

Rododendros y azaleas

En este contexto, reviste especial relevancia la Directiva (UE) 2026/470 del Parlamento Europeo y del Consejo, de 24 de febrero de 2026, por la que se modifican las Directivas 2006/43/CE, 2013/34/UE, (UE) 2022/2464 y (UE) 2024/1760 en lo que respecta a determinados requisitos de presentación de información de las empresas en materia de sostenibilidad y de diligencia debida de las empresas en materia de sostenibilidad.

Constituye una reforma legislativa que introduce ajustes de carácter transversal en el calendario de aplicación y en la coordinación entre los distintos instrumentos que integran el Derecho europeo de la sostenibilidad empresarial. Forma parte de la ejecución del régimen establecido por la Directiva (UE) 2024/1760 (DDD), sin alterar su estructura básica ni el contenido esencial de las obligaciones previstas en los artículos 5 a 16, relativos al sistema de diligencia debida empresarial. En particular, introduce mecanismos de ajuste temporal que afectan al calendario de aplicación progresiva de las obligaciones de diligencia debida y de reporte de sostenibilidad, configurando un modelo de puesta en marcha escalonada.
Asimismo, refuerza la coordinación entre el régimen de diligencia debida y el sistema europeo de información corporativa en materia de sostenibilidad establecido por la Directiva (UE) 2022/2464 (CSRD), que modifica la Directiva 2013/34/UE en materia de información financiera y no financiera. Esta coordinación normativa responde a la necesidad de asegurar la coherencia entre el contenido sustantivo de las obligaciones de diligencia debida —en particular las relativas a la identificación y gestión de impactos adversos previstas en los artículos 8 a 11 de la DDD— y su proyección informativa en los informes de sostenibilidad elaborados por las empresas. De este modo, se pretende evitar la duplicidad de obligaciones y garantizar la consistencia entre la gestión interna del riesgo y la divulgación pública de la información.

La evolución normativa reciente se ha completado, además, mediante la adopción de actos delegados y normas técnicas de desarrollo que precisan el contenido y el funcionamiento del sistema de información corporativa en materia de sostenibilidad. Entre estos instrumentos destacan los estándares europeos de reporte de sostenibilidad adoptados mediante el Reglamento Delegado (UE) 2023/2772 de la Comisión, que desarrolla la CSRD y establece los requisitos técnicos aplicables a la elaboración de los informes de sostenibilidad. Estos estándares definen con detalle el contenido de la información que debe divulgarse en relación con los riesgos ambientales, sociales y de gobernanza, así como los procedimientos de verificación y aseguramiento de dicha información..

Tales actos delegados no modifican directamente las obligaciones sustantivas de diligencia debida previstas en las Directivas de primer nivel, pero inciden de manera indirecta en su aplicación práctica al establecer los criterios operativos que determinan cómo deben documentarse, medirse y comunicarse los resultados del sistema de diligencia. En este sentido, la interacción entre la normativa de diligencia debida y el régimen de información corporativa se convierte en un elemento estructural del nuevo modelo regulatorio europeo, en el que la gestión del riesgo y la transparencia informativa aparecen estrechamente interrelacionadas.

Una manifestación particularmente significativa de esta interrelación se observa en la regulación de los planes de transición climática previstos en el artículo 22 de la DDD que obliga a las empresas a adoptar un plan destinado a garantizar la compatibilidad de su modelo de negocio con la transición hacia una economía sostenible y con los objetivos climáticos de la Unión. La evolución reciente del marco regulatorio tiende a integrar estos planes en el sistema general de información corporativa sobre sostenibilidad, de modo que su función se desplaza progresivamente desde una lógica predominantemente operativa —centrada en la ejecución de medidas internas— hacia una lógica informativa y estratégica, vinculada a la divulgación de compromisos y objetivos empresariales en materia climática.

En términos generales, las reformas ya adoptadas fuera del marco ómnibus reflejan una evolución normativa orientada a la coordinación técnica y a la implementación gradual del sistema regulatorio, más que a la redefinición sustantiva de las obligaciones empresariales. Se trata, por tanto, de un proceso de ajuste institucional destinado a asegurar la coherencia interna del Derecho europeo de la sostenibilidad y a facilitar la adaptación progresiva de las empresas a un entorno regulatorio complejo y en rápida transformación.

La evolución del régimen europeo de diligencia debida puede comprenderse adecuadamente si se identifica la coexistencia de tres vectores regulatorios diferenciados, que operan de manera simultánea y complementaria en el desarrollo del nuevo modelo de responsabilidad empresarial en materia de sostenibilidad.

El primer vector está constituido por el modelo normativo originario establecido por la DDD, que configura la diligencia debida como un instrumento jurídico integral de gestión de riesgos sociales y ambientales en la cadena de actividades. Este modelo se caracteriza por una concepción amplia del deber de diligencia, por la densidad procedimental de las obligaciones previstas en los artículos 5 a 16, por la existencia de un sistema específico de responsabilidad civil armonizada en el artículo 29 y por la integración de la sostenibilidad en el gobierno corporativo y en la estrategia empresarial.
El segundo vector corresponde a las reformas agrupadas en los denominados paquetes ómnibus, que introducen un proceso de simplificación estructural del sistema normativo. Estas iniciativas se orientan principalmente a reducir la intensidad regulatoria del modelo originario, mediante la limitación del alcance práctico de la diligencia debida a los socios comerciales directos, la flexibilización de la periodicidad de las evaluaciones previstas en el artículo 15, la moderación del carácter coercitivo de las medidas correctoras reguladas en el artículo 11 y la revisión del régimen de responsabilidad civil establecido en el artículo 29. En conjunto, estas reformas reflejan una tendencia hacia la reducción de cargas administrativas y hacia la adaptación del sistema regulatorio a las capacidades operativas de las empresas.
El tercer vector está constituido por las reformas ya adoptadas y plenamente integradas en el ordenamiento jurídico de la Unión, entre las que destaca la Directiva (UE) 2026/470, así como los actos delegados y normas técnicas que desarrollan el régimen de información corporativa en materia de sostenibilidad. Estas reformas responden a una lógica de ajuste temporal y de coordinación normativa, orientada a garantizar la coherencia funcional del sistema regulatorio y a facilitar su aplicación progresiva en contextos empresariales diversos.

La interacción entre estos tres vectores regulatorios define, en la actualidad, la dinámica evolutiva del Derecho europeo de la sostenibilidad empresarial. Lejos de configurarse como un sistema normativo estático, el régimen de diligencia debida se presenta como un marco jurídico en transformación continua, en el que coexisten impulsos regulatorios de distinta naturaleza: la construcción de un modelo jurídico integral de responsabilidad empresarial, la simplificación estructural de las obligaciones y la adaptación técnica de los mecanismos de implementación. Esta coexistencia explica la complejidad creciente del sistema y pone de manifiesto el carácter progresivo y experimental del proceso de integración normativa en materia de sostenibilidad empresarial.

Panorama comparado de los sellos de «confianza regulada» – a modo de esquemas de certificación de ciberseguridad.

Posted on 25 febrero, 2026 por Elena F Pérez Carrillo

Hay tres referencias útiles para comparar con los esquemas europeos de certificación de ciberseguridad: Estados Unidos, China e India. No son idénticas al modelo del Reglamento de Ciberseguridad pero cumplen funciones parecidas de “sello de confianza regulado”.

Estados Unidos: FedRAMP para servicios en la nube

Rododendro

En Estados Unidos, el referente más claro es el Programa Federal de Gestión de Riesgos y Autorizaciones (Federal Risk and Authorization Management Program, FedRAMP). FedRAMP es un programa federal que proporciona un enfoque estandarizado para la evaluación y autorización de seguridad de servicios y productos de computación en la nube utilizados por agencias federales.

FedRAMP define un marco único para que los proveedores de servicios en la nube (cloud service providers, CSP) puedan ser evaluados frente a un conjunto de controles de seguridad basados en las publicaciones del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST), en particular NIST SP 800‑53
El objetivo es evitar que cada agencia federal repita evaluaciones desde cero: se crea un modelo de riesgo y una autorización “común” reutilizable por múltiples agencias.
Existen distintos niveles (por ejemplo, impacto bajo, moderado o alto), que determinan la intensidad de los controles y el tipo de datos que pueden alojarse en ese servicio.
FedRAMP exige supervisión continua y revisiones periódicas, y mantiene un listado de servicios autorizados que las agencias

En la práctica, para muchos proveedores cloud, disponer de autorización FedRAMP se ha convertido en un requisito de acceso al mercado federal. Es un esquema sectorial (Administración federal, servicios en la nube) y no un marco horizontal tan amplio como el de la Unión Europea, pero ilustra bien cómo una combinación de estándares NIST y un programa federal de certificación crea un “sello” obligatorio de facto.

