Acerca de Elena F Pérez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de León

Sanción de 225 M€ a WhatsApp por violación del Reglamento General de Protección de Datos. Irlanda /UE/SEPD

La Comisión de Protección de Datos de Irlanda (Ireland’s Data Protection Commission) (IDPC) impuso recientemente una sanción de 225 millones de euros a WhatsApp Ireland Ltd (“WhatsApp”)  por  falta de transparencia en  sus prácticas de tratamiento de datos de usuarios, que no cumplirían las exigencias de los artículos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).

 

Las investigaciones iniciales

Lariño

El IDPC había iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, así cómo una solicitud de asistencia mutua de la Autoridad Federal de Protección de Datos de Alemania (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) a efectos  del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abrió «a iniciativa propia» por parte del IDPC. La investigación del supervisor irlandés se centró en averiguar si WhatsApp había cumplido con sus obligaciones de transparencia conforme al RGPD,  particularmente en lo que respecta al  tratamiento de datos personales de los usuarios de la aplicación de mensajería (e incluso de titulares no usuarios ya que WhatsApp permite cargar números de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recuérdese que Facebook adquirió WhatsApp en 2014). Como  consecuencia de esta investigación del IDPC, este organismo hizo público un borrador de decisión sancionadora que notificó a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el artículo del 60RGPD.

En su propuesta de sanción, el IDPC había identificado infracciones de los artículos 12-14 del RGPD por parte  WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les había proporcionado información suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consideró que WhatsApp no había identificado con suficiente detalle la base jurídica para cada actividad de tratamiento, como lo requiere el Artículo 13 (1) (c) del RGPD. Y,  con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el Artículo 13 (1) (f) del RGPD. En este último aspecto, según la propuesta de resolución sancionadora WhatsApp debería haber identificado con concreción si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos, y  determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el artículo 13 (1) (f) del RGPD: WhatsApp debería haber identificado si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos y no limitarse a una afirmación vaga.

Previamente a la notificación a otras CSAs, en diciembre de 2020, el IDPC había propuesto una multa de (30-50 millones €). Pero, fue objetada por ocho de las CSAs que recibieron la notificación, el asunto alcanzó al Supervisor Europeo de Protección de Datos, y la sanción finalmente impuesta  por el IDPC es de 225 millones €.

La intervención del Supervisor Europeo de Protección de Datos (SEPD)

Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisión de la IDPC fue revisado por otras autoridades de supervisión relevantes, conforme al mecanismo de cooperación y coherencia del Capítulo VII del RGPD. Y , las objeciones formuladas  se remitieron al  Supervisor Europeo de Protección de Datos («SEPD»), de acuerdo con el procedimiento de resolución de disputas establecido en el artículo 65 (1) (a) del RGPD. Este último organismo ha adoptado una posición más estricta que el IDPC

El SEPD se opuso a la propuesta del IDPC. Frente a la opinión inicial de éste, que consideraba que WhatsApp había cumplido el ordenamiento sobre tratamiento de datos ( Artículo 13 (1) (d) del RGPD), el SEPD recordó, por el contrario, que el operador de mensajería instantánea debería haber identificado el interés específico para cada actividad de tratamiento relevante, para así garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD también señaló que el efecto acumulativo de los incumplimientos por parte de WhatsApp tenía como consecuencia la violación del principio de transparencia contemplado en el Artículo 5 (1) (a) del RGPD, debido «a la “gravedad , la reiteración y el impacto de las infracciones». Y, en virtud de ello consideró que se había producido un incumplimiento adicional a lo establecido por la IDPC.

Por otra parte y con respecto a la cuantía de la multa inicialmente propuesta por la IDPC, la SEPD determinó que debería haberse tenido en cuenta  la facturación consolidada de Facebook Inc., matriz de WhatsApp. Además, si bien el IDPC había propuesto un compromiso único y conjunto a Facebook y WhatsApp en su proyecto de decisión, el SEPD recordó que según la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracción (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es éste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD también consideró que el volumen de negocios consolidado era relevante para el cálculo de la multa en sí, no solo para garantizar que la multa no excediera los límites establecidos en el artículo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean  efectivas, proporcionadas y tengan efecto disuasorio.

Además, el SEPD aclaró que cuando se hayan cometido múltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el cálculo de la multa correspondiente a los efectos del artículo 83, apartado 3, del RGPD. Con el límite de que la sanción total no debe exceder la cantidad especificada para la infracción más grave.

Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del período de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el  RGPD. WhatsApp también debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la información requerida en virtud de los artículos 13 y 14 del RGPD, incluso para aclarar cómo estos pueden  presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.

La Decisión vinculante del SEPD y la Resolución sancionadora del IDPC

El 28 de julio de 2021, el SEPD adoptó una Decisión vinculante que fue notificada al IDPC. La Decisión del SEPD contenía instrucciones exigiendo al IDPC que procediese a una nueva valoración y que incrementase la sanción. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones € .

Junto con la sanción, el supervisor irlandés ha advertido a WhattsApp sobre la importancia de  reformar sus mecanismos de tratamiento de texto.

Aunque en su resolución, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD, WhatsApp ha manifestado su intención de recurrir judicialmente

OCDE. Informe sobre Inteligencia Artificial y Machine Learning

Lariño

Lariño

La OCDE aborda en este informe los fenómenos de Machine Learning – ML-, Big Data o Inteligencia Artificial -IA-,  con sus aplicaciones en el ámbito financiero.

El entorno tecnológico digitalizado se une, principalmente en los planos de la captación y análisis de información y de la adopción automatizada o semi automatizada de decisiones de ejecución, para poner en marcha prácticas que en muchos casos ya eran conocidas, pero cuyas consecuencias se intensifican.

Así, por ejemplo el spoofing , práctica ilícita de manipulación del mercado que consiste en hacer ofertas de compra o de venta de valores o materias primas con la intención de cancelar las ofertas antes de la ejecución de la operación ya era posible antes del comercio algorítmico, pero alcanzó mayor notoriedad con el HST (High Speed Trading).  O, con las técnicas de IA y de ML que se aplican en la gestión de activos y en la actividad de compra en los mercados, o para casar activos con órdenes, o para identificar señales y relaciones subyacentes en los grandes datos: No dejan de reproducir operaciones que ya eran conocidas antes, pero que ahora se realizan a velocidad muy superior y con retroalimentación automatizada que permite extraer conclusiones más precisas y en tiempos muy inferiores sin intervención humana. En conjunto este Informe ofrece perspectivas muy útiles sobre las tecnologías digitalizadas en todo el sistema financiero y en el de valores y mercados.

