Acerca de Elena F Pérez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de León

“ Los investigadores, el préstamo a la gruesa ventura y el seguro de patentes” Luis Hernando de Larramendi Martínez.

Posted on 28 febrero, 2022 por Elena F Pérez Carrillo

+ Luis Hernando de Larramendi nos dejó el 11 de febrero de 2022.

Se ha ido una gran persona.

Entusiasta, cultivado, elegantísimo, muy ameno. Humanista. Su enorme corazón alentó los mejores lances. Luis impulsó, luchó, disfrutó de grandes afanes y sencillos placeres consustanciales a su forma tan especial de ser y a su modo de entender la existencia, de transmitir vida.

La pasión por su familia. El legado de su padre, refundador de Mapfre. El amor y admiración por su compañera y esposa. El orgullo por sus hijos. La ternura con sus nietos. La lealtad con los amigos. La ética en los negocios y en la economía. La Iglesia más reconciliadora. El tradicionalismo más fraternal. El cine. Las motos. El arte. La poesía. El gozo intenso, íntimo y alegre de una buena comida con los cercanos. El deleite por los recovecos de la historia, especialmente de la española.

No caiga en el olvido la pasión de Luis Hernando de Larramendi por la innovación, la investigación, la educación, la excelencia. Fue imprescindible para su defensa sin ambages de la necesaria vinculación entre Propiedad Industrial y Seguros. Sólo él podía redactar una presentación tan bella en su prólogo “ Los investigadores, el préstamo a la gruesa ventura y el seguro de patentes” Madrid, mayo 2013 al estudio que concluíamos en aquellas fechas (Viabilidad de un seguro de patentes en España/Viability of Patent insurance in Spain), cuidadosamente editado en la prestigiosa colección de Cuadernos de la Fundación Mapfre

Conocedor de los avatares que acompaña a la investigación en España, dedicó buena parte de sus mejores años a propulsar medios idóneos para aminorar los riesgos, incrementar las ventajas, fomentar la inversión en investigación y desarrollo. Sirva algún extracto de su texto, como recordatorio y homenaje a un auténtico renacentista de nuestros días.

“El investigador de la era que nos ha tocado vivir, especialmente el universitario, tiene muchos riesgos. Unos inherentes a la propia actividad investigadora, y otros relativos a la puesta en el mercado del resultado de su investigación”…..

“Con el seguro, que aquí no sería marítimo, sino de patentes, se permitiría al investigador surcar los mares de la comercialización, y enfrentarse a los obstáculos, a las tormentas, las potencias enemigas y los corsarios, que aquí serían los Patent Trolls…

Luis Hernando de Larramendi MartÍnez estuvo vinculado al Grupo Mapfre durante casi 40 años. Era miembro del Consejo de Administración de la aseguradora, vicepresidente segundo, vocal de su Comisión Delegada, así como miembro de su Comité de nombramientos y retribuciones. También, abogado especializado en Propiedad Industrial (Elzaburu). Patrono de diversas fundaciones orientadas a la investigación, al desarrollo ético y la cultura, como la Fundación Mapfre (patrono desde 2005, vicepresidente segundo desde 2015, y vocal del comité de dirección), la Fundación Ignacio Larramendi, Acción Social Empresarial, entre otras.

Quienes tuvimos la suerte de compartir proyectos, trabajo, reflexiones y también algún asueto contigo, te recordaremos siempre. Sobre todo, no olvidaremos lo mucho que nos enseñaste. Allá donde estés, disfruta de la eternidad. Descansa en Paz, Luis

Propuestas de reformas en Solvencia II- (2).- Resolución y rescate de entidades aseguradoras y reaseguradoras

Posted on 14 enero, 2022 por Elena F Pérez Carrillo

Sigue de esta entrada anterior

Beiramar

Como veíamos, la Comisión Europea ha propuesto recientemente reformas en la Directiva Solvencia II (Directiva 2009/138/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) .

Las reformas se materializan principalmente, en una Propuesta de Directiva sobre la proporcionalidad, la calidad de la supervisión, la transparencia, garantías a largo plazo, instrumentos macro prudenciales, riesgos de sostenibilidad, y supervisión de grupos y trasfronteriza. (COM (2021) 581 final) (22.09.2021), presentado recientemente aquí. Y, en otra Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco para la recuperación y la resolución de las empresas de seguros o reaseguros, y por la que se modifican las Directivas 2002/47/CE, 2004/25/CE, 2009/138/CE y (UE) 2017/1132 y los Reglamentos (UE) n.º 1094/2010 y (UE) n.º 648/2012 Este texto, ahora objeto de atención se inspira, con las adaptaciones necesarias, en recientes trabajos nacionales e internacionales sobre resolución y rescate, dentro de los que destacan estos:

Antecedentes

El Reglamento (UE) 2021/23 del Parlamento Europeo y del Consejo de 16 de diciembre de 2020 sobre un marco para el rescate y la resolución de entidades de contrapartida central y por el que se modifican los Reglamentos (UE) n.º 1095/2010, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 806/2014 y (UE) 2015/2365 y las Directivas 2002/47/CE, 2004/25/CE, 2007/36/CE, 2014/59/UE y (UE) 2017/1132 ; y
El Reglamento (UE) 2021/23 del Parlamento Europeo y del Consejo de 16 de diciembre de 2020 sobre un marco para el rescate y la resolución de Bancos.
También, en buena medida, el Informe EIOPA-BoS/17-148 de 5.07.2017 ; y el informe EIOPA de 2020, EIOPA-BoS-20/749 de 17 de diciembre
Por otra parte, estas propuestas tienen apoyo en determinados trabajos internacionales como los del Financial Stability Board que en octubre de 2014 elaboró su documento “Cuestiones Clave (KA)” sobre regímenes de resolución eficaces para el sector de los seguros y que estaba dirigido a cualquier aseguradora que pudiera resultar ser sistémicamente significativa o incluso crítica en caso de insolvencia. También, el FSB publicó orientaciones complementarias sobre estrategias y planes de resolución eficaces en junio de 2016 y una Metodología de Evaluación de KA de agosto de 2020. En paralelo, la Asociación Internacional de Supervisores de Seguros (IAIS) adoptó en noviembre de 2019 un conjunto de Principios Básicos de Seguros para todas las empresas de seguros y reaseguros, así como un Marco Común para los Grupos de Seguros Internacionalmente Activos (IAIG) que detalla las normas para la planificación de la recuperación preventiva.
Y, no deja de ser relevante, como antecedente de esta reforma, que algunos Estados miembros como Países Bajos, Francia o Rumanía cuentan ya con marcos específicos. Inspiran esta parte de la reforma y en un futuro podrán mantenerse vigentes en tanto que respeten los márgenes de armonización de la Propuesta.

Fundamento del establecimiento de un régimen de rescate e insolvencia en entidades del sector asegurador

Barbanzóns

Si bien en los procedimientos de insolvencia normales, el objetivo principal es maximizar el valor de los activos de la empresa en interés de los acreedores, en el sector de la prestación de servicios de seguros y reaseguros, las dificultades de estas entidades se transmiten inmediatamente a los asegurados en el sentido de que necesitan mantener su protección aseguradora, o bien si a la luz de la insolvencia deviene imposible, encontrar alternativas al seguro contratado a un coste razonable, lo que supone una dificultad especial en el caso de los seguros de vida. Además, los procesos de insolvencias se propongan en el tiempo con lo que pueden transcurrir muchos años antes de que el proceso de insolvencia concluya. En ese periodo se genera incertidumbre, sobre todo en lo que respecta a los cobros de indemnizaciones.

Por otra parte, en el contexto de los grupos transfronterizos, las consecuencias se multiplican y amplían surtiendo efectos en distintas jurisdicciones.

Y, en el caso de crisis de una entidad de reaseguro, la insolvencia fácilmente conlleva consecuencias sistémicas.

Con esta reforma, el legislador europeo atiende a la necesidad de mantener los servicios críticos dentro del sector asegurador, incluso en situaciones cercanas a la insolvencia. Es decir, mantener las funciones críticas de los seguros para los asegurados y garantizar una transferencia fluida de sus carteras de seguros, logrando al mismo tiempo resultados similares a los de los procedimientos de insolvencia normales en cuanto a la asignación de pérdidas a accionistas y acreedores.

El nuevo marco se basará en la prevención y la preparación. Las aseguradoras y reaseguradoras sometidas al ámbito de Solvencia II/R deberán elaborar planes de recuperación preventivos para fomentar su preparación. Y tendrán que facilitar la adopción de medidas correctivas rápidas cuando se enfrenten a escenarios de estrés. Esta obligación se exigirá conforme a criterios de proporcionalidad.