China: Esquema de Protección Multi‑nivel (MLPS 2.0) y certificaciones asociadas

En la República Popular China, el núcleo no es un único esquema de certificación, sino el Esquema de Protección Multi‑nivel (Multi‑Level Protection Scheme, MLPS 2.0), desarrollado bajo la Ley de Ciberseguridad china (Cybersecurity Law).

Todos los “operadores de redes” deben clasificar sus sistemas de información en niveles del 1 al 5 según su importancia para la seguridad nacional, el orden social y los derechos de los ciudadanos.
A partir de cierto nivel (por ejemplo, nivel 2 o superior) se exige registro ante las autoridades; a partir de nivel 3 se requiere evaluación y certificación por instituciones de ciberseguridad cualificadas, con auditorías periódicas.
El esquema fija requisitos crecientes de seguridad técnica, gestión interna, monitorización y respuesta a incidentes, alineados con el nivel asignado.

Además, China exige y promueve distintos certificados específicos para productos y servicios:

Camelia blanca

Certificación de equipos y productos de red considerados “críticos” o de uso masivo.
Requisitos particulares para proveedores de servicios en la nube, como uso de centros de datos ubicados en China, medidas reforzadas de control de perímetro, autenticación, copias de seguridad, etc.
Interacción con otras normas, como la Ley de Seguridad de Datos (Data Security Law) y la Ley de Protección de Información Personal (Personal Information Protection Law), que añaden capas de obligaciones.

A diferencia del modelo europeo, el Esquema de Protección Multi‑nivel (MLPS 2.0) está íntimamente ligado al control estatal de infraestructuras y datos: la clasificación y certificación tienen una fuerte dimensión de seguridad nacional y control regulatorio, no solo de “sello de confianza” para el mercado.

India: empanelamiento MeitY para servicios en la nube

En la India, un referente importante es el sistema de empanelamiento del Ministerio de Electrónica y Tecnologías de la Información (Ministry of Electronics and Information Technology, MeitY) para proveedores de servicios en la nube utilizados por organismos públicos.

El Ministerio de Electrónica y Tecnologías de la Información (MeitY) define criterios de seguridad, interoperabilidad, portabilidad de datos, acuerdos de nivel de servicio y condiciones contractuales que deben cumplir los proveedores de servicios en la nube que quieran prestar servicios a la Administración y al sector público.
Los proveedores son auditados por la Dirección de Certificación de Pruebas y Calidad (Standardisation Testing and Quality Certification, STQC) y, si superan la evaluación, se “empanelan”, es decir, se incluyen en una lista de servicios autorizados para uso gubernamental.
Entre los requisitos figuran el alojamiento de datos dentro del territorio de la India, el cumplimiento de estándares internacionales (como ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 20000) y el ajuste a guías de seguridad específicas del Gobierno indio.l

Llegan las camelias

De nuevo, se trata de un esquema focalizado en servicios en la nube para el sector público, que funciona como filtro: sin empanelamiento del Ministerio de Electrónica y Tecnologías de la Información (MeitY), un proveedor no puede competir en ciertos contratos o proyectos gubernamentales. No es tan amplio ni formalizado como el marco europeo de Certificación, pero refleja una lógica similar

Esquemas Europeos de Certificación de Ciberseguridad- ENISA_

Posted on 18 febrero, 2026 por Elena F Pérez Carrillo

Los esquemas europeos de certificación de ciberseguridad que impulsa la Agencia de la Unión Europea para la Ciberseguridad (ENISA) son una pieza central del nuevo Derecho de la economía digital en la Unión Europea (UE). No son solo “sellos técnicos”: son instrumentos híbridos, a medio camino entre la normalización técnica y la regulación, que condicionan de forma creciente la contratación, la supervisión sectorial y la responsabilidad de empresas y administraciones públicas.

1. Del mosaico nacional al marco europeo: el Reglamento de Ciberseguridad (Cybersecurity Act)

Mongolfiera

El punto de partida es el Reglamento (UE) 2019/881, conocido como Reglamento de Ciberseguridad (Cybersecurity Act), que hizo de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) una auténtica agencia permanente de ciberseguridad y estableció un marco europeo de certificación de ciberseguridad. Hasta su aprobación, el paisaje europeo era un mosaico de esquemas nacionales, acuerdos como el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA) y sellos privados difícilmente comparables entre sí. Cada Estado miembro podía exigir o promover sus propios certificados,

El Reglamento de Ciberseguridad (Cybersecurity Act) pretende resolver este problema mediante nuevos procedimientos que permiten que la Comisión Europea, con apoyo técnico de la ENISA adopte esquemas europeos de certificación de ciberseguridad aplicables a productos, servicios o procesos de tecnologías de la información y la comunicación (TIC). Una vez adoptado un esquema, los certificados emitidos conforme al mismo deben ser reconocidos en todos los Estados miembros, lo que crea un mercado único de certificación y evita duplicidades de pruebas y acreditaciones.

Cada esquema define su ámbito (por ejemplo, productos de tecnologías de la información y la comunicación, servicios de computación en la nube, redes de comunicaciones móviles de quinta generación) y los niveles de aseguramiento (básico, sustancial, alto) con un conjunto de requisitos de seguridad asociados a cada nivel. También determina qué organismos pueden evaluar y certificar (organismos de certificación acreditados, laboratorios) y qué normas de acreditación se aplican (por ejemplo, la norma ISO/IEC que se designe. El resultado es una arquitectura en la que el legislador europeo fija el marco y los objetivos, y el detalle técnico se construye sobre la base de estándares internacionales y prácticas de evaluación consolidadas.

En principio, la certificación bajo estos esquemas es voluntaria. Sin embargo, el Reglamento prevé que un producto o servicio certificado goce de una presunción de conformidad con los requisitos del esquema, lo que tiene consecuencias muy concretas: puede servir de referencia en licitaciones, ser exigido por reguladores sectoriales o convertirse en estándar de diligencia debida en determinados mercados. De facto, lo que empieza como “voluntario” tiende a convertirse en requisito de mercado o en criterio de supervisión

2. Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC)

Catedral León. Roset
on

El primer esquema adoptado formalmente bajo el Reglamento de Ciberseguridad es el Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC). Su objetivo es unificar a escala europea la certificación de productos de tecnologías de la información y la comunicación que se evaluaban tradicionalmente conforme al estándar internacional Common Criteria (CC), como tarjetas inteligentes, módulos criptográficos, sistemas operativos embebidos o ciertos elementos de infraestructuras de confianza (identidad electrónica, servicios de confianza de firma electrónica).

Antes de este EUCC, estos productos se certificaban en el marco de esquemas nacionales coordinados parcialmente por el Acuerdo de Reconocimiento Mutuo Senior Officials Group Information Systems Security (SOG‑IS MRA), que ahora se ve progresivamente sustituido por un esquema europeo único. El Esquema Europeo de Certificación de Ciberseguridad basado en Common Criteria (EUCC) recoge ese legado, actualiza los requisitos y establece un marco común de evaluación que

Define qué categorías de productos pueden certificarse y bajo qué perfiles de protección u objetivos de seguridad.
Establece niveles de aseguramiento y requisitos de evaluación asociados a Common Criteria (CC), adaptados al entorno europeo
Requiere que los organismos de certificación y los laboratorios estén acreditados conforme a normas armonizadas, garantizando un nivel comparable de calidad en las evaluaciones.

Para juristas y reguladores, EUCC es relevante porque permite a la norma sectorial (por ejemplo, en identidad electrónica, servicios de confianza, sistemas de pago o infraestructuras críticas) remitir a un referente técnico común, en lugar de citar múltiples esquemas nacionales. Además, puede servir de criterio de diligencia: un operador que elige componentes certificados al amparo del EUCC con un nivel de aseguramiento alto podría alegar haber tomado medidas razonables de seguridad; a la inversa, la ausencia de certificación podría ser un indicio de falta de diligencia en determinados contextos. Finalmente, la existencia de un registro europeo de certificados facilita la transparencia y el control para supervisores y contrapartes contractuales.

3. Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS)

El Esquema Europeo de Certificación de Ciberseguridad para Servicios en la Nube (EUCS) es el gran proyecto en materia de certificación de servicios de computación en la nube, todavía en fase de candidatura y consulta pública, pero ya bien definido en sus líneas maestras. Su razón de ser es evidente: hoy los servicios de computación en la nube son infraestructura básica para entidades financieras, aseguradoras, plataformas de negociación, administraciones públicas, sistemas sanitarios, etc., pero los requisitos de seguridad que se les exigen están fragmentados entre normas nacionales, guías de supervisores y esquemas privados.