Pólizas D&O y defensa de los administradores frente a demandas interpuestas por el administrador concursal. La problemática «cobertura de entidad» a la luz de un reciente asunto en el Massachusetts Bankruptcy Court

Una reciente decisión judicial en materia concursal en EEUU aborda la problemática del acceso de los administradores sociales a la indemnización del seguro D&O para hacer frente a su defensa en un litigio de responsabilidad civil interpuesto contra ellos por un administrador concursal.

En el asunto  re National Fish & Seafood, Inc., No. 19-11824, 2021 (Bankr. D. Mass. 26 de febrero de 2021), el Tribunal Concursal Federal de los Estados Unidos para el Distrito de Massachusetts (Massachusetts Bankruptcy Court) ) abordó la impugnación por parte del administrador concursal a los intentos de los directores y altos ejecutivos de acceder a la indemnización de la póliza D&O. En esta decisión se autorizó que los asegurados percibiesen la indemnización del seguro para su defensa en el litigio de responsabilidad interpuesto por el administrador concursal. La lectura conjunta de esta resolución, junto con otros comentarios sobre estas pólizas que se referencian en este post, permite identificar la complejidad añadida  que supone el aseguramiento conjunto de los administradores y de la sociedad administrada y tomadora en una misma póliza D&O. 

By M.A. Díaz

Planteamiento

En mayo de 2019, National Fish and Seafood, Inc. («Deudor») solicitó concurso (procedimiento del llamado «Capítulo 7») dando lugar al nombramiento de una administrador concursal «el administrador». En abril de 2020, éste presentó una demanda de Responsabilidad Civil (RC)  contra tres de los antiguos consejeros y ejecutivos del Deudor, alegando que incumplieron sus deberes fiduciarios al autorizar una serie de transacciones en virtud de las cuales se pagaron 31 millones de dólares en activos del Deudor. A principios de 2021, los consejeros solicitaron una exención de la prohibición de la Sección 362 del Título 11 del Código Concursal de los Estados Unidos, para permitirles recibir la indemnización de seguro D&O para hacer frente por adelantado a los costes de defensa de la Póliza D&O que el Deudor había contratado y en los que tales consejeros y ejecutivos eran asegurados. El administrador concursal se opuso a esa petición.

Los consejeros y ejecutivos solicitaban a la aseguradora el adelanto de sus gastos de defensa en el Litigio RC, al amparo de la cobertura A, cuyo contenido se explica más abajo en esta entradilla. La aseguradora aceptó en principio cubrir los gastos de defensa, pero  exigía para ello que se dictase una orden en el proceso concursal que autorizara dicho abono, con determinación expresa de que no constituía una violación de la suspensión automática de la Sección 362 del Título 11 del Código Concursal.

Cuestiones preliminares sobre las modernas pólizas D&O (recogiendo la estructura de la propia decisión judicial comentada, apartado 3)

Si bien las pólizas D&O se redactan de modo , hoy en día, bastante estandarizado, no cabe obviar que también han conocido una evolución considerable. Por ello, corresponde especificar aquí los datos de este contrato en particular, extraídos del asunto concreto

  • Todas las pólizas de D&O proporcionan una «cobertura A » frente a las pérdidas sufridas directamente por los directores y funcionarios por sus presuntos actos ilícitos en la medida en que  no sean reembolsadas por la empresa. Esta cobertura se conoce como cobertura «Side A», y en las modernas redacciones de esos condicionados incluyen cobertura de defensa.  En cuanto al tratamiento de los gastos de defensa incurridos por los administradores, consejeros y  ejecutivos para defenderse de demandas interpuestas por un administrador concursal por incumplimiento de las obligaciones fiduciarias de tales administradores, consejeros y altos ejecutivos (asegurados), la jurisprudencia estadounidense no es unánime. No está cerrado el debate sobre si la indemnización derivada de este Side A debe considerarse integrante de la masa activa de la entidad tomadora o, si puede abonarse a los asegurados incluso en caso de concurso. Para decidir sobre tal cuestión, los tribunales efectúan análisis concretos del clausulado específico de las pólizas, así como de otras circunstancias concurrentes, como precisamente sucede en el asunto que nos ocupa.
  • También, la práctica totalidad de los seguros D&O al menos en Estados Unidos, incluyen una cobertura Side B o de reembolso. Se refiere a las pérdidas en las que incurre la empresa, la sociedad tomadora, al indemnizar a sus consejeros y directivos por las pérdidas en las que éstos incurren por actos de los que sean declarados responsables, pero que realizasen de acuerdo con las disposiciones de gobierno corporativo de la tomadora. En el supuesto de que se haya declarado un concurso, la tomadora (y en su nombre el administrador concursal) puede beneficiarse de la indemnización aseguradora de esta cobertura para reembolsarse de sus obligaciones de indemnización, por ejemplo si al declararse el concurso ya se hubiesen reembolsado gastos indemnizables a los consejeros, o si incluso en el proceso concursal se derivasen obligaciones de indemnización de la tomadora a sus administradores, consejeros y altos ejecutivos.
  • Algunas pólizas modernas contienen además la llamada cobertura Side C  «cobertura de entidad» . El objeto de esta cobertura ha conocido evoluciones en el diseño de las pólizas desde los años 80 del siglo pasado, advertencia necesaria aquí, pero en la que ya profundizamos en otros textos y en la que no nos detendremos. En el asunto concreto que se analiza, la Side C estaba prevista, como ocurre en muchas pólizas americanas en la actualidad, para situaciones en las que una empresa es demandada junto con sus administradores y ejecutivos.
    • Recuérdese que ésta es una cobertura actual, pero que no se ofrecía en las pólizas clásicas que han sido objeto de comentario en  varias ocasiones en este mismo blog y otros , además de en abundantes publicaciones. Ciertas decisiones de los tribunales estadounidenses más antiguas como In Louisiana World Exposition v. Federal Ins. Co. (In re Louisiana World Exposition), 832 F.2d 1391 (5th Cir. 1987), del  Quinto Circuito Federal  dictaminaron que la indemnización del seguro D&O no se puede considerar como activo en la masa activa del concurso de la tomadora, pero debe subrayarse que en re Louisiana World Exposition la póliza no contenía la «entity coverage» que si se localiza en el asunto aquí comentado. En cambio, otras decisiones como In re Adelphia Communications Corp., 298 B.R. at 57; In re Pasquinelli Homebuilding, LLC, 463 B.R. 468 (Bankr. N.D. Ill.
      2012); In re Cybermedica, Inc., 280 B.R. 12 (Bankr. D. Mass. 2002) ,  citados en la decisión aquí comentada, bloquearon el acceso, en presencia de «entity coverage» y atendiendo a que el valor de la cobertura incrementaba en términos globales el valor de los activos del concurso
    • La cobertura C, en muchos casos, como en el aquí comentado, se formula con carácter residual en relación con la suma asegurada, para evitar que una póliza ideada para cubrir responsabilidades de directivos acabe siendo «vaciada» para hacer frente a responsabilidades de la propia empresa. Nótese, que en la cobertura C, la indemnización beneficiaría tanto a la empresa tomadora como a sus administradores, consejeros y ejecutivos, por lo que en una situación concursal será casi imposible que se permita a los administradores beneficiarse, al menos ilimitadamente de esta cobertura
Sobre la póliza en este asunto concreto