Las autoridades de resolución deben elaborar planes de resolución sobre cómo hacer frente a cualquier forma de dificultad financiera que supere los recursos existentes de la aseguradora o reaseguradora. Si las autoridades de resolución identifican obstáculos a la resolución durante el proceso de planificación y preparación, pueden exigir que se adopte una decisión sobre la situación financiera de la aseguradora. Y pueden exigir a la entidad en crisis que adopte las medidas adecuadas para simplificar su estructura a fin de garantizar que pueda resolverse sin suponer un coste de rescate público.

Por otra parte, las autoridades supervisoras estarán facultadas para intervenir en una fase temprana para hacer frente al deterioro de la situación financiera al incumplimiento de los requisitos normativos exigidos a las aseguradoras y evitar la escalada. También se dotan a las autoridades nacionales de otros instrumentos de resolución.

Se pretende minimizar el impacto de la insolvencia sobre la economía y el sistema financiero, así como lograr la continuidad de la protección de los seguros para los titulares de las pólizas, los beneficiarios y los perjudicados. Por ello se facilitará la trasferencia de actividades y carteras viables de la entidad de seguros cuando sea posible

En lo relativo a los grupos transfronterizos, dado que algunos grupos de seguros tienen una actividad transfronteriza y, en algunos casos, incluso mundial, la propuesta promueve una coordinación adecuada de las medidas de resolución en un contexto transfronterizo para proteger a los asegurados, a la economía real y a la estabilidad financiera. Y establece una serie de principios. Por un lado, deberán respetarse los nuevos requisitos de confidencialidad. Por otro, los órganos de resolución se establecerán bajo la dirección única de una autoridad de resolución del grupo, con la participación de EIOPA. Esta Autoridad europea facilitará la cooperación de las autoridades, contribuirá a la coherencia y mediará si es necesario.

Ártabra

Los principales instrumentos de resolución contemplados son:

1.- Reducción de valor o conversión de instrumentos de capital (como acciones), instrumentos de deuda (como obligaciones) y otros instrumentos de capital para hacer frente a las deudas y pasivos admisibles. Así, los accionistas y los acreedores generales asumirán las pérdidas en primer lugar y se facilitará el ejercicio de otras actividades de resolución, como una liquidación previa a la insolvencia, ventas (por ejemplo de partes de la actividad de la entidad en crisis), préstamos u otros compromisos temporales (puente) , disgregación de activos y pasivos con posibles ventas de parte del negocio a efectos de capitalizar la actividad que permanezca en la entidad o en el grupo. O incluso con trasferencia de una parte de la actividad de la entidad en crisis a un organismo público en modo coordinado con la puesta en marcha de instrumentos de resolución, entre otros.

2.- Se retirará la autorización a las aseguradoras en crisis para concluir nuevos contratos de seguro (o reaseguro), limitando su actividad a la cartera existente.

3.- En caso de resolución, ésta se somete a control estricto y a la demostración de que se realiza en interés público. La propuesta de Directiva incorpora salvaguardias adecuadas para proteger los intereses de las partes interesadas afectadas, en especial atendiendo a que los acreedores no queden en peor situación de lo que harían en una insolvencia común.

Propuestas de reformas en Solvencia II- (1)

Posted on 10 enero, 2022 por Elena F Pérez Carrillo

La Comisión Europea ha propuesto recientemente reformas en la Directiva Solvencia II (Directiva 2009/138/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) .

A propósito de Solvencia II

Llamamos Solvencia II a un amplio paquete normativo en el que destaca la Directiva 2009/138/CE, y un conjunto de Actos delegados que se basan en ella y que se agrupan en el Reglamento Delegado (UE) 2015/35. Ambos se acompañan de Regulatory technical standards y de Implementing technical standards, y Guidelines de la Autoridad Europea de Seguros y Fondos de Pensiones Ocupacionales (EIOPA) . Estas últimas incorporan la obligación de los supervisores nacionales de cumplirlas o bien de explicar porque difieren de ellas. También forman parte de este conjunto, en un sentido amplio, normas soft que contribuyen a una aplicación coherente en la UE de Solvencia II. La Directiva 2009/138/CE fue objeto de una primera modificación antes de entrar en vigor con la Directiva 2014/51/CE (que incorporó el ajuste por volatilidad y el ajuste por casamiento). Y de sucesivas modificaciones que también se han reflejado en los actos delegados, comenzando por el Reglamento Delegado (UE) 2016/467. En junio de 2019 se produjo una reforma muy importante sobre el cálculo del capital de solvencia obligatorio (SCR) .

El primer pilar de Solvencia II establece y desarrolla las exigencias de capital conforme al nivel real de riesgo asumido por cada entidad. Se diferencia el MCR (minimum capital requirement) por debajo del cual la entidad debe adoptar medidas especiales para garantizar la solvencia. Y el SCR (solvency capital requirement) que sería un nivel de recursos óptimo y refleja el nivel de capital que permite a una entidad absorber pérdidas significativas e imprevistas. Por ello, debería ser calculado teniendo en cuenta el nivel de exposición a riesgos derivados de cada entidad, en función de sus actividades y operaciones. más estrictos en materia de capital que se aplicarán gradualmente hasta 2032, que afectan a algunas aseguradoras y re aseguradoras . El segundo pilar de Solvencia II es el del control interno, o gestión interna de riesgos por parte de las entidades aseguradoras y reaseguradoras que deben contar con sistemas al efecto de este control interno, periódico, y apoyarse en evaluaciones independientes. El tercer pilar de desarrollo de Solvencia II es el de la transparencia, información, y disciplina de mercado, responsabilidad frente al supervisor.

Parador de San Marcos. León.

Reformas propuestas a finales de 2021

Las reformas se materializan principalmente, en una Propuesta de Directiva sobre la proporcionalidad, la calidad de la supervisión, la transparencia, garantías a largo plazo, instrumentos macroprudenciales, riesgos de sostenibilidad, y supervisión de grupos y trasfronteriza. (COM(2021) 581 final) (22.09.2021). Este documento se presenta como una actualización general de la Directiva 2009/138/CE para adaptarla a la experiencia de los primeros años de aplicación, y para orientar el sector a su contribución efectiva a la recuperación de Europa post COVID-19, a la realización de la Unión de Mercados de Capitales y al Acuerdo Verde Europeo.

Además, forma parte de la reforma una Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco para la recuperación y la resolución de las empresas de seguros o reaseguros, y por la que se modifican las Directivas 2002/47/CE, 2004/25/CE, 2009/138/CE y (UE) 2017/1132 y los Reglamentos (UE) n.º 1094/2010 y (UE) n.º 648/2012 COM(2021) 582 final Este texto (objeto de otra entradilla) se inspira, con las adaptaciones necesarias en recientes nacionales y trabajos internacionales sobre resolución y rescate, a los que aludiremos

Queda fuera de la reforma, al menos por el momento, el establecimiento de mecanismos o sistemas de garantía (SGS) comunes para la UE en materia de insolvencia de aseguradoras.

Valderueda. León

Aspectos a destacar y objetivos de Solvencia II/R:

Requisitos de capital. La Comisión Europea mantiene, en esta reforma, el objetivo de evitar el deterioro de la posición de solvencia de las aseguradoras a nivel de la UE. No incorpora un endurecimiento general de los requisitos de capital por considerar que la situación es bastante sólida del sector de los seguros en Europa. Sin embargo, si establece algunos requisitos

Proporcionalidad en la exigencia de requisitos de capital. . Solvencia II es un conjunto de normas que prevé su aplicación proporcionada a las (re)aseguradoras más pequeñas . Sin embargo, el principio de proporcionalidad que ya está vigente no ha producido el resultado deseado, por lo que se justifican, en esta propuesta de reforma, normas más concretas para dotarle de más eficacia.

Márgenes de riesgo. La propuesta de la Comisión modifica el marco para que las fluctuaciones del mercado a corto plazo, la volatilidad, no afecten excesivamente a la posición de solvencia de las aseguradoras a corto plazo. También se revisarán los actos Delegados relacionados con Solvencia II para reducir el impacto en el balance de las aseguradoras de las turbulencias del mercado a corto plazo.