Museo San Matteo. Pisa

El EUCS aspira a convertirse en el lenguaje común europeo para estos servicios. Define categorías de servicios (infraestructura como servicio, plataforma como servicio, software como servicio) y niveles de aseguramiento (básico, sustancial, alto), con un conjunto de requisitos asociados a cada nivel. Entre esos requisitos se incluyen controles sobre: Gestión de identidades y accesos, autenticación robusta y segregación de funciones; cifrado en tránsito y en reposo, gestión de claves, registros de actividad y monitorización;continuidad de negocio, recuperación ante desastres y gestión de incidentes; seguridad de la cadena de suministro y de la subcontratación (subencargados de tratamiento y otros proveedores).

Desde la óptica jurídica, resulta especialmente relevante cómo el EUCS integra cuestiones que trascienden la técnica pura. Uno de los debates centrales gira en torno a la localización de datos y las transferencias internacionales: lugar de almacenamiento y procesamiento, jurisdicciones aplicables y condiciones de acceso por autoridades de terceros países. Todo ello conecta directamente con el Reglamento general de protección de datos (RGPD), con la Directiva (UE) 2022/2555 sobre medidas para un nivel elevado común de ciberseguridad en la Unión (NIS2) y con normativas sectoriales que condicionan el uso de la nube en sectores críticos.

Si el EUCS se adopta en los términos previstos, es previsible que se convierta en referencia para los requisitos de contratación pública de servicios en la nube (por ejemplo, exigir un nivel “alto” para determinados datos o procesos críticos); expectativas de supervisores financieros, sanitarios o de otros sectores críticos respecto del uso de la nube por sus entidades supervisadas; cláusulas contractuales entre proveedores de servicios en la nube y clientes corporativos en toda la Unión Europea.

4. Esquema Europeo de Certificación de Ciberseguridad para redes 5G

El tercer gran eje es el futuro Esquema Europeo de Certificación de Ciberseguridad para reds 5G, que la Comisión Europea ha encargado a la ENISA en el marco de la estrategia de seguridad de redes 5G y de la denominada “caja de herramientas 5G” (5G Toolbox). Las redes de comunicaciones móviles de quinta generación (5G) constituyen la base tecnológica de servicios industriales, vehículos conectados, ciudades inteligentes y numerosas aplicaciones de misión crítica.

Este Esquema Europeo de Certificación de Ciberseguridad para redes 5G tiene como finalidad evaluar de forma sistemática la seguridad de equipos, software y arquitecturas de red 5G, incluidas funciones virtualizadas y segmentación de red (network slicing); abordar riesgos derivados de la cadena de suministro, donde intervienen múltiples fabricantes y desarrolladores, algunos potencialmente calificados como proveedores de “alto riesgo”; proporcionar a los Estados miembros y a los operadores de redes públicas un instrumento común para comparar la robustez de diferentes soluciones y proveedores

Este esquema se sitúa en el corazón del debate sobre infraestructuras críticas, soberanía tecnológica y dependencia de terceros países. La certificación al amparo del Esquema Europeo de Certificación de Ciberseguridad para redes 5G no sustituye a decisiones políticas (por ejemplo, restricciones a ciertos proveedores), pero aporta una base técnica más uniforme para justificarlas y para diseñar obligaciones de seguridad reforzadas.

5. Implicaciones jurídicas

Estos esquemas son normas regulatorias “de segundo nivel”. El Reglamento de Ciberseguridad crea un marco general y habilita la adopción de esquemas técnicos que, sin ser leyes formales, tienen efectos normativos muy intensos: introducen presunciones de conformidad, son citados por otras normas y condicionan la práctica contractual.

La existencia o ausencia de certificación bajo esquemas como los mencionados puede influir en la apreciación de la diligencia exigible a fabricantes, proveedores de servicios y usuarios industriales. Un nivel “alto” de aseguramiento no es solo un argumento comercial, sino un elemento que puede entrar en la valoración jurídica ex ante (deber de cuidado) y ex post (juicios de culpa).

Estos esquemas de certificación se entrecruzan con la protección de datos (Reglamento general de protección de datos), con la seguridad de redes y sistemas (Directiva NIS2), con la regulación financiera, sanitaria o de infraestructuras críticas y, cada vez más, con la contratación pública, donde los pliegos comienzan a remitir a niveles concretos de certificación.

Finalmente, estos esquemas ilustran cómo, en el entorno digital, la confianza no se construye solo con normas generales, sino con arquitecturas jurídico‑técnicas complejas, en las que el Derecho, los estándares y la evaluación independiente caminan juntos.

Propuestas para la reforma de la Directiva de redes y sistemas de información (DNIS2) y otras directivas relativas a la ciberseguridad

Posted on 11 febrero, 2026 por Elena F Pérez Carrillo

La Comisión Europea ha propuesto una modificación de la NIS 2 como parte de un paquete más amplio de reformas del marco de ciberseguridad de la Unión Europea

La propuesta de Directiva que modifica la Directiva (UE) 2022/2555 (NIS 2) —formalmente Proposal for a Directive of the European Parliament and of the Council amending Directive (EU) 2022/2555 as regards simplification measures and alignment with the Cybersecurity Act 2 (COM(2026) 13 final)— tiene por objeto introducir medidas de simplificación y una mayor alineación con el marco de ciberseguridad europeo, con el fin de facilitar el cumplimiento para las entidades reguladas, reforzar la seguridad jurídica y mantener un elevado nivel de protección de las redes y sistemas de información en la UE (así se desprende de los considerandos de la Propuesta Directiva)

La reforma se basa en el artículo 114 del TFUE (armonización de las normas dentro del mercado interior) y se alinea con los objetivos esenciales de la NIS 2 de establecer un elevado nivel común de ciberseguridad. Se prevé que los Estados miembros deberán transponer las modificaciones , pero además, que la Directiva NIS 2 en su conjunto seguirá su mecanismo de revisión periódica cada 36 meses.

Con esta Propuesta de reforma se revisa también el *Reglamento (UE) 2019/881 sobre la Agencia de la Unión Europea de Ciberseguridad y la certificación de ciberseguridad (Cybersecurity Act),

La Comisión Europea ha planteado esta modificación de la NIS 2 como parte de un paquete más amplio de reformas del marco de ciberseguridad de la Unión Europea Cybersecurity Act 2 (Propuesta de Reglamento). También afecta a otras políticas y marcos de la UE relevantes para la resiliencia digital, como la Cyber Resilience Act (CRA), la Cyber Solidarity Act (CSoA) y la estrategia de respuesta a crisis cibernéticas (EU-Cyber Blueprint). El objetivo es avanzar en la regulación para la ciberseguridad y la convergencia en el mercado interior digital.

Más concretamente, persigue:

Clarificar y armonizar el ámbito de aplicación y las definiciones de la NIS 2.
Reducir la complejidad de cumplimiento para empresas sujetas a múltiples requisitos de ciberseguridad en distintos cuerpos normativos.
Incrementar la coherencia entre NIS 2 y el nuevo marco de certificación europeo de ciberseguridad (Cybersecurity Act 2).
Reforzar la supervisión transfronteriza y la coordinación con la Agencia de la Unión Europea de Ciberseguridad (ENISA).
Mejorar la transparencia y la calidad de la información sobre incidentes, en particular los de tipo ransomware.
Facilitar la transición hacia nuevas tecnologías resilientes, como la criptografía poscuántica.

Cambios principales que introduce

Alcance, definiciones y categorías de entidades. La propuesta introduce ajustes al régimen de alcance de la NIS 2 para proporcionar mayor proporcionalidad:

- Pequeñas “mid-caps”: crea una nueva categoría de empresas de tamaño intermedio (“small mid-caps”), que en principio, se considerarán entidades importantes en lugar de esenciales, reduciendo así la carga de supervisión y ciertas obligaciones directas. Esta nueva definición se articula en línea con la Commission Recommendation (EU) 2025/1099 on the definition of small mid-cap enterprises.
- Proveedor de servicios DNS micro y pequeños: excluye expresamente a este colectivo del ámbito de la NIS 2 para evitar cargas desproporcionadas.
- Clarificaciones sectoriales: se precisan las reglas de inclusión y exclusión para proveedores sanitarios, productores de electricidad, empresas de hidrógeno y del sector químico, con referencia a las normas sectoriales pertinentes (p. ej., Directive (EU) 2019/944 para energía).
- Entidades de infraestructura digital crítica: amplía el listado de entidades sujetas a la Directiva incluyendo, independientemente de su tamaño, a proveedores de European Digital Identity Wallets y otros servicios de infraestructura digital de importancia sistémica.

2. Ajuste en las reglas jurisdiccionales y de supervisión transfronteriza, incluida la obligación de designar un representante en la UE para entidades no establecidas que prestan servicios dentro del mercado único.