La póliza de D&O en re National Fish & Seafood, Inc., No. 19-11824, 2021  preveía una cobertura con suma total asegurada de 3 millones de dólares, junto con coberturas parciales incluyendo 500.000 dólares que permitía el  adelanto de los gastos de defensa incurridos en relación con una reclamación cubierta. Incluía los tipos de coberturas al uso en este tipo de seguro.  Además, ésta póliza D&O establecía que, en caso de concurrencia de reclamaciones, la indemnización derivada de la cobertura A se abonaría en primer lugar, la cobertura B en segundo lugar y la cobertura C en último lugar. En el marco del procedimiento concursal, los asegurados y el administrador concursal acordaron que las reclamaciones presentadas en el litigio de RC constituían reclamaciones cubiertas la cobertura A, que no se habían presentado, ni se esperaban reclamaciones por la B (reembolso) o la  C (cobertura de «entidad)

Lincoln, Ox

En este asunto se autorizó que los consejeros y ejecutivos recibiesen la indemnización de la cobertura A para sus gastos de defensa
  • El administrador concursal había alegado que esa indemnización formaba parte de la masa activa del Deudor  y por lo tanto su pago o adelanto a los asegurados violaría la Sección 362(a)(3) del Código Concursal. 
  • Sin embargo, en este asunto el Tribunal admitió la exención sobre la base del  artículo 362(d)(1) del Código Concursal, aceptando ciertos razonamientos de los consejeros que incluyen el que la póliza de D&O prevé el pago de los gastos de defensa; que en sus actuaciones como consejeros y dentro de su propio proceso de adopción de decisiones la existencia de la póliza formaba parte del cúmulo de cuestiones que se tuvieron en consideración; que no se preveían reclamaciones en las coberturas B y C; que la intención real del administrador concursal era preservar la cobertura A para financiar la reclamación concursal contra los consejeros en el litigio de RC, pero que en ésta los asegurados eran únicamente los consejeros y ejecutivos
Más:

Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

Se comenta en esta entrada  un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado  y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

  • En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA  debe tener como referente   los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
    • Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
    • Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
  • Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente,  recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas,  recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

 

  • En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una  obligación de notificación  directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
      • Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
        72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
  • En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia  la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas  por la Comisión Europea. Las consideraciones del fallo  impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
    • Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con  Estados Unidos de América  resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen  regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,  un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,  el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
      • Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que  el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el  Safe Harbor.
      • El  TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a  un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
      • La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en  un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que  dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos  certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir  principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios  establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades  responsables de la trasferencia internacional de dato a EEUU a  establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

  • Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.

Congreso de Derecho de Sociedades y Gobierno Corporativo Los Deberes de los Administradores de las Sociedades de Capital

El Congreso Nacional de Derecho de Sociedades y Gobierno Corporativo abordará en esta edición 2021 el tema de «Los Deberes de los Administradores».

11 y 12 noviembre 2021. Presencial y online

 

Dirigido por los Magistrados especialistas en lo Mercantil por el CGPJ, la Profesora Asociada de Derecho Mercantil de la Universidad de Alcalá Amanda Cohen Benchetrit y  D Alfonso Muñoz Paredes.

La edición 2021 de éste Congreso Nacional  cuenta en su Comité Científico con juristas de primerísimo nivel, tanto en la academia como en la judicatura y notariado, entre los que se que incluyen  los catedráticos de Derecho Mercantil, Carmen  Alonso, Cándido Paz-Ares, Ángel Rojo, José Massaguer,  José Miguel Embid, Andrés Recalde, Juan Sánchez-Calero, Javier García De Enterría, Antonio Roncero,  Reyes Palá, Javier Juste, Fernando Cerdá o Santiago Hierro.  La relevancia de la temática escogida en las ponencias ya anunciadas en el programa, la participación de los principales Despachos Jurídicos especializados en Derecho Societario  y el apoyo editorial de Revista de Derecho de Sociedades, Revista de Derecho Mercantil y Revista de Derecho Bancario y Bursátil son algunos rasgos destacables que incitan, cuando menos a consultar el sitio Web (aquí) , para esta edición

    • Sin ánimo de exhaustividad,  corresponde poner el valor que la temática objeto de análisis en este Congreso Nacional incide en el núcleo de

      NYC

      problemas de Gobierno Corporativo y administración societaria: Deber de lealtad, interés social y retribución de administradores; Interés social y de la Empresa; Tutela de acreedores; responsabilidad de administradores en sus distintas perspectivas (sin olvidar la procesal) son sólo algunas de las cuestiones que serán objeto de debate.

  • Destacamos también, que con la inscripción se facilitará el acceso electrónico  a dos obras fundamentales de nuestra doctrina en materia de Derecho Societario y de Grupos; y Retribución de Consejeros; y  también el acceso con precio reducido a todo el catálogo de e-learning de la casa editorial Aranzadi.
  • La actual edición del Congreso Nacional de Derecho De Sociedades y Gobierno Corporativo está abierto ya abierta a inscripciones (con cuota especial para Profesores universitarios).
  • En breve se dará la información relativa a la presentación  de Comunicaciones y su edición.