Aumentar la presencia del sector asegurador en la inversión. La industria aseguradora gestiona billones de activos y representa un pilar importante de la industria financiera europea. Además, sus pasivos se materializan a largo plazo como lo que las entidades aseguradoras y reaseguradoras podrían proporcionar financiación de capital a largo plazo a las empresas. Con todo, en los últimos 20 años han desinvertido en acciones a largo plazo. Por ello, la reforma se orienta a incentivar la presencia de este sector en la inversión en capital productivo en la UE. Así, dentro de las anunciadas modificaciones del Acto Delegado de Solvencia II, se revisarán los criterios de elegibilidad de las clases de activos de renta variable a largo plazo en los que se permite la inversión. Con ello las aseguradoras se beneficiarán de un tratamiento preferente del capital cuando inviertan en instrumentos de capital a largo plazo. Además, las reformas modificaran el calculo del capital exigido a las aseguradoras en el sentido de que la carga de capital se modulará en función de la evolución de los mercados bursátiles lo que supone un incentivo y facilita la inversión.

Incorporación del sector asegurador a la economía verde. Esta reforma reforzará la gestión de los riesgos climáticos por parte de las aseguradoras y reaseguradoras en el sentido de introducir una exigencia de análisis de escenarios de cambio climático a largo plazo en sus operaciones. La Autoridad Europea de Seguros y Fondos de Pensiones (EIOPA) llevará a cabo pruebas de resistencia climática centralizadas en el sector de los (re)seguros y la Comisión pondrá en marcha un Diálogo sobre la Resiliencia Climática y explorará formas de mejorar la recopilación de datos sobre pérdidas aseguradas. En esta línea, la reforma establece los dos mandatos para la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA)

revisar las nuevas pruebas sobre las inversiones perjudiciales para el medio ambiente o la sociedad con vistas a posibles cambios en la fórmula estándar de Solvencia II y elaborar un informe a más tardar en 2023;
revisar periódicamente los datos sobre las tendencias de la frecuencia y la gravedad de las catástrofes naturales y la exposición de las aseguradoras y reaseguradoras de la UE a dichas catástrofes con vistas a posibles cambios en los módulos de riesgo de catástrofe de la fórmula estándar de Solvencia II.
Catedral. León

Grupos. Solvencia II se ocupó de los grupos de aseguradoras, para superar la situación anterior en que la supervisión se realizaba prácticamente por entidades individuales. Ahora se pretende mejorar las disposiciones relativas a grupos.

En cuanto al rescate e insolvencia de entidades aseguradoras y reaseguradoras, continuaremos en otra entrada

Relaciones comerciales internacionales en el marco del comercio justo

Posted on 13 diciembre, 2021 por Elena F Pérez Carrillo

Dentro de la serie de actividades «Tomando Tierra, en el Comercio Justo» tendrá lugar el 17 de diciembre de 2021 una acción del Grupo de trabajo de la Universidad de León por el Comercio Justo, y del Grupo de Innovación Docente DerMerUle

Se trata de una actividad obligatoria y sobre la que se planteará un ejercicio evaluable en la asignatura Derecho de los Negocios Internacionales del Grado en Comercio Internacional.

TITULO: RELACIONES COMERCIALES INTERNACIONALES EN EL MARCO DEL COMERCIO JUSTO

Se celebrará el 17.12.2021 (de las 16:00 a las 18:00) en el aula 3 de la Facultad de CC Económicas de la Universidad de León.

INTERVIENEN:

Javier Mateo Oyagüe, Profesor de la Universidad de León. Grupo de Trabajo por el Comercio Justo de la Universidad de León
Javier Maillo Martín, Área de Acción Social, Cooperación y Comunicación de la Cooperativa IDEAS (Cooperativa de Comercio Justo en España). Técnico de Educación para el Desarrollo y Cooperación Internacional.
Mónica González. Grupo Comercio Justo. Ciudad de León
María Angustias Díaz Gómez, Catedrática de Derecho Mercantil de la Universidad de León
Elicio Díaz Gómez, Profesor de Derecho Mercantil de la Universidad de León
Elena Pérez Carrillo, Profesora de la Universidad de León. Coordinadora del Grupo de Innovación Docente DerMerUle

Participarán además otros miembros del GID DerMerUle y del Grupo de Trabajo por el Comercio Justo de la Universidad de León. Se trata de una sesión orientada a alumnos del Grado de Derecho de los Negocios Internacionales (especialmente Derecho de los Negocios internacionales), e y , si el aforo lo permite, admite a otros interesados que acudan al aula. En esta actividad se pone en valor el Comercio Justo, en sus distintos marcos de desarrollo operativo, y se abordan cuestiones como la vinculación con productores, contratos, centros de distribución, marcaje de calidad, entre otros que constituyen el núcleo de las operaciones comerciales internacionales. Aquí, desde la perspectiva, objetivos, metodologías y mecánica del Comercio Justo. Pueden solicitar más información en eperc@unileon.es

Recordamos que la Universidad de León forma parte del Grupo de Universidades por el Comercio Justo, contexto en el que realiza tareas de sensibilización y también práctica la sostenibilidad en sus propias mesas de contratación de la propia Institución, y es un agente activo en este tipo de comercio

Nuevos acuerdos internacionales en materia de sostenibilidad

Posted on 10 diciembre, 2021 por Elena F Pérez Carrillo

Fuera del marco del Pacto Climático de Glasgow, EE.UU., la UE y otros países pusieron en marcha el Compromiso Mundial sobre el Metano, comprometiéndose a reducir en un 30% las emisiones de metano para 2030 (desde los niveles de 2020). Más de 100 países han firmado ya el compromiso, cuyo objetivo es limitar este gas de efecto invernadero especialmente potente. Algunos de los principales emisores de metano del mundo (como China, Rusia y Australia) no se comprometieron con el compromiso, lo que puede limitar su influencia en las emisiones de metano a corto plazo.
190 países se comprometieron a abandonar la generación de electricidad a partir del carbón mediante la firma de la Declaración de Transición Mundial del Carbón a la Energía Limpia el 4 de noviembre de 2021. La declaración exige a los firmantes,
- aumentar rápidamente la generación de energía limpia y las medidas de eficiencia energética,
- dejar de conceder permisos y proporcionar apoyo a nuevos proyectos de generación de energía con carbón sin purificar
- aumentar las tecnologías y las estrategias para lograr una transición que abandone la generación de energía con carbón sin purificar en la década de 2030 (o tan pronto como sea posible después) para las principales economías, y en la década de 2040 (o tan pronto como sea posible después) a nivel mundial.

Contribuciones nacionales (NDCs) de cara a Egipto 2022

Tras la firma del Pacto Climático de Glasgow, se animó a las partes a presentar contribuciones a nivel nacional lo antes posible antes de la COP27 (que tendrá lugar en Egipto en noviembre de 2022). Las NDCs describen los esfuerzos de para reducir las emisiones nacionales y adaptarse a los impactos del cambio climático. El plazo de actualización de las NDC es más corto que el previsto en el Acuerdo de París, que contemplaba una NDC nueva/actualizada cada cinco años.

Consejo de Normas Internacionales de Sostenibilidad IFRS-ISSB y otros marcos de reporting Por su parte, la Fundación de las Normas Internacionales de Información Financiera (NIIF) puso en marcha el Consejo de Normas Internacionales de Sostenibilidad (ISSB). El ISSB tiene la intención de emitir normas de información ambiental, social y de gobierno (ESG) reconocidas a nivel mundial para las sociedades en 2022, lo que ayudará a la fragmentación actual de un mercado que está viendo aumentar rápidamente la demanda. Ver también:

«Pacto Climático de Glasgow» y más allá.

Posted on 1 diciembre, 2021 por Elena F Pérez Carrillo

26ª Conferencia anual (COP) de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (CMNUCC)

Entre el 31 de octubre y el 12 de noviembre de 2021, Glasgow acogió la 26ª Conferencia anual de las Partes (COP26) de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (CMNUCC). Además estuvieron presentes variadas ONG y países ajenos al marco formal de la ONU Los debates de esta Conferencia culminaron con la firma del «Pacto Climático de Glasgow», un conjunto de declaraciones, compromisos y decisiones de los países que son parte de la CMNUCC y del Acuerdo de París de 2015 sobre el cambio climático.

Riotinto

En el marco del Pacto Climático de Glasgow, los países acordaron centrarse en el objetivo de limitar el calentamiento global a «muy por debajo de 2°C» (aminoración en relación con el nivel de 2010) reconociendo que para alcanzarlo se requiere una reducción rápida, profunda y sostenida de las emisiones globales, incluida la reducción de las de CO2 en un 45% para 2030 . A pesar de que el Reino Unido declaró antes de la COP26 que quería «mantener vivo el objetivo de 1,5°C», la referencia a » se mantuvo en la versión final del Pacto Climático de Glasgow, en un ejemplo del compromiso necesario para lograr un consenso entre todas las partes.