3. Simplificación y armonización de obligaciones.

Un elemento central de la reforma es la armonización de medidas técnicas y metodológicas de gestión de riesgos, en donde se pretende la armonización máxima. Así, se establece que cuando la Comisión adopte actos de ejecución específicos en virtud del artículo 21(5) de la NIS 2 para fijar medidas de gestión de riesgos, los Estados miembros no podrán imponer requisitos adicionales de carácter técnico, metodológico o sectorial a las entidades afectadas por esos actos.
Se potencia el uso de esquemas de certificación europeos como instrumento de cumplimiento: los Estados podrán exigir la obtención de certificados de ciberseguridad (“cyber posture”) basados en el marco europeo de certificación (Cybersecurity Act 2), y dichos certificados se reconocerán como prueba de cumplimiento respecto de determinados requisitos supervisores.
La Propuesta también prevé que la Comisión emita directrices sobre la seguridad de la cadena de suministro, con el fin de homogenizar las exigencias de información que las entidades trasladan a sus proveedores y reducir cargas administrativas

4. Ransomware: datos, reporte y responsabilidad

Para mejorar la comprensión y respuesta ante ataques de ransomware, la Propuesta introduce requisitos más claros de notificación de ciertos aspectos del ataque (por ejemplo, vector de entrada, medidas de mitigación adoptadas y, a solicitud de la autoridad, detalles sobre demandas de rescate y pago). Se subraya que estas obligaciones de reporte no deben generar automáticamente nuevas responsabilidades jurídicas para las entidades, y que los Estados miembros deben gestionar los riesgos de responsabilidad derivados del reporting dentro de su ordenamiento.

5 Preparación frente a amenazas futuras: Criptografía poscuántica

La Propuesta incorpora la obligación para los Estados miembros de adoptar políticas específicas para la transición a la criptografía poscuántica (PQC) como parte de sus estrategias nacionales de ciberseguridad, alineadas con las hojas de ruta europeas para el periodo 2025-2035.

6 Gobernanza y papel reforzado de ENISA

Se refuerza la dimensión transfronteriza de la supervisión mediante la ampliación de las competencias atribuidas a ENISA. Entre otras medidas, ENISA gestionará un registro ampliado de entidades esenciales e importantes y podrá apoyar a las autoridades nacionales en la supervisión y en la evaluación de medidas de gestión de riesgos, así como en la coordinación de acciones conjuntas.

IA y sector financiero: análisis desde el Parlamento Europeo

Posted on 2 febrero, 2026 por Elena F Pérez Carrillo

La aplicación de la inteligencia artificial (IA) en los mercados de valores y de derivados —estrechamente entrelazada con la negociación algorítmica de alta frecuencia (HFT)— ha dejado de ser una innovación periférica para convertirse en un elemento estructural de la microestructura financiera contemporánea, con implicaciones profundas para la estabilidad del sistema, la equidad de los mercados y la función supervisora. En este contexto, el 11 de noviembre de 2025 la Comisión de Asuntos Económicos y Monetarios del Parlamento Europeo publicó un informe que incorpora una propuesta de Resolución sobre el impacto de la inteligencia artificial en el sector financiero (Informe del Parlamento Europeo sobre el impacto de la IA en el sector financiero, Report A10-0225/2025). Ese informe es el punto de referencia político más reciente sobre el tema y fue posteriormente seguido por la adopción formal de la Resolución por el Pleno el 25 de noviembre de 2025

Ao solpor

Estos trabajos se insertan en el debate institucional europeo sobre la transformación tecnológica de los servicios financieros y sobre la necesidad de adaptar el marco regulatorio al uso creciente de sistemas de IA en actividades esenciales del sector. Ofrece un análisis sistemático del empleo de estas tecnologías y de sus efectos sobre el funcionamiento de los mercados, al tiempo que examinan el marco normativo aplicable. Desde una perspectiva de política legislativa, el ponente del informe subraya la importancia de facilitar la adopción de la IA en el sector financiero europeo sin menoscabar la protección del consumidor, la estabilidad financiera ni la integridad del mercado. En este sentido, identifica solapamientos normativos y zonas de incertidumbre jurídica, y propone medidas destinadas a clarificar la aplicación de la legislación financiera vigente cuando intervienen sistemas basados en IA.

El informe destaca la rápida implantación de la IA en el ámbito financiero y las oportunidades que ofrece para mejorar la eficiencia, la innovación y la calidad de los servicios. No obstante, insiste en que este potencial solo puede materializarse si se mantiene un equilibrio adecuado entre innovación tecnológica y regulación. Resultan centrales, a este respecto, el cumplimiento normativo, el uso de datos de alta calidad y una gestión rigurosa de los riesgos, con especial atención a la ciberseguridad. Asimismo, se subraya la necesidad de que las Autoridades Europeas de Supervisión refuercen sus capacidades técnicas y sus herramientas de control para acompañar el despliegue creciente de la IA, protegiendo al consumidor y preservando la estabilidad del sistema financiero.

Desde una perspectiva estratégica, el Parlamento apuesta por impulsar la innovación y la inversión en inteligencia artificial dentro del ecosistema europeo, en particular en el marco de la futura Unión de Ahorro e Inversión. El desarrollo de capacidades propias en IA se considera esencial para la competitividad del sector financiero europeo y para reducir la dependencia de proveedores tecnológicos externos. Paralelamente, se insta a la Comisión Europea a elaborar orientaciones claras y operativas sobre la aplicación de la normativa financiera vigente al uso de sistemas de IA, en colaboración con las Autoridades Europeas de Supervisión, las autoridades nacionales competentes y los actores del mercado.

Un eje central del informe es la simplificación y coherencia del marco regulatorio. El texto advierte del riesgo de duplicidades —especialmente en materia de evaluación y notificación de riesgos— y de enfoques uniformes que no reflejan la diversidad de usos y perfiles de riesgo de la IA en el sector financiero. Frente a ello, se propone una supervisión continua del despliegue de estas tecnologías, capaz de identificar lagunas, solapamientos o cargas excesivas, y una coordinación estrecha entre la Comisión y los Estados miembros para ajustar el marco normativo de forma proporcionada y dinámica.

Mongolfiera

El informe pone de relieve que la IA atraviesa múltiples horizontes normativos. Un mismo caso de uso puede activar simultáneamente normas financieras, de protección de datos, de ciberseguridad o de competencia. El riesgo es doble: un exceso de cargas regulatorias puede frenar la innovación, mientras que un vacío normativo puede dejar desprotegido al consumidor y al mercado. De ahí la insistencia del Parlamento en la necesidad de clarificaciones, guías comunes, criterios operativos y convergencia supervisora, articuladas sobre un principio de proporcionalidad que gradúe las exigencias en función de los usos y de sus impactos.

El documento también anima a explorar activamente el potencial de las herramientas basadas en IA en distintos segmentos del sector financiero, como la intermediación, la gestión de carteras o la automatización de funciones de cumplimiento normativo. Esta exploración se vincula a los objetivos estratégicos de la Unión de Ahorro e Inversión y exige un marco regulatorio tecnológicamente neutro, capaz de integrar la innovación sin generar distorsiones en la competencia.

En esta línea, el informe recomienda reducir las barreras de entrada para las iniciativas de innovación financiera basadas en IA dentro de la Unión. Propone, entre otras medidas, la simplificación de los procedimientos de autorización, el apoyo al escalado transfronterizo y la integración de estas iniciativas en espacios de innovación supervisada. Asimismo, sugiere evaluar el valor añadido de entornos de pruebas regulatorios específicos para IA, así como de centros de innovación y mecanismos de experimentación transfronteriza, con el objetivo de facilitar el ensayo de nuevos productos y servicios sin comprometer la protección del consumidor ni la integridad del mercado.

Una atención particular se dedica a los fundamentos técnicos. El dato se identifica como insumo crítico, exigiéndose calidad, trazabilidad, representatividad, control de sesgos y pleno cumplimiento de la normativa de protección de datos. La gestión de modelos ocupa igualmente un lugar central: validación independiente, documentación clara, explicabilidad suficiente, pruebas periódicas, control de cambios y gestión de incidentes se configuran como elementos esenciales para reducir el riesgo de modelo y facilitar la auditoría.

La ciberseguridad constituye otro pilar del enfoque propuesto. Los sistemas de IA introducen nuevas superficies de ataque y riesgos específicos —como el envenenamiento de datos, la extracción de modelos o el fraude aumentado por IA— que obligan a reforzar controles, clasificar activos, realizar pruebas realistas y coordinarse estrechamente con terceros. La resiliencia operativa y la continuidad de negocio se presentan como requisitos indisociables del despliegue responsable de la IA en el sector financiero.