 

Felicitamos a los organizadores por esta iniciativa que promete ser un hito en las actividades del mercantilismo y derecho societario patrio.

Responsabilidad de administradores por incumplimiento del deber de vigilancia. El «test» Caremark y jurisprudencia reciente de Delaware

En esta entrada de da cuenta de la importancia de las medidas de gobernanza para la supervisión y control por parte del consejo de administración, sobre la declaración de responsabilidad de administradores (y altos ejecutivos). Para ello, nos servimos de recientes resoluciones judiciales de la judicatura estadounidense, y en concreto, de la del estado de Delaware. Cabe subrayar que para apreciar el alcance de esta jurisprudencia debe partirse de la concepción de deber de diligencia (deber fiduciario) apreciada conforme al llamado «test Caremark» fruto de jurisprudencia anterior.

Conforme al leading case  Caremark ( In re Caremark Int’l Inc. Derivative Litigation 698 A.2d 959 (Del.Ch. 1996), los miembros del consejo tienen el deber de vigilar y supervisar el cumplimiento normativo, la viabilidad operativa y el desempeño financiero de la sociedad

El estándar de conducta “Caremark” se basa en la verificación de si el consejo de administración fue, o no fue diligente, en el sentido de no poner en funcionamiento mecanismos de comunicación y de control destinados a hacer llegar al consejo informaciones sobre el funcionamiento de la empresa (y por tanto facilitar el ejercicio de la diligencia del ordenado empresario a través del control, la supervisión, la vigilancia).  Incluso cuando estos mecanismos de “reporting” y control existan, los administradores y consejeros también pueden incurrir en incumplimientos si los obvian o no los tienen en cuenta. Además, para deducir condenas de responsabilidad civil, Caremark exige prueba de actos (u omisiones) específicos de los que se pueda  establecer la concurrencia de una suerte de negligencia grave (mala fe) de los consejeros. Las demandas de responsabilidad de administradores que se basan en el test Caremark se fundamentan, por tanto,  en los procedimientos de gobernanza interna de las sociedades y de ahí viene considerándose que (conforme a la  influyente jurisprudencia de Delaware) es recomendable que los consejeros y ejecutivos puedan demostrar su labor de vigilancia y atención al cumplimiento normativo, especialmente en relación con situaciones como las derivadas de investigaciones de los supervisores, en las que se exige de ellos un nivel de cuidado elevado y por lo tanto pueden ser acusados de negligencia.Y, para facilitar la prueba eximente los titulares del órgano de administración y los altos ejecutivos se apoyan en distintos mecanismos reconocidos para el control de riesgos que incluirían desde programas de compliance, a comisiones delegadas de riesgos o protocolos de actuación.

Mencionamos algunas decisiones recientes para ilustrar, con cierto grado de detalle, como opera este principio.

Richardson v. Clark (MoneyGram. 2020 WL 7861335 (Del. Ch. 31 de diciembre de 2020)

La demanda de responsabilidad de administradores y altos ejecutivos fue desestimada

MoneyGram es una empresa especializada en trasferencias monetarias que había sido objeto de investigaciones (y sanciones) por blanqueo de capitales, en virtud de las cuales estaba sometida a un programa de indemnizaciones a favor de algunos afectados por sus actividades. Para realizar el seguimiento del programa que le fue impuesto, puso en marcha mecanismos internos de compliance legal que estaban destinados, precisamente, a cumplir el programa de indemnizaciones y a evitar que las actividades corporativas continuasen en la línea de las que motivaron la imposición de sanciones.  Sin embargo, los problemas y errores de ejecución en su operativa causaron desajustes en el programa de indemnizaciones (que no dejaba de ser una sanción), por lo que fue ampliado de modo que el nivel de las indemnizaciones que MoneyGram hubo de satisfacer se incrementó.

En el año 2020 los accionistas interpusieron una acción derivativa de responsabilidad contra los  consejeros y altos ejecutivos de MoneyGram. Las alegaciones de los demandantes consistían (sustancialmente) en no habían sido diligentes en la ejecución del programa de compliance en el sentido de que se produjeron errores y retrasos en el cumplimiento del programa de indemnizaciones. Alegaron, y evidenciaron que MoneyGram  había actuado con lentitud y sin eficacia en relación con las indemnizaciones que debía abonar y que sus directivos habían ignorado las alertas recibidas la autoridad que supervisaba el mencionado programa de indemnizaciones. Si bien tales acusaciones estaban, en conjunto, fundamentadas, el Tribunal tuvo en cuenta que la demanda no había se había apoyado en hechos o actuaciones concretas de las que pudiese deducirse mala fe (una suerte de negligencia grave en ese ordenamiento) en el desempeño de la función de vigilancia de los directivos acusados. Añadía la Delaware Court of Chancery, que conforme al test Caremark,  el hecho de que un programa de cumplimiento no fuese adecuado o no tuviera mucho éxito no era suficiente para derivar responsabilidad civil de consejeros y altos ejecutivos.

Fisher v.Sanborn (LendingClub) 2021 WL 1197577 (Del. Ch. 30 de marzo de 2021).

En este asunto la acción derivativa de responsabilidad contra consejeros y altos ejecutivos también fue desestimada.

Lariño. A Coruña

LendingClub opera una plataforma online que pone en contacto a inversores con potenciales solicitantes de crédito. En 2016, la Federal Trade Commission (FTC) inició una investigación por posibles prácticas engañosas y desleales con los consumidores por parte de LendingClub. Dos años más tarde, en virtud de los resultados de la investigación, la FTC interpuso acciones judiciales. Sobre esa base,  un accionista demandó  al consejo de LendingClub mediante una acción derivativa alegando que no había puesto en marcha un mecanismo adecuado de control de las actividades que eran competencia de los consejeros; que había obviado conscientemente su deber de supervisar el cumplimiento de deberes  derivados de la legislación de protección de consumidores y que habían realizado afirmaciones engañosas y falsas especialmente a los inversores.