Eliminación progresiva del carbón En el documento final se pide a los países que «aceleren los esfuerzos para reducir progresivamente la energía de carbón no purificada (refiriéndose a la energía de carbón que funciona sin tecnología de captura y almacenamiento de carbono). El Pacto Climático de Glasgow es la primera decisión de la COP que menciona específicamente un combustible fósil por su nombre.

Daños. Red de Santiago. Un conjunto de países en desarrollo, que ya han empezado a sufrir los impactos negativos del cambio climático, anunciaron que van a iniciar un «diálogo» en relación con la financiación de la Red de Santiago creada bajo los auspicios de NU en la COP 2019 para abordar los daños causados por el cambio climático. La Red de Santiago contribuirá a proporcionar «apoyo técnico» para afrontar las consecuencias del cambio climático pero, por el momento no se acordó un fondo independiente para compensar a los países en desarrollo afectados por los efectos del cambio climático.

Preparando Navidad

Financiación de la transición. En la Conferencia de Glasgow señaló que los países desarrollados habían incumplido su objetivo, fijado para 2020, de aportar 100.000 millones de dólares al año en financiación climática para ayudar a los países en desarrollo. Se volvió a asumir ese compromiso para los próximos cinco años. También se pidió a los países desarrollados que «al menos dupliquen» su apoyo a las acciones de adaptación al cambio climático para 2025 en relación con los niveles de 2019.

Artículo 6 del Acuerdo de Paris. La COP26 permitió llegar a un acuerdo sobre las reglas de los mercados internacionales de carbono en virtud del artículo 6 del Acuerdo de París. Los aspectos clave de este artículo y el acuerdo correspondiente son:

La confirmación de que es necesario realizar los ajustes correspondientes en las contribuciones nacionales determinadas de los países cuando las Reducciones de Emisiones emitidas en virtud del artículo 6.4 del Acuerdo de París (A6.4ER) se venden a otro país. Esta norma evita la doble contabilización de las reducciones de las emisiones de gases de efecto invernadero.
Las Reducciones Certificadas de Emisiones emitidas en 2013-2020 por el Mecanismo de Desarrollo Limpio del Protocolo de Kioto pueden utilizarse para cumplir las primeras Contribuciones Nacionales (NDC) de cada país.
La cuota de ingresos para las transacciones de A6.4ER se ha fijado en un 5%
El 2% de todos los A6.4ER emitidos se retirarán automáticamente para crear reducciones netas de las emisiones de gases de efecto invernadero

El TGUE sanciona el abuso de posición dominante de Google en el mercado de buscadores

Posted on 11 noviembre, 2021 por Elena F Pérez Carrillo

Sentencia del Tribunal General de la UE T-612/2017, El 10.11.2021, el TGUE confirma la sanción impuesta a Google por la Comisión Europea en el asunto de infracción del art 102 TFUE (abuso de posición dominante) en relación con sus servicios de comparación de compras

Resumen

Los motores de búsqueda general, como el de Google Search, son infraestructuras cuya razón de ser y principal interés radica en su capacidad para identificar resultados de fuentes externas (de terceros) y para mostrarlas. En este asunto dirimido por el Tribunal General de la UE (TGUE), se debate (y confirma una sanción previa) sobre el comportamiento del motor de Google en relación con el servicio de comparación de compras. La posición de dominio del gigante tecnológico no constituye , por si misma, un supuesto sancionable. Pero, el abuso de tal posición si lo es, conforme al Derecho de la UE.

Antecedentes

Perbes-

Google puso en marcha un servicio de comparación de compras en 2002, en un tiempo en el que también lo ofrecieron otros motores de búsqueda como Alta Vista, Yahoo, AskJeeves o America On Line (AOL) ya que hasta ese momento, los procesos utilizados por los motores de búsqueda no devolvían necesariamente los resultados más relevantes, cuando se les interrogaba específicamente por compras o por noticias. De este modo, Google comenzó a ofrecer resultados de comparación de compras, primero en Estados Unidos y dos años más tarde fue introduciendo el servicio, progresivamente, en varios países europeos.

Los resultados que obtenía el motor de google a tales efectos no procedían de la aplicación de sus algoritmos ordinarios de búsqueda general a la información presentada en los sitios web – que se extrae en primer lugar mediante un proceso conocido como «crawling» por el que Google explora el contenido de la web con el fin de indexarlo, luego se selecciona para añadirlo al «índice web» de Google y, por último, se clasifica por relevancia para mostrarlo en respuesta a la consulta usuario de Internet-. Aquí, lo que mostraba la pantalla era el resultado de la aplicación de algoritmos específicos a la información contenida en una base de datos alimentada por los propios vendedores, denominada «índice de productos». Estos resultados se ofrecían primero a través de una página de búsqueda especializada, llamada Froogle, que estaba separada de la página de búsqueda general del motor de búsqueda, y luego, a partir de 2003 en Estados Unidos y de 2005 en algunos países de Europa, también estaban disponibles en la página de búsqueda general del motor de búsqueda. En este último caso, los resultados de los productos se agrupaban en las páginas de resultados generales en lo que se denominaba Product OneBox por debajo o en paralelo a los anuncios que aparecían en la parte superior o en el lateral de la página y por encima de los resultados de la búsqueda general.
Si los internautas utilizaban la página de búsqueda general para introducir su consulta en relación con un producto, las respuestas devueltas por el motor de búsqueda incluían tanto las de la búsqueda especializada como las de la búsqueda general. Cuando los internautas hacían clic en el enlace del resultado de una Product OneBox, eran conducidos directamente a la página correspondiente del sitio web del vendedor que ofrecía el producto buscado, donde podían comprarlo. Además, un enlace especial en el Product OneBox dirigía a los usuarios a una página de resultados de Froogle con una selección más amplia de resultados de productos especializados. Sin embargo, Google explica que los resultados de Froogle nunca aparecieron en los resultados de la búsqueda general, mientras que los resultados de otros motores de búsqueda especializados en la comparación de compras sí lo hicieron.
A partir de 2007, cambió la forma en que desarrollaba los resultados de los productos, abandonó el nombre de Froogle en favor de Product Search para sus páginas de búsqueda y de resultados especializados en la comparación de compras. En cuanto a los resultados de productos mostrados desde la página de búsqueda general en las páginas de resultados generales, Google enriqueció el contenido de la Product OneBox añadiendo imágenes. También diversificó los posibles resultados de la acción de hacer clic en un enlace de resultado mostrado: dependiendo de las circunstancias, los internautas eran llevados, como ya ocurría antes, directamente a la página correspondiente del sitio web del vendedor del producto buscado, donde se podía comprar el producto, o eran dirigidos a la página de resultados especializada de Búsqueda de Productos para ver más ofertas del mismo producto. Con el tiempo, el Product Onebox pasó a llamarse Product Universal en diferentes países y su presentación se hizo más atractivo

Costa galega no outono

Tras las investigaciones realizadas y mediante decisión de 27 de junio de 2017, la Comisión Europea declaró que Google había abusado de su posición dominante en el mercado de los servicios de búsqueda general en línea, en 13 países del Espacio Económico Europeo. Concretamente, la conducta infractora consistía en haber favorecido a su propio servicio de comparación de productos, posicionándolo delante de sus competidores. En efecto, la Comisión Europea constató que los resultados de las búsquedas de productos realizadas
a través del motor de búsqueda de Google se posicionaban y mostraban de forma más llamativa cuando procedían del propio servicio de comparación de compras de Google que cuando procedían de servicios de comparación de compras de la competencia. Además, estos últimos aparecían en una presentación más simple (mostrados en forma de enlaces azules), eran desechados por los algoritmos, o situados en peores puestos con mayor probabilidad que los resultados de Google. En consecuencia, la Comisión impuso a Google una sanción pecuniaria de 2.424.495.000 euros, de los cuales 523.518.000 euros se imponían solidariamente con Alphabet, su sociedad matriz

Google y Alphabet interpusieron un recurso contra la Decisión de la Comisión, ante el Tribunal General Tribunal General de la Unión Europea. Y, éste órgano jurisdiccional, mediante sentencia de 10.11.2021, desestimó el recurso.