El informe subraya, finalmente, el papel clave de las autoridades europeas y nacionales de supervisión. Estas deben emitir orientaciones armonizadas, compartir buenas prácticas, coordinar pruebas y reforzar sus competencias internas, invirtiendo en herramientas y capacidades técnicas. Esta cooperación contribuye a reducir asimetrías, aumentar la seguridad jurídica y fortalecer la confianza en el sistema.

En conclusión, la propuesta de Resolución del Parlamento Europeo traza una hoja de ruta clara para una innovación financiera basada en inteligencia artificial que sea competitiva, segura y responsable. Sin imponer soluciones cerradas, orienta la acción regulatoria futura hacia un equilibrio exigente entre impulso tecnológico y protección de los valores fundamentales del mercado financiero europeo, situando la proporcionalidad, la coherencia normativa y la resiliencia como ejes vertebradores de ese proceso.

Ver también la Resolución aprobada

Ciber contaminación. Navegación y espacios de datos. Actualización, unos años después

Posted on 21 enero, 2026 por Elena F Pérez Carrillo

Sobre este tema escribimos hace 8 años.Aquella entrada (aquí) sigue encajando en la realidad actual. Pero, corresponde actualizarla:

Centros de datos, inteligencia artificial y sostenibilidad: una actualización necesaria

La infraestructura física que sostiene la economía digital —centros de datos, redes de transmisión y sistemas de almacenamiento— se ha convertido en un elemento estructural del desarrollo económico contemporáneo. Sin embargo, buena parte de los análisis divulgativos que circularon entre 2015 y 2018 han quedado obsoletos, tanto en cifras como en el enfoque, a raíz de dos factores convergentes: la expansión acelerada de la computación en la nube y, especialmente, el despliegue masivo de inteligencia artificial intensiva en cálculo.

Nuevas cifras y nuevo contexto energético

Los estudios recientes permiten ofrecer hoy una imagen más precisa.

En 2024, el consumo eléctrico global de los centros de datos se situó en torno a 415 TWh, aproximadamente un 1,5 % del consumo mundial de electricidad, con previsiones de crecimiento que apuntan a una cifra cercana a 945 TWh en 2030 si se mantiene el actual ritmo de despliegue, impulsado principalmente por centros optimizados para entrenamiento y operación de modelos de IA (International Energy Agency (IEA), Data Centre Energy Use: Critical Review of Models and Results, 2025). Este aumento no implica necesariamente un crecimiento lineal de las emisiones, pero sí introduce un riesgo sistémico.
En ausencia de mejoras sustanciales de eficiencia energética y de una descarbonización efectiva del mix eléctrico, los centros de datos y las redes asociadas podrían representar entre el 1 % y el 3 % de las emisiones energéticas globales a mediados de la próxima década, en escenarios que los acercan, por volumen agregado, a sectores tradicionalmente intensivos como la aviación (Carbon Brief, AI: five charts that put data centre energy use and emissions into context, 2024).

Localización, redes eléctricas y consumo de agua

El debate actual ya no se limita a cuánto consumen los centros de datos, sino dónde se localizan y cómo se integran en los sistemas energéticos. Muchos centros de nueva generación superan los 100 MW de potencia instalada, y algunos proyectos de “campus de IA” se diseñan a escalas que obligan a reforzar infraestructuras de transporte y distribución eléctrica, generando tensiones en redes locales y regionales (Data Center Dynamics, IEA: data center energy consumption set to double by 2030, 2024).
A ello se añade el consumo de agua asociado a los sistemas de refrigeración de alta densidad de cálculo. La disponibilidad hídrica, junto con el acceso a energía renovable y la menor congestión de red, se ha convertido en un criterio central de localización, con efectos relevantes en la planificación territorial y en las políticas industriales, particularmente en la Unión Europea (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).

De la “huella digital” individual al consumo agregado

La literatura divulgativa de hace unos años (como la referenciada en la mencionada antigua entrada DerMerUle) tendía a sobredimensionar el impacto climático de gestos individuales —como enviar correos electrónicos o realizar búsquedas— mediante comparaciones llamativas pero técnicamente imprecisas. Los análisis más recientes recomiendan desplazar el foco hacia el consumo agregado de servicios digitales, en particular el streaming de vídeo, el almacenamiento masivo en la nube y, cada vez más, el uso intensivo de IA (European Climate Pact, Going digital: good or bad for the climate?, 2025,).
Ello no vacía de contenido la dimensión pedagógica del debate. El almacenamiento ilimitado de datos y la ausencia de políticas de depuración contribuyen a mantener infraestructuras permanentemente activas. Su impacto es marginal a nivel individual, pero no neutro en términos agregados, lo que enlaza las decisiones de uso digital con las estrategias de reducción de la huella de carbono tanto personales como corporativas.

Gobernanza, sostenibilidad y reporting

La huella ambiental de los centros de datos se ha incorporado de forma estable a la agenda de la doble transición verde y digital. La Comisión Europea los identifica como infraestructuras intensivas en energía que deben alinearse con los objetivos del Pacto Verde, mediante eficiencia energética, uso creciente de renovables y obligaciones reforzadas de información sobre consumo de energía, agua y emisiones (European Commission, In focus: Data centres – an energy-hungry challenge, 2025).
Para las empresas usuarias de servicios en la nube, estas exigencias tienen consecuencias directas: la selección de proveedores, la localización de los centros de datos y la contratación de servicios de computación “verde” forman ya parte de la gestión ESG y de la responsabilidad ambiental corporativa (World Economic Forum, Data centres and energy demand, 2025)

Implicaciones de Derecho Societario y de Derecho de la competencia

Desde una perspectiva de Derecho mercantil, el impacto ambiental de los centros de datos y de la IA deja de ser una cuestión reputacional para integrarse en el núcleo de los deberes de diligencia de los administradores. La planificación tecnológica, la externalización de servicios en la nube y la elección de infraestructuras digitales forman parte hoy de las decisiones estratégicas de la empresa y deben evaluarse a la luz de los riesgos regulatorios, energéticos y de sostenibilidad, especialmente en contextos de reporting no financiero y de diligencia debida en materia ESG.
Al mismo tiempo, el fenómeno plantea retos relevantes desde el Derecho de la competencia. La concentración territorial de grandes centros de datos, el acceso preferente a energía barata o renovable y las economías de escala asociadas a la IA pueden reforzar posiciones dominantes, elevar barreras de entrada y condicionar la competencia efectiva en mercados digitales y de servicios en la nube. La sostenibilidad, en este contexto, no es solo un objetivo ambiental, sino también un factor estructural de competencia que exige atención por parte de autoridades regulatorias y de la defensa de la competencia.

Industria de Defensa. Reglamento Europeo del rearme y de la financiación de tecnologías de doble uso

Posted on 12 enero, 2026 por Elena F Pérez Carrillo

El Reglamento (UE) 2025/2653 del Parlamento Europeo y del Consejo, de 17 de octubre de 2025 introduce modificaciones en en varios reglamentos sectoriales de la UE para integrar la política industrial de defensa en el núcleo de los programas de financiación existentes. Se trata de un importante paso para implementar el Plan “ReArmar Europa”.

Entre las normas afectadas por esta reforma se encuentran el Reglamento (UE) 2021/694, que establece el programa Europa Digital; el Reglamento (UE) 2021/695, que crea Horizonte Europa; el Reglamento (UE) 2021/697, relativo al Fondo Europeo de Defensa; el Reglamento (UE) 2021/1153, que establece el Mecanismo «Conectar Europa»; y el Reglamento (UE) 2024/795, que pone en marcha la Plataforma de Tecnologías Estratégicas para Europa (STEP).

En el actual contexto caracterizado por el deterioro geopolítico, el incremento del gasto en defensa y las dificultades de acceso a financiación para la industria del sector, la finalidad transversal de estas modificaciones es movilizar tanto inversión pública como privada hacia capacidades militares y tecnologías de doble uso. Es decir, que la política de defensa europea no dependa exclusivamente de esfuerzos nacionales aislados, sino que se articule de manera coordinada y estratégica en el conjunto de los grandes programas comunitarios.

El núcleo del Reglamento reside en la ampliación de la Plataforma de Tecnologías Estratégicas para Europa, que hasta ahora cubría tres ámbitos estratégicos —transición digital y deep tech, tecnologías limpias y biotecnologías—. Ahora se se incorpora un cuarto sector específico de “tecnologías de defensa”.