La Court of Chancery rechazó todos estos argumentos de la demanda. Por un lado señaló, a favor de los demandados,  que el consejo de administración contaba con una comisión delegada de riesgos, que ésta recibía información actualizada de las quejas de los consumidores,  que conocía el proceso de la FTC y que debatía periódicamente sobre estas cuestiones. Por todo ello este Tribunal consideró que no podía afirmarse que los demandados no se hubieran esforzado en supervisar el cumplimiento de la legislación de consumidores.  Por otra parte, afirmó que el hecho de que se hubiesen realizado investigaciones e incluso acciones judiciales por parte del supervisor no demostraba que los consejeros supiesen, ni que debieran haber sabido que la sociedad estaba violando las leyes. Finalmente, la Court of Chancery se basó en que el demandante no había probado que los administradores actuasen de mala fe ni aportado evidencia de hechos concretos por los que pudiera deducirse que los administradores sabían que la corporación incumplía la ley, ni tampoco hechos de los que se pudiera deducir que los mandatarios habían mentido deliberadamente a los inversores en relación con las investigaciones de la FTC

Marchand v. Barnhill , 212 A.3d 805 (Del. 2019)

La acción de responsabilidad fue estimada

Blue Bell Creameries USA, Inc, uno de los mayores fabricantes de helados de Estados Unidos, sufrió un brote de listeria a principios de 2015. La incapacidad de esta corporación para contener la propagación de la listeria en sus plantas de fabricación hizo que ésta se extendiese en sus productos. Tres personas murieron como resultado del brote. La empresa retiró entonces todos sus productos, cerró la producción en todas sus plantas y despidió a más de un tercio de su plantilla.

Coimbra

Coimbra

Los accionistas también sufrieron pérdidas porque, tras el cierre operativo, Blue Bell conoció una crisis de liquidez que le obligó a aceptar una inversión de capital privado en virtud del cual la participación en el capital de los accionistas iniciales quedó diluída. Un accionista presentó una demanda derivativa contra dos altos ejecutivos y contra  administradores de Blue Bell, alegando el incumplimiento de las obligaciones fiduciarias de los demandados. La demanda se fundamentaba, más concretamente,  en que los ejecutivos -el presidente y  director general, y el  vicepresidente de operaciones- incumplieron sus deberes de diligencia y lealtad al ignorar, a sabiendas, los riesgos de contaminación y al no supervisar la seguridad de las operaciones de fabricación de alimentos de Blue Bell.

La demanda presentó hechos concretos que apoyaban razonablemente la alegación de que la administración de Blue Bell no había implantado ningún sistema para supervisar el cumplimiento de los deberes de seguridad alimentaria de Blue Bell.  El hecho de que un consejo de administración «no intente garantizar la existencia de un sistema razonable de información y comunicación» equivale a un acto de «mala fe» contrario a sus deberes fiduciarios. Cuando un demandante puede evidenciar que el consejo de administración no ha realizado ningún esfuerzo para asegurarse de que está informado de asuntos relativos a cumplimiento que son críticos para el funcionamiento de la empresa,  cumple los requisitos del exignte test Caremark para atribuir responsabilidad a sus miembros.

Así en Marchand, el Tribunal Supremo de Delaware determinó que el consejo de una empresa de helados que no contaba con sistemas para controlar la seguridad alimentaria, había incumplido su deber fiduciario.

Software crítico en el sector público. Orden Ejecutiva sobre Ciberseguridad del Presidente Biden y su desarrollo

Según lo solicitado en la Orden Ejecutiva de Ciberseguridad («EO») del 12 de mayo de 2021 publicada por la Administración de Biden ( aquí ), el National Institute for Standards and Technology, NIST ha publicado su definición de «software crítico» dentro del plazo de 45 días que establecía la OE. Esta definición de «software crítico» representa un requisito, conforme a la OE, para dotar de seguridad a la cadena de suministro de software, especialmente en lo relativo a los proveedores de servicios para el ejecutivo Federal de Estados Unidos. Eventualmente, se reflejará en un  futuro Reglamento Federal de Adquisiciones obligatorio para los proveedores de software. Como es sabido, los documentos sobre seguridad del NIST acaban constituyendo una referencia de definiciones y estándares en todo el mundo, y muy especialmente en el ámbito de la ciberseguridad.

Acrobacias 2015

acrobacias2015

La definición de NIST de «software crítico» como se establece en su documento técnico publicado el 25 de junio de 2021 incluye a cualquier software  que influye directamente sobre otro software o sobre componentes de otro software («dependencias directas» y cuenta con al menos uno de estos atributos:

  • está diseñado para ejecutarse con permisos o privilegios o para administrar privilegios;
  • tiene acceso directo o privilegiado a redes o recursos informáticos;
  • está diseñado para controlar el acceso a datos o tecnología operativa;
  • realiza una función fundamental para los servicios «críticos de confianza»; o,
  • opera fuera de los límites de confianza normales, con acceso privilegiado.

El documento técnico especifica además, que  esa definición se aplica a software muy variado, como software independiente, software integral para dispositivos o componentes de hardware específicos, software basado en la nube; y tanto cuando ha sido adquirido por compra como cuando es desarrollado en sistemas de producción y utilizado para fines operativos. Sin embargo,  cuando se trata de software utilizado únicamente para investigación o pruebas , es decir, que no se implementa en sistemas de producción, estaría fuera del alcance de esta definición.

By M.A. Díaz

NIST proporciona también información sobre cuestiones terminológicas de la propia definición. Por ejemplo las «Dependencias directas sobre otro software” significa, para un componente o producto dado, “otros componentes de software (por ejemplo, bibliotecas, paquetes, módulos) que están directamente integrados y son necesarios para el funcionamiento de la instancia de software en cuestión. No incluye las interfaces y servicios de lo que de otra manera serían productos independientes «. En cuanto a «Crítico para la confianza» significa «categorías de software utilizadas para funciones de seguridad como control de red, seguridad de punto final y protección de red».

El documento técnico, destinado principalmente a los contratistas con la administración federal,  también ofrece un cuadro que explica cada categoría de software que considera «crítico para la EO», así como una lista de preguntas frecuentes (FAQ) y respuestas. Las categorías de software enumeradas en la tabla de NIST incluyen los destinados a gestión de identidades, credenciales y acceso (ICAM), los sistemas operativos, hipervisores, entornos de contenedores, los navegadores web, el software de control y protección de red, supervisión y configuración de redes, seguimiento y análisis operativos, copias de seguridad, almacenamiento remiro, entre otros.