El caso ante el Tribunal General de la UE

Por una parte, el Tribunal General considera que Google violó el Derecho de la Libre Competencia al favorecer su propio servicio de comparación de compras en sus páginas de resultados generales, mediante una representación mas atractiva y completa; y mediante un posicionamiento más favorable, al tiempo que, a través de los algoritmos de clasificación utilizados se relegan los resultados de los servicios de comparación. En su conclusión, el TGUE tiene en cuenta una serie de circunstancias concurrentes en el asunto , comenzando por la importancia del tráfico que genera el motor de búsqueda de Google para los los servicios de comparación de compras; continuando por el comportamiento de los usuarios de estos motores, que suelen concentrarse en los primeros resultados; y además la gran proporción de tráfico efectivamente desviado en un servicio de búsqueda que no puede ser reemplazado fácilmente. Estos hechos y circunstancias, y no la mera posición de dominio que , como es sabido, no basta para fundamentar una decisión de infracción de competencia, son los que subyacen en la sanción conformada por le TGUE.

El TGUE señala que las características de la página de resultados de comparación coinciden con las de un servicio esencial, desde la perspectiva de la competencia, en la medida en que actualmente no existe un sustituto que permita intercambiarla de forma económicamente viable. En cuanto al comportamiento infractor de la operadora se debe, en esencia, al trato discriminatorio que confiere con sus servicios. Así, aunque los resultados de los servicios de comparación de compras competidores fueran más relevantes, no recibían el mismo trato de posicionamiento ni de visualización que los resultados del servicio de compras comparativas de Google. E, incluso aunque Google permitió, a partir de cierto momento, a los servicios de comparación de compras de la competencia mejorar la calidad de la de sus resultados apareciendo en sus «cajas», esta mejora se realizó a cambio de una remuneración es decir, a cambio de un cambio de modelo de negocio de los competidores, que dejaban de ser competidores directos de Google para convertirse en sus clientes.

Catedral de León by M.A. Díaz

También recuerda el TGUE que existe un existe abuso de posición dominante cuando la empresa dominante, mediante el recurso a métodos diferentes de los que rigen la competencia normal, obstaculiza el mantenimiento del grado de competencia en el mercado o el crecimiento de dicha competencia, o simplemente mediante comportamientos susceptibles de restringir la competencia. Y, concretamente en este asunto, los efectos reales de la conducta en cuestión sobre el tráfico de los servicios de comparación de compras
de las páginas de resultados generales de Google, la Comisión disponía de una base suficiente para averiguar que ese tráfico representaba una parte importante de su tráfico total y no podía ser efectivamente sustituida por otras fuentes de tráfico, como la publicidad (AdWords) o las aplicaciones móviles, de modo que el resultado potencial era la desaparición de los servicios de comparación de precios, limitando además la innovación y las opciones para los consumidores, rasgos que en conjunto son característicos de los efectos de las infracciones de derecho de la competencia.

Criterios para la determinación del carácter auxiliar de ciertas operaciones con derivados realizadas por grupos de empresas

Posted on 3 noviembre, 2021 por Elena F Pérez Carrillo

La Directiva relativa a los mercados de instrumentos financieros (Directiva 2014/65/UE, MiFID II) excluye de su ámbito de aplicación determinadas entidades. Entre ellas, a las que negocian por cuenta propia con derivados sobre materias primas o con derechos de emisión o derivados de derechos de emisión, o que prestan a clientes servicios de inversión en tales instrumentos, siempre que se trate de una actividad auxiliar con respecto a su actividad principal, considerada a nivel de grupo, y siempre que la actividad principal no sea la prestación de servicios de inversión en el sentido de la MiFID II o la realización de actividades bancarias según la Directiva 2013/36/UE. En bastantes casos por tanto, la determinación como auxiliar debe realizarse conforme a parámetro de medición de las actividades de todo un grupo.

En este contexto, el artículo 2, apartado 4, de la MiFID II facultó a la Comisión para adoptar normas técnicas de regulación (NTR/RST) en las que se especificasen los criterios para determinar cuándo debe considerarse que una actividad es auxiliar de la actividad principal de un grupo. Y en consecuencia, fue publicado el al Reglamento Delegado 2017/592 de la Comisión (NTR/RST 20). Mediante Directiva (UE) 2021/338 del Parlamento Europeo y del Consejo de 16 de febrero de 2021 por la que se modifican la Directiva 2014/65/UE en lo relativo a los requisitos de información, la gobernanza de productos y la limitación de posiciones, y las Directivas 2013/36/UE y (UE) 2019/878 en lo relativo a su aplicación a las empresas de servicios de inversión con el fin de contribuir a la recuperación de la crisis de la COVID-19 se revisó la exención aplicable a las actividades auxiliares y se facultó a la Comisión para adoptar un nuevo reglamento delegado que sustituyera al mencionado Reglamento Delegado 2017/592 de la Comisión (NTR 20).

El Reglamento Delegado (UE) 2021/1833 de la Comisión, de 14 de julio de 2021, por el que se completa la Directiva 2014/65/UE del Parlamento Europeo y del Consejo (MIFID II)mantiene la idea, coherente con el marco MIFID II, de que la evaluación debe realizarse a nivel de grupo. Los cambios principales identificados son la supresión de la prueba del volumen global del mercado contenida en el artículo 2 del Reglamento Delegado 2017/592 y la introducción de una nueva prueba consistente en un umbral de minimis. No se altera la metodología de cálculo establecida en lo que respecta a la prueba de negociación y la prueba del capital empleado, tal como se describe en el Reglamento Delegado 2017/592 excepto en lo relativo, para estas dos pruebas, al umbral correspondiente.

El Reglamento Delegado (UE) 2021/1833 fue elaborado bajo la dirección de la Dirección General de Estabilidad Financiera, Servicios Financieros y Unión de los Mercados de Capitales, de la Comisión Europea, y entra en vigor a los veinte días de su publicación, derogando al Reglamento Delegado 2017/592

El punto de partida de esta norma es que, a los efectos de MIFID II, la evaluación de si las personas y entidades negocian por cuenta propia de servicios de inversión o realizan una actividad auxiliar de su actividad principal, debe realizarse a nivel de grupo, entendido como la entidad matriz y todas sus filiales, tanto las situadas en la UE como en terceros países, independientemente de que el grupo tenga su sede dentro o fuera de la Unión.

La evaluación que sustenta dicha distinción se basa en tres pruebas alternativas denominadas «pruebas de actividad auxiliar», que deben realizarse sobre la actividad de negociación del grupo y sirven para determinar si cada una de las persona jurídicas del mismo negocian por cuenta propia prestando servicios de inversión en la UE sobre : 1) derivados sobre materias primas, 2) derechos de emisión o 3) derivados de derechos de emisión, dentro de la actividad principal del grupo, de tal modo que o bien dichas actividades no puedan considerarse auxiliares a nivel de grupo obligando a las entidades que las realizan a obtener una autorización como empresa de servicios de inversión. O si, en cambio, si la actividad de negociación analizada de esa entidad debe calificarse de auxiliar conforme a las pruebas que presenta este Reglamento Delegado, en cuyo caso no sería necesaria la mencionada autorización.

Lar 3 posibles pruebas, alternativas toman en consideración las diferentes realidades económicas subyacentes de los distintos grupos, por lo que la Comisión Europea las considera igualmente aptas, alternativas e independientes para determinar si la actividad de negociación es auxiliar de la actividad principal de un grupo específico.

PRUEBA DE MINIMIS.– Con arreglo a la primera de las pruebas alternativas, la actividad será auxiliar de la actividad principal si su exposición nocional neta pendiente en derivados sobre materias primas o derechos de emisión o sus derivados con liquidación en efectivo negociados en la UE, excluidos los negociados en un centro de negociación, es inferior a un umbral anual de 3.000 millones €.

PRUEBA DE NEGOCIACIÓN. Conforme a esta alternativa, el volumen de la actividad de negociación de una persona jurídica se compara con la actividad global de negociación del grupo en la UE. Para determinar el volumen de la actividad de negociación de la persona jurídica debe deducirse del volumen global de su actividad de negociación la suma del volumen de las operaciones realizadas a efectos de la gestión intragrupo de la liquidez o de riesgos, la reducción susceptible de medición objetiva de los riesgos vinculados directamente a la actividad comercial o de financiación de la tesorería o el cumplimiento de obligaciones de aportación de liquidez en un centro de negociación («operaciones privilegiadas»). Se deducen de la actividad de negociación los contratos en los que esa entidad del grupo que sea parte en ellos esté autorizada de conformidad con la Directiva 2014/65/UE (MIFID II) o conforme a la Directiva 2013/36/UE, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión. La actividad global de negociación del grupo en la UE comprende las operaciones privilegiadas y los contratos en los que la persona del grupo que sea parte en ellos esté autorizada de conformidad con una u otra directivas.