Este sector se define por referencia a los productos relacionados con la defensa y a las tecnologías necesarias para su desarrollo, según los criterios establecidos por la Directiva 2009/43/CE sobre transferencias intracomunitarias de productos de defensa.
Asi, se permite ahora que los proyectos de defensa puedan beneficiarse del “sello STEP”, de la priorización en la evaluación y de ventajas de cofinanciación, abarcando iniciativas que impliquen capacidades intensivas en datos, infraestructuras avanzadas de computación o “gigafactorías de inteligencia artificial” susceptibles de aplicación militar. Esta ampliación refleja un cambio sustancial en la orientación de la política industrial europea, al vincular la innovación tecnológica avanzada con necesidades estratégicas de defensa en el marco de los programas comunitarios existentes.

Zamora, vista allén del río

De manera complementaria, el Reglamento introduce una excepción significativa en el programa Horizonte Europa. Mientras que el artículo 7, apartado 1, del , todavía vigente, Reglamento (UE) 2021/695 consagra el carácter civil de las actividades financiadas, el nuevo texto permite, con carácter excepcional y estrictamente acotado, que el Acelerador del Consejo Europeo de Innovación apoye innovaciones con posibles aplicaciones de doble uso. Esta medida habilita la financiación mediante instrumentos de capital a pymes, start‑ups y small mid‑caps del sector de la defensa que desarrollen tecnologías consideradas fundamentales para este ámbito, asegurando al mismo tiempo la complementariedad con el Fondo Europeo de Defensa y otros instrumentos financieros de la Unión, como InvestEU.

El Reglamento refuerza asimismo las salvaguardas de seguridad y el control de acceso para los proyectos de doble uso. En determinadas convocatorias, las normas de admisibilidad y selección pueden limitar la participación a entidades establecidas en Estados miembros y, de forma limitada, en algunos países asociados, excluyendo empresas controladas por terceros países no asociados cuando ello sea necesario para proteger los intereses estratégicos y de seguridad de la Unión. La Comisión queda obligada a supervisar el uso de esta “excepción de defensa” dentro de Horizonte Europa, recopilando y comunicando información sobre los proyectos afectados sin generar nuevas cargas administrativas para los beneficiarios, lo que garantiza una gestión controlada y transparente de los recursos públicos destinados a la innovación estratégica.

Además, las modificaciones introducidas en Europa Digital, el Fondo Europeo de Defensa y el Mecanismo «Conectar Europa» completan esta lógica de integración, facilitando que programas originalmente concebidos para la digitalización, la investigación y desarrollo civil o las infraestructuras de transporte y energía puedan apoyar de manera efectiva capacidades críticas con relevancia militar o de doble uso. Entre estas capacidades destacan infraestructuras esenciales para la movilidad de fuerzas, la resiliencia energética y la seguridad de las comunicaciones, que se vuelven estratégicas en el marco del Plan ReArmar Europa.

Este Reglamento (UE) 2025/2653 constituye una pieza central de coordinación y planificación presupuestaria, trasladando la política de defensa desde un enfoque estrictamente nacional hacia una estrategia industrial europea integrada, que articula los grandes instrumentos de financiación de la Unión para responder a desafíos geopolíticos y tecnológicos contemporáneos.

Hacia la simplificación del ordenamiento europeo de sociedades y los criterios ESG en derecho societario- (las propuestas Omnibus)

Posted on 7 enero, 2026 por Elena F Pérez Carrillo

Riaño, by Ricardo Castellanos Blanco

La creciente densidad del acervo europeo en materia financiera, societaria y de sostenibilidad ha generado una preocupación creciente por la complejidad y los costes de cumplimiento asociados. En sus recientes comunicaciones e informes sobre simplificación, la COMISIÓN EUROPEA viene anunciando que está sometiendo la legislación vigente a revisión para detectar acumulaciones regulatorias, racionalizar obligaciones y garantizar que las normas sigan siendo proporcionadas y adecuadas a sus fines . Véase, por ejemplo, la Comunicación «Una normativa de la UE más sencilla, eficaz y preparada para el futuro», COM(2025) 47 final, y el Informe sobre simplificación, aplicación y cumplimiento, COM(2025) 871 final). Cada comisario ha asumido, en este contexto, un mandato específico de revisión de su cartera normativa, con prioridad en aquellos ámbitos en los que empresas y partes interesadas perciben mayor carga administrativa, de modo que los resultados de este escrutinio alimentan tanto futuras iniciativas de reforma como sucesivos paquetes “ómnibus” orientados a corregir disfunciones y solapamientos.

Tanto el denominado Informe Draghi sobre competitividad europea (M. Draghi, «The future of European competitiveness. A competitiveness strategy for Europe (Part A)», Informe para la Comisión Europea, 9.9.2024) como la Declaración de Budapest en favor de un nuevo pacto para la competitividad (CONSEJO DE LA UE, “Declaración de Budapest sobre el Nuevo Pacto para la Competitividad Europea”, Comunicado de prensa 838/24, 8.11.2024) han contribuido a reforzar esta orientación, al reclamar una “revolución de la simplificación” y un marco normativo más predecible y menos oneroso, en particular para las pymes.

En este marco, la reforma conocida como Ómnibus I, articulada a través de una Propuesta de Directiva que modifica, entre otros instrumentos, la Directiva sobre información corporativa en materia de sostenibilidad (Directiva (UE) 2022/2464 del Parlamento Europeo y del Consejo, relativa a la información corporativa sobre sostenibilidad, “CSRD”) y la Directiva sobre diligencia debida en materia de sostenibilidad empresarial (Directiva (UE) 2024/1760 del Parlamento Europeo y del Consejo, sobre diligencia debida de las empresas en materia de sostenibilidad, “DDD”), se inserta en una estrategia explícita de simplificación para reducir la carga administrativa asociada a las obligaciones ESG de las empresas europeas (Propuesta de Directiva por la que se modifican las Directivas 2006/43/CE, 2013/34/UE, (UE) 2022/2464 y (UE) 2024/1760 en lo que respecta a determinados requisitos de presentación de información corporativa y de diligencia debida de las empresas en materia de sostenibilidad, COM(2025) 81 final).

Ómnibus I puede leerse como una reacción ponderada, aunque no exenta de controversia, frente a la centralidad adquirida por la sostenibilidad en la agenda regulatoria europea, entendida en los últimos años como un vector destinado a reorientar las prioridades de las sociedades mercantiles combinando la obtención de beneficios económicos, con objetivos ambientales, sociales y de buen gobierno (ESG)

En el ámbito de la información sobre sostenibilidad, la propuesta reduce de forma sustancial el universo de empresas obligadas elevando los umbrales de entrada, de manera que solo queden plenamente sometidas sociedades de gran dimensión —por encima de determinados niveles de plantilla y facturación— incluidas ciertas filiales y sucursales de grupos de terceros países con actividad relevante en la Unión (conforme a los nuevos umbrales que introduce la Propuesta COM(2025) 81 final al modificar la Directiva 2013/34/UE y la Directiva (UE) 2022/2464).
Paralelamente, se simplifican los contenidos de la información que deben elaborar las empresas, se flexibilizan determinados estándares sectoriales, se introduce un modelo optativo para la comunicación del grado de alineación con el Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo, de 18 de junio de 2020, relativo a la taxonomía de actividades sostenibles (“Reglamento de Taxonomía”), y se refuerzan salvaguardias destinadas a evitar el traslado indirecto de obligaciones hacia empresas de menor tamaño a través de la cadena de valor.
Se acompaña de medidas de apoyo institucional —como portales digitales con orientaciones y plantillas armonizadas— y de una reprogramación temporal que difiere la plena aplicación del nuevo marco, con el objetivo declarado de ofrecer flexibilidad y permitir una adaptación progresiva, en especial para empresas intermedias o en transición

La reforma proyecta efectos relevantes también sobre el régimen de diligencia debida en materia de sostenibilidad, que pasa a concentrarse en un número más reducido de empresas de gran dimensión, modulando el alcance de la identificación y gestión de riesgos ambientales y sociales, suavizando ciertas consecuencias jurídicas —incluido el régimen sancionador— y precisando las cadenas de relaciones comerciales a las que debe extenderse el deber de vigilancia, mediante las modificaciones introducidas sobre la Directiva (UE) 2024/1760 por la Propuesta COM(2025) 81 final. En paralelo, algunas posiciones nacionales, como la del Bundesrat alemán (BUNDESRAT, “Beitrag des Deutschen Bundesrats zur Überarbeitung der Europäischen Standards zur Nachhaltigkeitsberichterstattung und der CSDDD”, 2025), reclaman una clarificación adicional del perímetro de las obligaciones de diligencia y del contenido de los estándares materiales aplicables, así como la necesidad de directrices uniformes sobre responsabilidad civil para evitar divergencias interpretativas que podrían generar inseguridad jurídica y distorsiones competitivas dentro del mercado interior.