 

 

Medidas para mejorar la ciberseguridad en las empresas

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son más graves, la reflexión relativa a los ciber-incidentes es más intensa. Van surgiendo sugerencias y recomendaciones expertas relativas prácticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM

  • Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisión de sus prácticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas prácticas son especialmente relevantes en sectores como el  del transporte de viajeros. ;   o en las empresas de transporte y distribución energética, por mencionar algunos de los que recientemente han sufrido grandes pérdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y  los eventos de 6 de mayo de 2021). También son importantes para la gestión pública de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibernéticos (véase los que afectaron a varias ciudades de Texas en 2019).

 

  • Otro conjunto de prácticas recomendadas para la prevención de riesgos cibernéticos consiste  en la contratación, mantenimiento y actualización de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos físicos susceptibles de recibir daños materiales fruto de una intervención ilícita en los sistemas digitales de la empresa; daños derivados de pérdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contratación de expertos que van desde la recuperación de datos electrónicos hasta el análisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado después de un ciberataque, o que éste decida interponerlos.  Hoy, las prácticas comerciales prudentes hacen que la contratación de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

 

NYC_by Jara IPM. One Trade Center Tower

  • Continuando en esta enumeración, la contratación de expertos externos especializados en la prevención y control de los ciberataques se considera una buena práctica. Los especialistas en ciberseguridad desempeñan un papel importante para minimizar la exposición, para detectar y supervisar los riesgos así como para establecer protocolos de seguridad de la infraestructura de información de una empresa. Como buena práctica, la contratación de estos expertos es también interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

 

  • No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la práctica, en los estándares de seguridad como NIST o ISO, y van penetrando el ámbito normativo positivo.  En este sentido, recordamos algunas entradas anteriores en este blog,  como la relativa al Responsable de Información (exigido a las administraciones conforme al Esquema Nacional de Seguridad y también a ciertas empresas que contratan con la administración), que debe ser una figura distinta del Responsable de Seguridad y también del Responsable del Servicio en los términos del Real Decreto 3/2010. O el Responsable de Seguridad de la Información en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunciábamos, estas figuras de altos ejecutivos se van haciendo habituales en la práctica  y han sido reforzadas mediante su inclusión en estándares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.

 

 

 

Inversores focalizados en medio ambiente: Activismo y éxito en el nombramiento de consejeros

Engine N 1 es un inversor, activista que adquiriendo una participación relativamente menor en Exxon Mobil  ha logrado nombrar varios consejeros en el consejo del gigante energético, marcando un hito en la creciente importancia de las cuestiones de corte ambiental sobre el gobierno corporativo interno de las sociedades mercantiles.

Engine No. 1 alcanzó notoriedad pública en diciembre de 2020 con sus peticiones a Exxon para que presentar un mejor plan de lucha contra el calentamiento global. En pocos meses ha intervenido en la batalla de representaciones (proxy) y  se ha asegurado tres puestos en el Consejo de Administración a raíz de las votaciones de la Asamblea General de Accionistas de 02.06.2021 (y a la fecha de redacción de esta entrada)

La incorporación de los nuevos consejeros, propuestos por Engine Nº 1 sobre la base de una agenda de renovación estratégica apoyada en el medio ambiente, da una buena señal en el sentido de que los inversores están cada vez más dispuestos a abordar el cambio climático, y a abrazar su defensa también en el ámbito de las decisiones corporativas.

Summer time

La votación de 2 de junio en la JG de EXXON  se produjo tras meses de conversaciones y debates entre Engine No. 1 y Exxon.

  • Engine No. 1 propuso a cuatro candidatos a directores independientes al consejo de la petrolera y obtuvo el apoyo de grandes fondos de pensiones, como CalPERS, calSTRS o New York State Common Retirement Fund. El hecho de que Engine No. 1, con sólo un 0,02% de participación en Exxon y sin antecedentes de activismo dentro del sector del petróleo y el gas, haya resultado tan influyente frente a un titán como Exxon, el mayor productor de crudo del mundo occidental, muestra la importancia de las cuestiones medioambientales en los consejos.

 

Junto a sus actividades de activismo en gobierno corporativo  Engine No. 1 anunció la comercialización de un fondo cotizado en bolsa que se centrará en inversiones en proyectos sociales, se trata de Engine No. 1 Transform 500 ETF, que invertirá en los sectores de consumo, energía, servicios financieros, atención médica, tecnologías y servicios públicos, entre otros,

Bonos vinculados a la sostenibilidad (o rentabilidad por incumplimiento).

El 11 de mayo de 2021, la Autoridad de Mercados Financieros de Francia, AMF, aprobó un folleto de admisión en Euronext Paris de Sustainable Linked Bonds (SLB), (fondos vinculados a criterios de sostenibilidad) al amparo del ordenamiento francés.

 

A raíz de esta noticia dedicamos esta entrada de blog a los SLB

Palloza, Sobrarriba (León)

¿Qué son los SLB? En un sentido amplio, los SLB son, conforme a la definición de la International Capital Market Association, cualquier tipo de instrumento de renta fija cuyas características financieras y/o estructurales pueden variar en función de que el emisor alcance unos objetivos predefinidos de sostenibilidad o ESG. Se trata de  instrumentos con una estructura flexible. Las entidades que emiten SLBs pueden establecer indicadores clave de rendimiento (KPIs) que están alineados con sus estrategias de sostenibilidad y  pueden financiarse estableciendo objetivos de sostenibilidad relativamente generales y globales, en lugar de quedar vinculados a la financiación de proyectos específicos. A diferencia de los bonos verdes destinados a financiar activos «verdes», los SLB operan sobre la base de una rentabilidad aumentada si, en  una fecha predeterminada,  el emisor no ha cumplido con los objetivos de sostenibilidad  predeterminados y cuantificados a través de Indicadores clave (KPI).

En su comunicado, la AMF recuerda que la emisión de SLB ha crecido enormemente en los últimos meses en Europa, principalmente a través de colocaciones privadas en las que no se exige folleto,  y que, tratándose de productos vinculados a la crecientemente importante sostenibilidad, posiblemente sean cada vez más habituales también en los mercados regulados. Manifiesta además el Regulador francés, que espera que esta nueva herramienta de financiación sostenible se desarrolle en los años venideros, como complemento de otras iniciativas de inversión sostenible.