PRUEBA DE CAPITAL. La tercera prueba alternativa se centra en el capital empleado en la actividad analizada. Con ella se intenta tener en cuenta la realidad económica, especialmente en grupos heterogéneos como los grupos que realizan inversiones de capital significativas por ejemplo en infraestructuras e instalaciones de producción y transporte, así como otras inversiones de difícil cobertura en los mercados financieros.

Estas pruebas sirven para determinar el volumen de las actividades con derivados sobre materias primas, derechos de emisión y sus derivados en la Unión que las entidades pueden llevar a cabo sin autorización, en el seno de un mismo grupo, debido al carácter auxiliar de esas actividades en relación con la actividad principal del grupo. Y debe tenerse en cuenta que a fin de evaluar el volumen de las actividades genuinamente auxiliares llevadas a cabo por los miembros del grupo ( que están no autorizados expresamente en el sistema MIFID II) procede calcular el volumen de las actividades auxiliares del grupo utilizando criterios que excluyan , conforme a las pruebas alternativas, la actividad realizada por los miembros del grupo que estén autorizados. El cálculo de las pruebas alternativas sigue basándose en un período de tres años establecido en el Reglamento Delegado 2017/592, periodo especialmente necesario en el caso de los grupos no financieros que habitualmente no disponen de conjuntos completos y representativos de datos anuales sobre su actividad principal y actividades auxiliares. Las pruebas permiten a las entidades evaluar si rebasan los umbrales anualmente calculando, sobre datos de una media simple de tres años. Ello, sin perjuicio del derecho de la autoridad competente a solicitar en cualquier momento a cada entidad que notifique en qué se ha basado para determinar que su actividad es auxiliar de su actividad principal. Para hacer frente a la inseguridad jurídica que se les plantearía a los grupos no financieros que no disponen de un conjunto completo y representativo de datos sobre su actividad principal y sus actividades auxiliares, se prevé también el mantenimiento del período de cálculo de tres años

Tomando tierra en el estudio e investigación en tiempos de Covid- De León al Pacífico Sur

Posted on 27 octubre, 2021 por Elena F Pérez Carrillo

TOMANDO TIERRA en **“Estudio e investigación en el extranjero en tiempos de COVID. Experiencias entre LEÓN y el PACÍFICO SUR”// S*tudying and researching abroad in times of covid-19: experiences between León (España) and the South Pacific***

En el marco de la serie de actividades «Tomando Tierra» del GID DerMerUle intervendrá la Profesora SUNITA BOIS SINGH de la Universidad del Pacífico Sur y Queensland Australia en el Seminario del Grupo de Innovación Docente DerMerUle.– Área de Derecho Mercantil, Viernes 29.10.2021, 11:30- 13:00h y posterior presentación a estudiantes en el marco de la asignatura INTERNATIONAL BUSINESS LAW. ( actividad abierta a interesados que acudan al aula indicada). octubre 2021_ CARTEL Seminario Internacional Sunita Bois 2021 Seminario y DNNII

Una presentación, para abrir boca: SUNITA BOIS SINGH

DerMerUle, Tomando Tierra, GID 2020-2025

El Delegado de Protección y de Datos y el Responsable de Seguridad de la información ¿figuras compatibles?

Posted on 11 octubre, 2021 por Elena F Pérez Carrillo

El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD

El Delegado de Protección de Datos es una figura, ya corporativa (aunque cabe su externalización) a la que corresponden funciones fundamentales de información, asesoramiento y supervisión de las políticas, estrategias y actividades relativas a la protección de datos en las organizaciones.

Sus funciones están especificadas en el artículo 39 del Reglamento Europeo de Protección de datos ( RGPD) y en los arts 34 y siguientes de la Ley Orgánica 3/2018 (LOPDGDD). Y, con más detalle en España en el documento de Directrices para los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.

El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo tendrá atribuidas:

- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Cooperar con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Además debe ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35, RGPD. Y, conforme al apartado 4 del artículo 36 de la LOPDGDD, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento

En concordancia con el RGPD, en España el artículo 36 de la LOPDGDD, especifica que este DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

Debe subrayarse que el DPD está obligado a mantener el secreto, la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Y, desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, el artículo 37 de la LOPDGDD establece la función del DPD en relación con las reclamaciones presentadas por afectados. En efecto, recuérdese que en el ámbito de la protección de datos, el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación directamente ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.

La amplitud de funciones que abarcan todo lo relativo a la política de datos, su diseño, puesta en práctica y consecuencias se acompaña de la prohibición por parte del RGPD de que se le impongan sanciones derivads del desempeño de tales funciones como DPD. Y, debe tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta , igualmente prohibidas, y que pueden consistir desde en no tenerle en cuenta a efectos de promoción profesional, denegarle prestaciones que otros empleados sí reciben, etc. No sólo están prohibidas las sanciones pues la simple amenaza de penalizar al DPD por motivos relacionados con el desarrollo de sus actividades está prohibida. Únicamente podrá ser sancionado e incluso destituido legítimamente por motivos distintos del desempeño de tales funciones.

El lugar del DPD dentro de la entidad responsable de datos.

Tal y como establece el artículo 38 del RGPD, el desempeño por parte del DPD de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el por encargado del tratamiento, quienes deberán de facilitarle los recursos necesarios para el desempeño de dichas funciones, incluyendo el acceso a los datos personales y a las operaciones de tratamiento; y para mantener sus conocimientos especializados. En especial vamos a detenernos en algunas cuestiones que, quizás no han sido objeto de suficiente atención:

Por una parte, que conforme al RGPD, la alta dirección deberá prestar apoyo activo a la labor del DPD; garantizar que el DPD cuenta con tiempo suficiente para cumplir sus funciones, así como con medios para mantenerse formado; y que se debe facilitar la puesta a disposición del DPD de apoyo desde los departamentos corporativos que gestionen recursos financieros, infraestructura, recursos y personal.
Por otra parte, en que desde la entidad debe hacerse saber a la plantilla, por medio de los canales oficiales de comunicación interna, la designación y funciones del DPD.
Además, que el DPD cuenta con un auténtico derecho, o incluso deber de formación continua.
También, que en función del tamaño y de la estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un equipo organizado bajo la responsabilidad de un contacto principal designado para el cliente, el responsable de datos o entidad a la que sirve el DPD.

El DPD en relación con las decisiones corporativas

Es destacable que el Delegado de Protección de Datos, o su equipo, deben ser partícipes, desde el principio y desde el diseño de los mecanismos y sistemas de datos del responsable, de todas las cuestiones relativas a la protección de datos. También en relación con las evaluaciones de impacto de la política de datos de la entidad responsable, el RGPD menciona que éste tendrá que recabar el asesoramiento del Delegado de Protección de Datos al redactar sus memorias de evaluación. Y que, el DPD actuará como interlocutor dentro de la empresa en todo lo relativo a la tutela de datos y que por ello deberá formar parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización. Por ello, tanto el responsable como el encargado del tratamiento, debe garantizar que el DPD participa, de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.

En muchas organizaciones ocurrirá que buena parte de las actividades y decisiones corporativas tendrán impacto directo o indirecto en la política de datos, por ello, tal y como indica el GT29, Grupo de Trabajo compuesto por expertos independientes del Supervisor Europeo de Datos, la organización deberá garantizar que:

- Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
- Esté presente cuando se adoptan decisiones con implicaciones para la protección de datos, habiendo previamente recibido toda la información pertinente con el fin de que pueda prestar un asesoramiento adecuado.
- La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el mencionado Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
- Se consulte al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

En todo caso, el hecho de que el DPD pueda formar parte de la entidad (y no ser externalizado si así se decide en el seno de la entidad responsable de datos) no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y, en este sentido, el apartado 3º del artículo 38, ;RGPD deja claro que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. En todo caso, el DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones como tal Delegado. Y, ha de desempeñar sus funciones de manera independiente y con autonomía. No se le puede instruir sobre como abordar un asunto. Tampoco se podrá influir para que mantenga una u otra postura respecto a la normativa de protección de datos y su aplicación. Esta autonomía del DPD afecta exclusivamente al ámbito de sus propias funciones como DPD que son descritas en el artículo 39 del RGPD.

¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?

En principio parece que si, que el DPP puede desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses (GT29) .