Con todo, aunque el propósito explícito de estas modificaciones es reforzar la proporcionalidad regulatoria, reducir costes de cumplimiento y preservar la competitividad de las empresas europeas, el sentido de la reforma no está exento de ambivalencias. La elevación de umbrales, la reducción del detalle informativo y el recurso a modelos voluntarios en ámbitos clave pueden traducirse, según advierten diversos sectores académicos, organizaciones ambientales y actores de la sociedad civil, en una pérdida de densidad evaluativa, una menor trazabilidad de impactos y un debilitamiento de los incentivos para integrar de forma sustantiva la sostenibilidad en la estrategia corporativa y en los sistemas de gobernanza. En este sentido, la propuesta Ómnibus I refleja una opción de política económica que prioriza la reducción de cargas y la estabilidad competitiva frente al impulso transformador que caracterizó las fases iniciales de la agenda europea de sostenibilidad, de manera que su efectividad real dependerá, en última instancia, de cómo empresas y supervisores consigan equilibrar esa simplificación normativa con la preservación de los objetivos ambientales y sociales a medio y largo plazo (tal y como han subrayado diversas valoraciones críticas del paquete, tanto institucionales como académicas).

En cuanto a Ómnibus II, COMISIÓN EUROPEA: Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2015/1017, (EU) 2021/523, (EU) 2021/695 and (EU) 2021/1153 as regards increasing the efficiency of the Union guarantee under Regulation (EU) 2021/523 and simplifying reporting requirements, COM(2025) 84 final, Bruselas, 2025; modifica —como parte del paquete Omnibus II— el marco normativo que rige el programa InvestEU y otros instrumentos relacionados con la garantía de la UE para facilitar la movilización de inversiones, simplificar requisitos de reporte y reducir cargas administrativas para implementar inversiones estratégicas.

«Aprender Derecho Mercantil de los Negocios Internacionales, y aprender a emprender en un mundo hiperglobal»

Posted on 10 diciembre, 2025 por Elena F Pérez Carrillo

Aula 4. Facultad de CC Económicas y Empresariales. Universidad de León

II SEMINARIO INTERNACIONAL PERSPECTIVAS SOBRE EL COMERCIO INTERNACIONAL ACTUAL

Edición 2025: «Aprender Derecho Mercantil de los Negocios Internacionales, y aprender a emprender en un mundo hiperglobal».

Inscripciones *(y conexión online) Sara Ranz Ortego sararanz@reicaz.com

PRESENTACIONES (viernes 12 y viernes 19. 12.2025)

Viernes 12.12.2025.- Innovación docente para el emprendimiento en Comercio Internacional.

16:00 Abordar una segunda edición del seminario internacional.- María Angustias Díaz Gómez.- Catedrática de Derecho Mercantil. Universidad de León.
16:45. Aprender, innovar y emprender en comercio internacional . Dr. mult. D. H. C. Alfonso Ortega Giménez. Universidad Miguel Hernández de Elche (UMH)
17:00 Innovación docente: Lo que queda por hacer, señoras y señores alumnos de Derecho de Los Negocios Internacionales. Elena Pérez Carrillo. Profesora Titular de Derecho Mercantil Universidad de León. Formulación de ejercicios para el público asistente.
17:30- 18:30 Trabajo en equipos. Proyectos de emprendimiento. Desde la ULE

Viernes 19.12.2025.- Negocios Internacionales Problemas jurídicos explicados a los no juristas interesados en emprender

16:00 El comercio internacional: un negocio global y regional en la práctica del aula. Prof. Elena Pérez Carrillo. Profesora de Derecho Mercantil. Universidad de León. España
16:20 Las empresas familiares ante el comercio exterior: retos y fortalezas. Dr. Elicio Díaz Gómez. Profesor de Derecho Mercantil. Universidad de León. España
16:40 Redes y colaboraciones comerciales para un comercio más justo. Dr. Javier Mateo Oyague. Catedrático de Tecnología de los Alimentos y Director del Grupo de Comercio Justo. Universidad de León. España
17:00. Abordar los aspectos jurídicos desde la técnica del comercio. Prof Sara Ranz. Profesora de Derecho de la Empresa. UNED

Conexiones: Visión internacional del aprendizaje jurídico para emprender en comercio internacional (* conexión asíncrona/ síncrona). Se subirá a Moodle sólo esta parte

18:00 Empresas peruanas, negocios internacionales con el Pacífico y la Unión Europea. – Dr. Edison Tabra Ochoa. Pontificia Universidad Católica. Perú
18: 15. Negocios internacionales desde el Atlántico Sur. Dr. Beatriz Bugallo. Universidad de la República (UDELAR) Montevideo. Uruguay
18:30. Relaciones comerciales de la Unión Europea con los países del Pacífico Sur. Don Carlos Pérez Padilla. Comisión Europea. Bruselas
18:45. Una alternativa diferente de trabajo trasfronterizo : el investigador universitario. Prof Dra Ana Castro Franco. Prof. Ayudante Doctor e Investigadora postdoctoral internacional

El II Seminario Internacional “Perspectivas sobre el Comercio Internacional Actual”, edición 2025 titulada “Aprender Derecho Mercantil de los Negocios Internacionales, y aprender a emprender en un mundo hiperglobal”, se desarrolla como actividad académica del Grupo de Innovación Docente DerMerUle de la Universidad de León, con apoyo de las Facultades de Ciencias Económicas y Empresariales y de Derecho. El proyecto promueve la reflexión colectiva sobre metodologías de enseñanza del Derecho del Comercio para alumnado no jurista con especialización en Comercio Internacional, en un marco de cooperación e intercambio académico que permite contrastar experiencias formativas y fortalecer vínculos entre universidades. Esta segunda edición aporta una visión de innovación docente orientada al espíritu emprendedor, promoviendo enfoques interdisciplinarios, prácticos y vinculados a la realidad empresarial.

Comité científico: Profesor Dr , Dr HC. Luis Velasco. Catedrático de Derecho Mercantil. Profesora Dra. María Angustias Díaz. Catedrático de Derecho Mercantil. Profesor Javier Mateo, Catedrático de Tecnología de los Alimentos. Profesor Dr. Juan Lanero. Profesor Titular de Filología Inglesa. Profesor Dr. Roberto Fernández. Profesor Titular de Derecho del Trabajo y de la Seguridad Social. Profesor Bernardo García Angulo. Profesor Asociado de Derecho Mercantil. Secretaría. Elicio Díaz Gómez. Coordinación Elena Pérez Carrillo.

Inscripciones Sara Ranz Ortego sararanz@reicaz.com

Litigios medioambientales, gestión de riesgos de inversión y responsabilidad de gestores de fondos

Posted on 10 diciembre, 2025 por Elena F Pérez Carrillo

¿El deber de vigilancia ambiental forma parte del deber general de atención, diligencia y cuidado de los gestores de fondos de pensiones?

Algunas decisiones judiciales apuntan a que en el ámbito de la gestión de activos, los gestores de fondos estarían obligados a incorporar en sus decisiones de inversión una evaluación diligente de los riesgos medioambientales relevantes —incluidos los vinculados a contaminación, pérdida de biodiversidad, deterioro de ecosistemas, estrés hídrico, transición hacia fuentes de energía renovables o impactos derivados del cambio climático—. Esta consideración no constituiría una opción estratégica, sino parte del deber profesional de identificar, medir y gestionar los riesgos que pueden afectar al valor de los activos y a los intereses de los partícipes.

En consecuencia, cuando un gestor omite —de manera injustificada— el análisis de los riesgos ambientales, o no adopta medidas razonables para integrarlos en los procesos de inversión y de gestión del riesgo, se expone a reclamaciones tanto contractuales como extracontractuales por parte de quienes se hallen afectados por las consecuencias negativas de la falta de atención negligente o, incluso, dolosa.

Dichas reclamaciones pueden basarse en la infracción de los estándares de diligencia profesional; en el incumplimiento de políticas declaradas y autoasumidas frente a los inversores; o incluso, en la generación de perjuicios derivados de decisiones de inversión que ignoraron factores medioambientales materialmente relevantes. De este modo, la perspectiva ambiental no solo condiciona la calidad técnica de la gestión, sino que delimita el ámbito de responsabilidad del gestor.

Plaza de Santo Domingo, León. R Castellanos Blanco

En Australia, el asunto McVeigh v. Retail Employees Superannuation Trust – settlement agreement (explicado aqui ) es significativo

La gestora del fondo de pensiones Retail Employees Superannuation Trust (REST), con un volumen de activos gestionados de 50.000 millones de dólares australianos, fue demandada por incumplimiento de su deber de diligencia al no incorporar consideraciones sobre cambio climático en su estrategia de inversión. El caso se resolvió en noviembre de 2020 con un acuerdo que tenía en cuenta las aspiraciones del demandante: A raíz del litigio, REST emitió un comunicado reconociendo que el cambio climático constituye un riesgo financiero material, y se comprometió a alcanzar emisiones netas cero para 2050, así como a garantizar que sus gestores de inversión “adopten medidas activas para considerar, medir y gestionar los riesgos financieros derivados del cambio climático y otros riesgos ESG relevantes”.