Buena parte del éxito en la comercialización de SLB dependerá de la credibilidad de  los emisores y de los folletos en relación con los parámetros seleccionados (KPI). Ya por el momento,  esta admisión de la que se da noticia supone un paso en la dirección de ubicar a la plaza parisina como mercado favorable a la promoción de modelos de negocio sostenibles en el que , con el examen de los folletos correspondientes,  la autoridad supervisora contribuirá con su control a la credibilidad de las emisiones en el marco del ordenamiento francés.

REFLEXIONES CRÍTICAS SOBRE LOS SLB:

  • No  se vinculan a actividades concretas, sino que responden a una estructura flexible que plantea algunas dudas. En primer lugar, esta estructura no tiene en cuenta el destino al que se dedican los fondos captados, por lo que los inversores no conocen cómo se utilizarán, ni cuales serán sus impactos.
  • Presentan peligro de riesgo moral. La estructura estándar de un SLB incluye entre sus rasgos, el pago al inversor cuando el emisor no cumple los objetivos de sostenibilidad predefinidos. Implícitamente, por ello,  se genera un riesgo moral para los inversores en el sentido de que se beneficiarán de que una empresa no cumpla sus ambiciones y objetivos de sostenibilidad.
  • Podrían utilizarse para Green Washing La estructura flexible de los KPIs que se emplean en los SLB facilita a los emisores el «lavado de cara de la sostenibilidad» con cierta facilidad, por ejemplo  cambiando los objetivos  y ajustando  metas.
  • Rentabilidad-sanción. Frente a lo que ya sucede con los productos de inversión «verdes», que suelen tener un precio  que los hace más caros para el inversor,  en el incipiente mercado de fondos ligados a la sostenibilidad los SLB se comercializan  con una prima respecto a otros productos tradicionales del mismo emisor, y producen mayor rentabilidad en caso de incumplimiento de ciertos KPI. Los rasgos descritos muestran  que por el momento el mercado no está dispuesto a pagar por la etiqueta sostenible de los SLB, mientras no vaya vinculada a algún tipo de sanción de cumplimiento.
  • Exigencia de mayor monitorización del inversor. Los SLB ocuparían, creemos, un papel como herramienta de financiación complementaria para aquellas empresas que no pueden encontrar suficientes proyectos verdes para emitir fondos verdes propiamente dicha. Pero la estructura flexible de los SLB significa que los inversores deben prestar más atención a los objetivos de sostenibilidad/ESG para evitar el «lavado de la sostenibilidad» o para verificar sus ingresos: los KPIs deben ser examinados en detalle y ser suficientemente ambiciosos y sólidos.

SOBRE LOS KPI EN LOS SLB

  • KPI climáticos. La mayoría de los SLB irán, previsiblemente,  vinculados a KPIs relacionados con el clima porque existen fuertes incentivos colaterales, como los programas de compra de activos del BCE, que sólo incluye los SLB con KPIs relacionados con el cambio climático o la degradación del medio ambiente. Pero los indicadores climáticos suelen centrarse en las emisiones de CO2. Engloban tanto las propias del emisor, como otras vinculadas con sus proveedores o clientes, que son difíciles de gestionar y controlar.
  • Deberían centrarse en aspectos core del negocio del emisor.  Algunos ejemplos recientes son la empresa sanitaria Novartis, que emitió un fondo vinculado a la sostenibilidad con KPIs relacionados con sus relaciones y accesibilidad con sus pacientes. O el minorista de alimentación Ahold Delhaize, donde el SLB tenía KPIs relacionados con evitar el desperdicio de alimentos
  • Deberían ser sometidos a verificación independiente y  externa. Los KPI deben estar bien documentados y verificados por expertos independientes y sus emisores estar sometidos a deberes de información específicos sobre el cumplimiento de tales KPI.

A PROPÓSITO DE LOS EMISORES:

En nuestra opinión, corresponde que únicamente las entidades emisoras gobernadas con criterios de sostenibilidad puedan emitir SLB. En este sentido los ámbitos de gobernanza corporativa y de gobernanza de productos afectada son muchos y variados: desde los componentes sanos en la producción alimentaria, al reciclaje, la igualdad o la remuneración de sus directivos son aspectos a tener en cuenta. Las SLB ofrecen la posibilidad de obtener financiación y debería integrarse con abordar cuestiones de sostenibilidad social, más allá de las meramente climáticas. Sus emisores no son, generalmente, grandes emisores de CO₂ y  es por ello que no presentan los requisitos habituales para emitir bonos verdes propiamente dichos.  En cambio, emitir un SLB les da la oportunidad de superar una visión puramente climática en la que verdaderamente no presentan graves problemas, para entrar en un panorama más amplio de la sostenibilidad. Desde el punto de vista del inversor, es importante ser crítico: evaluar si los KPI de un bono vinculado a la sostenibilidad son sólidos y si se han establecido todos los controles para garantizarlo. Pero es aún más importante que el emisor esté comprometido con un futuro más sostenible y que su marco de SLB y su estrategia de sostenibilidad estén bien alineados. La transparencia y la divulgación de la empresa son fundamentales a la hora de evaluar el impacto de una SLB y los objetivos y logros ESG.

Sociedad Anónima Europea. Apuntes normativos y rasgos generales

Conforme a nuestra Ley de Sociedades de Capital, Arts 455 y ss, la  sociedad anónima europea (SAE) que tenga su domicilio en España se regirá por lo establecido en el Reglamento (CE) núm. 2157/2001 del Consejo, de 8 de octubre de 2001 (RSAE), por las disposiciones de este título y por la ley que regula la implicación de los trabajadores en las sociedades anónimas europeas. Conviene por tanto tener presente tanto la normativa propia de España, como el mencionado Reglamento UE para concretar el régimen de la SAE

Deberá contar con un capital mínimo de 120 000 € . Se constituye  normalmente  por al menos dos sociedades originarias de países de la UE distintos (existe alguna excepción como se observa):

Modo de  constitución (art 2.2 RSAE) 

Entidades participantes/fundadoras

Criterios básicos

Fusión

Sociedades anónimas

Constituidas con arreglo al ordenamiento jurídico de un Estado miembro, que tengan su domicilio social y administración central en la Comunidad, siempre que al menos dos de ellas estén sujetas al ordenamiento jurídico de Estados miembros diferentes

Creación de una sociedad holding europea, o sociedad de cartera

Sociedad anónima o sociedad limitada

Constituidas con arreglo al ordenamiento jurídico de un Estado miembro y con domicilio social y administración central en la Unión Europea podrán, siempre que al menos dos de ellas:

a) estén sujetas al ordenamiento jurídico de distintos Estados miembros; o bien,

b) tengan una filial sujeta al ordenamiento jurídico de otro Estado miembro o una sucursal en otro Estado miembro desde, por lo menos, dos años antes.