Debe aclararse, de modo previo, que no existe una figura general de RS . Si existe, sin embargo en el marco del Esquema Nacional de seguridad (ENS), una figura obligatoria en ciertas entidades, y cuya determinación puede tener un papel orientativo en otras. En este sentido, remitimos a lo analizado sobre esta figura de RS del ENS, en la entrada titulada Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración. Y también con la Guía o Código de gestión de información personal ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection

En relación con la independencia. El artículo 38.3 RGPD determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones para poderlas desarrollar con independencia. En cuanto al RS, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza del mismo grado de independencia protegida. Esta circunstancia casa bien con sus respectivas funciones:

En relación con las funciones de cooperación y asesoría al responsable. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

- Más en particular, y en el plano de los conflictos de intereses el GT29 o Grupo de Trabajo sobre Protección de Datos del Artículo 29 del RGPD, en sus concluiones adoptadas el 5 de abril de 2017 señala para el DPD: 3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”

En relación con la seguridad de la información y el análisis de riesgos. El RS debe velar por garantizar la seguridad de la información de la organización en su conjunto incluyendo las . El DPD se centra en el análisis de riesgos sobre los derechos y libertades de las personas, el RS realiza análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.

En cuanto a su posición jerárquica en el seno de una misma entidad. El DPD supervisa la labor que realiza el RS en sus tres vertientes: información, servicio y seguridad, funciones que veíamos en relación al ENS

Ponferrada. Castillo de templarios

Conclusión y recomendación:

Únicamente, y seguramente sólo en teoría, cabría la posibilidad de centralizar ambas figuras en una sola persona si se separan claramente las funciones que desempeña y se evitan conflictos de intereses. Precisamente es en el ámbito de los conflictos donde resulta difícil lograr la independencia que se exige al DPD. En términos prácticos la coincidencia de ambas figuras y funciones en una misma persona ni es fácil ni es recomendable.

Cuestión distinta es, en particular para las grandes organizaciones, la propuesta que desarrollamos en otro lugar para la creación de una red corporativa de seguridad que integre y sirva de cauce de comunicación entre ambos, con las debidas cautelas en términos de funciones y conflictos de intereses.

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Posted on 20 septiembre, 2021 por Elena F Pérez Carrillo

La gestión de la seguridad cibernética se percibe, cada vez más, como parte integrante de las medidas de buen gobierno exigidas a las empresas.

Venimos dando cuenta en este Blog, y en algunos otros foros, de la creciente relevancia de los riesgos cibernéticos en el diseño, valoración y en su caso, sanciones (ver esta entrada), en materia de gobierno corporativo. Los asuntos que aquí se presentan brevemente son objeto de atención en modo más amplio en el contexto del Congreso Latinoamericano INTELIGENCIA ARTIFICIAL Y ECONOMÍA DIGITAL: desafíos jurídicos y económicos (13 al 15 octubre 2021) y en una publicación ya en imprenta de la que se dará cuenta.

Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad

Regulación prevista

Conforme a la Agenda Regulatoria de primavera de 2021 de la SEC, el Supervisor de Valores de EEUU está en vías de formular nuevas reglas que afectarán de lleno a las obligaciones de gobierno corporativo de las empresas y en concreto, a la divulgación de riesgos de seguridad cibernética. Se prevé que las mencionadas propuestas vean formalmente la luz en octubre de 2021. Estos trabajos toman base en las Orientaciones sobre Ciberseguridad de la SEC (febrero 2018) en las que ya se vinculaba el cumplimiento de distintas obligaciones de transparencia sobre riesgos de ciberseguridad con el buen gobierno. Incluso antes, en 2011 la División de Finanzas Corporativas de la SEC había publicado una Guía preliminarsobre estas cuestiones.

La Agenda ReEgFlez mencionada, ya apunta a octubre de 2021 como la fecha límite para la emisión de una propuesta. (Vea esta publicación de PubCo de 14.06.2021). En el actual entorno en el que se conoce la abundancia y dureza de ataques cibernéticos y la posibilidad de infección por ransomware, es más que posible que la SEC pueda proponer enmiendas a sus Rules de transparencia para mejorar las divulgaciones de los emisores con respecto a la gobernanza del riesgo de ciberseguridad.

Sanabria

Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética

Con anterioridad, la Guía de la SEC de 2018 sobre divulgación de seguridad cibernética abordó las obligaciones de divulgación al amparo del ordenamiento vigente, que incluía procedimientos, políticas y estrategias para el control de la seguridad, entendida en un sentido amplio, prohibiciones de aprovechar información privilegiada, o de difundir datos selectivamente, entre otros.

La Guía mencionada señala que los incidentes de ciberseguridad pueden ser el resultado de eventos no intencionales, pero también de ataques deliberados, y que pueden ser realizados por personas con información privilegiada, o por terceros.
Con respecto a las políticas, controles y procedimientos de ciberseguridad, la SEC alentó en 2018 a las empresas a adoptar y evaluar periódicamente el cumplimiento de políticas y procedimientos integrales relacionados con la ciberseguridad, en particular con los controles y procedimientos de divulgación. Además, instaba a las empresas a evaluar si sus controles y procedimientos de divulgación eran suficientemente precisos y adecuados como para localizar información sobre los riesgos e incidentes de ciberseguridad, y también para difundir el conocimiento de esos riesgos entre la alta jerarquía corporativa para permitir que la alta dirección adopte decisiones.
- Conforme a la Guía mencionada (de 2018), los controles y procedimientos corporativos deben permitir a las empresas identificar los riesgos e incidentes de ciberseguridad, evaluar y analizar su impacto en el negocio de una empresa, evaluar la importancia asociada con dichos riesgos e incidentes, proporcionar comunicaciones abiertas entre expertos técnicos y asesores de divulgación. Deben ser adecuadas para realizar divulgaciones oportunas sobre dichos riesgos e incidentes.
- Los controles también deben permitir que la información se comunique al personal correspondiente, para facilitar el cumplimiento de las políticas de uso de información privilegiada.
Por otro lado, y ya de lleno en consideraciones propias del Gobierno Corporativo clásico (y de las obligaciones de transparencia relacionadas), dado que las notificaciones que los principales ejecutivos, el CEO y el CFO están obligados a emitir en sus informes periódicos al supervisor abordan la efectividad de los controles corporativos, la SEC adelantaba en su Guía de 2018 que estas certificaciones deberían tener en cuenta la idoneidad de los controles y procedimientos para identificar los riesgos e incidentes de ciberseguridad.
Con respecto a la divulgación, la Guía de 2018 ya señalaba que incluso en ausencia de exigencias de divulgación especificadas normativamente en relación con los riesgos e incidentes de ciberseguridad:
- - La obligación de divulgar tales riesgos se entendería implícita -dependiendo de las circunstancias particulares de cada entidad- en el conjunto de obligaciones de transparencia (declaraciones ante la SEC, informes periódicos, informes anuales, etc.).
  - Conforme a la Regla 10b-5 (y disposiciones similares) las entidades sometidas a la supervisión de la SEC están obligadas a valorar si sus divulgaciones proporcionan todos los hechos materiales, y en ese sentido, incluir en ellas las cuestiones relativas a ciberseguridad que deban considerarse «materiales» para evitar que el conjunto de la declaración resulte engañosa. En ese sentido, el Supervisor estadounidense alentó a las empresas a utilizar el Formulario 8-K para informar al supervisor y al mercado también sobre los costos y otras consecuencias de los incidentes materiales de ciberseguridad.

- - - En relación con esta Guía y con los futuros desarrollo que se produzcan en torno a la obligación de comunicar riesgos e incidentes cibernéticos, debemos llamar la atención sobre la dificultad de determinar si la divulgación sobre los riesgos e incidentes de ciberseguridad es necesaria. En este sentido, el Supervisor de mercados estadounidense recordaba que las empresas generalmente sopesan, entre otras cosas, la materialidad potencial de cualquier riesgo identificado. Pues bien, en el caso de incidentes cibernético, la valoración de si resultan «materiales» debe realizarse a la luz de la importancia de la información comprometida, propiamente dicha, y también del impacto (actual o probable) del incidente sobre las operaciones de la empresa. Y, este ejercicio, que se realiza ya en otros ámbitos que son susceptibles de generar riesgos y que ya son objeto de comunicación al Supervisor, ha de contemplarse también en el ámbito de los riesgos cibernéticos.
      - La SEC señaló que el caso Basic v. Levinson, en el que se articuló la teoría jurisprudencial de «fraude al mercado» y que sirve de pauta sobre la probabilidad de que se deriven daños relevantes, sigue siendo una parte relevante del análisis. Debe recordarse que en esta importante sentencia federal se revisaron los estándares de materiality, tomando en cuenta otra decisión previa (especialmente la de TSC Industries, Inc. v. Northway, Inc., que señala que en relación con la transparencia exigida a las empresas supervisadas «un hecho es material si existe una probabilidad sustancial de que un accionista «razonable» lo consideraría importante a la hora de decidir su voto» , pauta que se viene utilizando como referencia para el cumplimiento y la supervisión de las obligaciones de transparencia derivadas del artículo § 10(b) de la Securities Exchange Act y la Rule 10b-5 de la SEC.
        