En el Reino Unido, el asunto McGaughey & Davies v. Universities Superannuation Scheme Limited muestra otra interesante vertiente, pese a que las aspiraciones de los demandantes no tuvieron éxito:En octubre de 2021, los beneficiarios del fondo de pensiones University Superannuation Scheme (USS) presentaron una reclamación contra los administradores de la sociedad gestora del fondo. El argumento principal fue que la decisión de éstos de continuar invirtiendo en combustibles fósiles, pese a reconocer que el cambio climático constituye un riesgo financiero sustancial para la rentabilidad, es un incumplimiento del deber fiduciario. Este caso fue desestimado por motivos procesales en mayo de 2022 y, posteriormente, en julio de 2023, el Tribunal de Apelación confirmó la desestimación total de la demanda.

En Corea del Sur, el asunto Kim Min et al. v. Kim Tae‑Hyun et al., (Seoul Central District Court, 20 de junio de 2025), treinta y cinco partícipes del National Pension Service (NPS) interpusieron una demanda contra el consejero delegado, el director y la auditora por una supuesta vulneración de sus deberes fiduciarios en la gestión del mayor fondo público surcoreano. Los demandantes sostenían que los directivos habían incumplido su deber de abordar adecuadamente los riesgos climáticos, en particular al no aplicar la política de eliminación progresiva del carbón anunciada por el propio NPS en 2021 (coal phase-out declaration). Solicitaban una indemnización de 20.500.000 KRW alegando perjuicios financieros y afectación a su salud derivada de la persistencia de inversiones en empresas altamente emisoras.

El tribunal desestimó íntegramente la demanda. Consideró que la declaración de 2021 constituía una manifestación programática sin fuerza jurídica vinculante y que ni la Carbon Neutrality Act ni la Act on the Management of Public Institutions imponían obligaciones ejecutables de retirada inmediata de inversiones en combustibles fósiles. Asimismo, afirmó que los directivos del NPS gozan de un amplio margen de discrecionalidad para gestionar el fondo conforme a los principios de estabilidad y rentabilidad establecidos en las NPS Fund Management Guidelines, de modo que la continuidad de las inversiones en KEPCO resultaba compatible con esos criterios. El tribunal concluyó también que los demandantes no habían demostrado daños financieros efectivos ni un nexo causal suficiente que permitiera vincular supuestos impactos en la salud con las decisiones de inversión del fondo.

Pese a desestimar las pretensiones, la sentencia ofrece orientaciones relevantes sobre el estatuto fiduciario del NPS en materia ESG. El tribunal reconoció que, conforme a las NPS Fund Management Guidelines y al Stewardship Code aplicable al fondo, los gestores tienen un deber institucional de promover inversiones responsables que integren factores ambientales, sociales y de buen gobierno. Además, dejó claro que, de haberse adoptado decisiones que vaciasen de contenido práctico la declaración de eliminación del carbón o que hubieran generado pérdidas previsibles contrarias a los principios de gestión prudente del fondo, podría haberse configurado un incumplimiento fiduciario susceptible de responsabilidad

Del Parque Quevedo, León. By R Castellanos Blanco

Por lo que respecta a la situación en la UE. En el marco europeo vigente, no existe un deber uniforme que imponga siempre y en cualquier circunstancia a los gestores de fondos la integración de factores medioambientales, pero tampoco puede sostenerse que dicho deber se limite exclusivamente a los fondos etiquetados como verdes o sostenibles. los fondos sostenibles están sujetos a un deber específico y reforzado de integración de factores ambientales, mientras que los fondos no sostenibles están sujetos a un deber general de integrar los riesgos medioambientales cuando tengan relevancia financiera.

En los fondos clasificados conforme al Reglamento sobre divulgación de finanzas sostenibles (SFDR), concretamente los artículos 8 y 9, sí opera un deber explícito y reforzado: los gestores deben integrar factores ambientales en la selección de inversiones, en la gestión del riesgo y en la información divulgada, asegurando la coherencia entre la estrategia del fondo, los objetivos anunciados y los compromisos ambientales asumidos. En este contexto, el incumplimiento puede generar responsabilidad por prácticas de venta inadecuadas, por greenwashing o por infracciones de las obligaciones de información.
En los fondos convencionales, no sostenibles, el panorama es distinto. Las reformas introducidas en la Directiva sobre mercados de instrumentos financieros (MiFID II), en la Directiva sobre organismos de inversión colectiva en valores mobiliarios (UCITS) y en la Directiva sobre gestores de fondos de inversión alternativos (AIFMD) han incorporado la evaluación de los riesgos de sostenibilidad como parte del deber general de gestión diligente del riesgo. Ello significa que, aunque estos fondos no estén obligados a perseguir objetivos ambientales, sus gestores sí deben considerar los riesgos medioambientales cuando sean financieramente materiales, es decir, cuando puedan afectar al valor, la liquidez, la exposición o la volatilidad de los activos en cartera. Se trata de un deber financiero, no ideológico: ignorar riesgos ambientales claramente relevantes —como la exposición a activos intensivos en carbono en pleno proceso regulatorio de transición energética— puede dar lugar a reclamaciones por infracción del deber de diligencia profesional.

Con todo, en Estados Unidos, se han producido movimientos significativos para negar la exigencia de cuidado medioambiental a los gestores.

Algunas decisiones apuntan a que éstos deben primar la rentabilidad por encima de otras consideraciones. En Wong v. New York City Employees’ Retirement System. 2024-05062, N.Y. App. Div. trabajadores de Nueva York reclamaron contra el New York City Employees’ Retirement System y otros dos fondos de pensiones, alegando que los gestores de fondos vulneraron sus deberes fiduciarios al desinvertir en activos de combustibles fósiles que resultarían más rentables (la demanda fracasó al no poder demostrar la existencia de pérdida.
En el asunto Spence v. American Airlines, Inc. (United States District Court for the Northern District of Texas, 2023), el tribunal federal declaró que American Airlines y su Employee Benefits Committee habían vulnerado el deber de lealtad impuesto por la Employee Retirement Income Security Act of 1974 (ERISA) al permitir que consideraciones corporativas vinculadas a objetivos ambientales, sociales y de gobernanza (ESG), así como los intereses ESG de su gestor externo, influyeran en la gestión de los planes de pensiones de los empleados. Sin embargo, ocho meses después de dicho pronunciamiento, el tribunal rechazó las pretensiones indemnizatorias del demandante al no haberse acreditado pérdidas económicas efectivas sufridas por los planes. Y estimó necesario imponer medidas de carácter estrictamente equitativo para garantizar el cumplimiento futuro de los estándares de ERISA. El tribunal dictó una injunction permanente que prohíbe a los demandados “permitir cualquier voto por delegación (proxy voting), propuestas de accionistas u otras actividades de stewardship en nombre del plan que estén motivadas por fines no pecuniarios, incluidos —aunque no exclusivamente— los objetivos ESG que no respondan al interés financiero exclusivo de los partícipes y beneficiarios”. Asimismo, ordenó la designación de dos miembros independientes del Employee Benefits Committee, sin vínculos con administradores, asesores o gestores de activos del plan. También impuso la obligación de emitir una certificación anual a los partícipes del plan declarando que tanto el comité como los gestores de activos “perseguirán única y exclusivamente objetivos de inversión basados en el rendimiento financiero demostrable, y no en criterios ESG, de sostenibilidad u otros factores no financieros”, y que los votos por delegación se ejercerán “solo para maximizar los rendimientos financieros a largo plazo de las inversiones, sin atender a criterios ajenos a dicho interés pecuniario”. Además, la compañía debe publicar información sobre su eventual participación en organizaciones dedicadas a objetivos relacionados con DEI, ESG o clima —como UN PRI, Net Zero Asset Managers Initiative o Ceres Investor Network— e incluir enlaces a los términos y condiciones de dichas adhesiones.

En conjunto, los litigios muestran el papel crítico de los gestores de activos en la transición energética y la divergencia creciente entre distintas jurisdicciones respecto a la consideración de riesgos climáticos y la adopción de medidas ESG en la gestión de activos y la gobernanza corporativa.

Derecho Mercantil. (DerMerUle).

Derecho Mercantil desde la Universidad de León. Recursos de apoyo docente, estudio y de investigación

Archivo del Autor: Elena F Pérez Carrillo