        La SEC también advirtió que la importancia relativa de los riesgos o incidentes de seguridad cibernética depende de su naturaleza, alcance y magnitud potencial, particularmente en lo que respecta a cualquier información comprometida para la actividad de la entidad o para sus operaciones. En ese sentido, la SEC subrayó que la información comprometida «podría incluir información de identificación personal, secretos comerciales u otra información comercial confidencial, cuya materialidad puede depender de la naturaleza del negocio, así como del alcance de la información comprometida». Y, que la materialidad “también depende del rango de daño o daños que los incidentes sean susceptibles de causar», y que abarcan desde daños reputacionales, daños financieros, hasta otros derivados de las relaciones con los clientes y proveedores y con el incremento en la posibilidad de litigios, investigaciones o de que la empresa vaya a quedar sometida a investigaciones (o sanciones) por parte de las autoridades.

Como ya es conocido en otros ámbitos, la SEC advirtió a las empresas que «eviten la divulgación genérica» (ahora relacionada con la ciberseguridad) y les instó a que proporcionen información específica que sea útil para los inversores.

Aunque se espera que las empresas «revelen los riesgos e incidentes de ciberseguridad que son importantes para los inversores, incluidas las consecuencias financieras, legales o de reputación concomitantes», la SEC dejó en claro que no se espera que proporcionen detalles o información técnica específica sobre posibles vulnerabilidades del sistema que puedan comprometer la seguridad del emisor.

Para obtener más información sobre la guía de la SEC, consulten esta publicación de PubCo (18 febrero 2018) y esta alerta de Cooley .

Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos

A fines de 2018, según lo informado el 13.11.2018 por el WSJ , el entonces Chief accountant de la Securities and Exchange Commission’s Corporation Finance Division, , Kyle Moffatt, en su intervención en la importantísima conferencia sectorial, FEI, «Current Financial Reporting Issues Conference», instó a las empresas a alinear sus prácticas de divulgación con la guía de divulgación de ciberseguridad de la SEC, citando en particular la necesidad de abordar un debate de calado sobre riesgos de supervisión, el papel de la junta, los controles y los procedimientos internos de divulgación de datos e informaciones y las políticas de uso de información privilegiada en el contexto de la ciberseguridad. Además, advirtió que “la clave más importante es asegurarse de que existan procedimientos para asegurarse de que la información se brinde a todos los niveles de la gestión empresarial, para que todos estén al tanto de lo que sucedió y para que los problemas se pueden abordar. ‘”(Consulte esta publicación de PubCo de 14 noviembre 2014).

Estas declaraciones son, no sólo sintomáticas, sino que reflejan en buena medida la posición del sector.

Gobierno corporativo y ciberseguridad. Sanciones de la SEC por faltas de gestión y de transparencia de riesgos de ciberseguridad en EEUU

Posted on 15 septiembre, 2021 por Elena F Pérez Carrillo

La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.

En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.

A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en First American Financial Corporation, que se salda con una sanción de $487,616:

El 15 de junio de 2021, la SEC anunciaba una sanción de $487,616 contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
- Como antecedentes de hecho, el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
  - En el curso de sus investigaciones, la SEC averiguó que el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
    - Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
    - Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
    - Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
      - En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
      - Por otra parte, un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
      - También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.

La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.

Palencia. San Antonio

Con anterioridad, en el año 2018 Yahoo!., Inc. fue sancionada en otro expediente de la SEC que le obligó a satisfacer $ 35 millones. La SEC resolvió que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.

En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
Fundamentando su resolución sancionadora, la SEC consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia, valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
La Resolución de la SEC en este caso estableció que «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención…
Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada durante dos años) sobre los inversores. Más sobre este asunto aquí

Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.

Más sobre estas cuestiones:

Nota de prensa de SEC 2021-169
Nota de prensa de SEC 2011-86
Comentario, Lederer aqui
Más general (prensa) la ciberseguridad como riesgo de empresa

Derecho Mercantil. (DerMerUle).

Derecho Mercantil desde la Universidad de León. Recursos de apoyo docente, estudio y de investigación

Archivo del Autor: Elena F Pérez Carrillo

Acerca de Elena F Pérez Carrillo

“ Los investigadores, el préstamo a la gruesa ventura y el seguro de patentes” Luis Hernando de Larramendi Martínez.

+ Luis Hernando de Larramendi nos dejó el 11 de febrero de 2022.

Propuestas de reformas en Solvencia II- (2).- Resolución y rescate de entidades aseguradoras y reaseguradoras

Propuestas de reformas en Solvencia II- (1)

Relaciones comerciales internacionales en el marco del comercio justo

Dentro de la serie de actividades «Tomando Tierra, en el Comercio Justo» tendrá lugar el 17 de diciembre de 2021 una acción del Grupo de trabajo de la Universidad de León por el Comercio Justo, y del Grupo de Innovación Docente DerMerUle

TITULO: RELACIONES COMERCIALES INTERNACIONALES EN EL MARCO DEL COMERCIO JUSTO

Nuevos acuerdos internacionales en materia de sostenibilidad

Contribuciones nacionales (NDCs) de cara a Egipto 2022

El TGUE sanciona el abuso de posición dominante de Google en el mercado de buscadores

Sentencia del Tribunal General de la UE T-612/2017, El 10.11.2021, el TGUE confirma la sanción impuesta a Google por la Comisión Europea en el asunto de infracción del art 102 TFUE (abuso de posición dominante) en relación con sus servicios de comparación de compras

Criterios para la determinación del carácter auxiliar de ciertas operaciones con derivados realizadas por grupos de empresas

Tomando tierra en el estudio e investigación en tiempos de Covid- De León al Pacífico Sur

TOMANDO TIERRA en **“Estudio e investigación en el extranjero en tiempos de COVID. Experiencias entre LEÓN y el PACÍFICO SUR”// S*tudying and researching abroad in times of covid-19: experiences between León (España) and the South Pacific***

El Delegado de Protección y de Datos y el Responsable de Seguridad de la información ¿figuras compatibles?

El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD

¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?

Conclusión y recomendación:

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

La gestión de la seguridad cibernética se percibe, cada vez más, como parte integrante de las medidas de buen gobierno exigidas a las empresas.

Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad

Regulación prevista

Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética

Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos

Gobierno corporativo y ciberseguridad. Sanciones de la SEC por faltas de gestión y de transparencia de riesgos de ciberseguridad en EEUU

Acerca de Elena F Pérez Carrillo

+ Luis Hernando de Larramendi nos dejó el 11 de febrero de 2022.

Dentro de la serie de actividades «Tomando Tierra, en el Comercio Justo» tendrá lugar el 17 de diciembre de 2021 una acción del Grupo de trabajo de la Universidad de León por el Comercio Justo, y del Grupo de Innovación Docente DerMerUle

TITULO: RELACIONES COMERCIALES INTERNACIONALES EN EL MARCO DEL COMERCIO JUSTO

Contribuciones nacionales (NDCs) de cara a Egipto 2022

26ª Conferencia anual (COP) de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (CMNUCC)

Sentencia del Tribunal General de la UE T-612/2017, El 10.11.2021, el TGUE confirma la sanción impuesta a Google por la Comisión Europea en el asunto de infracción del art 102 TFUE (abuso de posición dominante) en relación con sus servicios de comparación de compras

TOMANDO TIERRA en “Estudio e investigación en el extranjero en tiempos de COVID. Experiencias entre LEÓN y el PACÍFICO SUR”// Studying and researching abroad in times of covid-19: experiences between León (España) and the South Pacific

El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD

¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?

Conclusión y recomendación:

La gestión de la seguridad cibernética se percibe, cada vez más, como parte integrante de las medidas de buen gobierno exigidas a las empresas.

Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad

Regulación prevista

Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética

Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos

TOMANDO TIERRA en **“Estudio e investigación en el extranjero en tiempos de COVID. Experiencias entre LEÓN y el PACÍFICO SUR”// S*tudying and researching abroad in times of covid-19: experiences between León (España) and the South Pacific***