Establecimiento de una filial europea

 

Sociedades u otras entidades jurídicas de derecho público o privado

a) estén sujetas al ordenamiento jurídico de distintos Estados miembros; o bien,

b) tengan una filial sujeta al ordenamiento jurídico de otro Estado miembro o una sucursal en otro Estado miembro desde dos años antes. al menos

Transformación

Sociedad anónima

Tener  una filial en otro país de la UE durante, como mínimo, dos años.

  •  Además, la SAE  puede crear una o más filiales que, si así lo decide, adopte la forma de Sociedad Anónima Europea (art 3.2)

 

  • Otros rasgos de la SAE:
    • Su capital social mínimo es de 120.000€
    • Su domicilio social será  lugar en que tenga su administración central;
    • Puede trasladar su domicilio social dentro de la UE sin tener que disolver ni crear una nueva persona jurídica
    • La inscripción y extinción (inscripción de la liquidación) se publicará además de en el Registro Mercantil correspondiente al domicilio,  también en el Diario Oficial de la Unión Europea. Esta última publicación tiene carácter informativo
    • Los estatutos de la Sociedad Anónima Europea, sea cual sea el Estado Miembro de su establecimiento o constitución, establecen la elección de los socios de optar entre dos posibles sistemas o estructuras, distintos, de administración de la SAE. Es decir, el legislador nacional debe permitir que sean los socios quienes, a través de los estatutos, elijan si la SAE en concreto tendrá un único órgano de administración, o dos:
      • Si optan por un sistema dual, esa SAE estará dirigida por un órgano de dirección y uno de control (dos órganos de administración)
      • Si optan por un sistema monista, esa SAE estará dirigida por un órgano de administración único.

Titulización en la UE. Informe de las ESAs para la revisión del marco europeo de titulización

El Comité Conjunto de las Autoridades Supervisoras Europeas (ESA – Autoridad Bancaria Europea, Autoridad Europea de Seguros y Pensiones de Jubilación y Autoridad Europea de Valores y Mercados) publicó  su análisis sobre el Reglamento (UE) 2017/2402 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2017, por el que se establece un marco general para la titulización y se crea un marco específico para la titulización simple, transparente y normalizada, y por el que se modifican las Directivas 2009/65/CE, 2009/138/CE y 2011/61/UE y los Reglamentos (CE) n.o 1060/2009 y (UE) n.o 648/2012 (SECR). En este documento (JC 2021-31)(17.05.2021 ) se abordan, entre otras cuestiones, ciertas recomendaciones para hacer frente a los desafíos iniciales derivados del SECR y también para mejorar su coherencia en una próxima reforma del SECR, ya en ciernes.  (Ver Propuesta de Reforma de la Comisión, COM (282)2020 final)

Antes de la crisis financiera de 2008, algunas actividades de titulización seguían un modelo tradicional de reparto de riesgos simple, conforme al cual sucedía en ocasiones que , mediante activos de calidad inferior titulizados, se trasferían a los inversores riesgos superiores a los que hubieran tenido intención de asumir. Por el contrario, la titulización sintética en el marco europeo, conforme al SECR , se basa en un acuerdo de cobertura del riesgo de crédito en el que la originadora compra protección crediticia al inversor. Implica transferir el riesgo de crédito de un conjunto de préstamos, normalmente préstamos a grandes empresas o préstamos a pequeñas y medianas empresas (pymes), mediante un acuerdo de cobertura del riesgo de crédito. La originadora adquiere protección crediticia para el inversor, utilizando garantías financieras o derivados de crédito (la propiedad de los activos sigue siendo de la originadora y no se transfiere a un vehículo especializado en titulizaciones, como ocurre en las titulizaciones tradicionales).

En Vigo

    • La originadora, como comprador de la cobertura, se compromete a pagar una prima de cobertura del riesgo de crédito
    • El inversor, como vendedor de la cobertura, se compromete a abonar un pago de cobertura del riesgo de crédito pactado si se produce un evento crediticio pactado.

Conforme al Dictamen Dictamen de la Autoridad Bancaria Europea a la Comisión sobre el tratamiento reglamentario de las titulizaciones de exposiciones dudosas (EBA-OP-2019-13), publicado el 23 de octubre de 2019,  los riesgos asociados con los activos que garantizan las titulizaciones de exposiciones dudosas son específicos y por ello deben ser titulizadas con alguna forma de descuento sobre su valor nominal, reflejando la evaluación del mercado sobre la probabilidad de que la renegociación de la deuda genere suficientes flujos de efectivo y recuperación de activos. En este sentido, las titulizaciones sintéticas del marco europeo suponen un avance positivo, pero, la complejidad de los mecanismos de titulización y los riesgos asociados no deben ofrecer incentivos impropios a las originadoras.

En efecto, y conforme a la Propuesta de Reforma de la Comisión, el marco actual no alcanza su pleno potencial en dos aspectos que son muy importantes para incentivar la recuperación económica y, entre otros,  no contempla la titulización sintética dentro de balance ni es totalmente adecuado para la titulización de exposiciones dudosas, aspectos en los que se proyecta el conjunto de la reforma y el documento del que se da noticia.

Algunos requisitos para las titulizaciones tradicionales que no son adecuados para las titulizaciones sintéticas de balance debido a las diferencias inherentes entre ambos tipos de titulización, en particular, debido al hecho de que, en las titulizaciones sintéticas, la transferencia del riesgo se logra a través de un acuerdo de cobertura del riesgo de crédito, en lugar de una venta de los activos subyacentes. Por consiguiente, los criterios para éstas deben adaptarse con  requisitos como los necesarios para dar cabida al riesgo de crédito de contraparte tanto para la originadora como para el inversor. Y  en esta línea se deberá avanzar en futuras reformas

También aborda este texto,  la eficiencia del marco de titulización europeo de cara a la recuperación posterior a la pandemia de Covid-19. En este sentido, corresponde tener en consideración la comunicación de la Comisión europea de 27.05.2020, titulada «El momento de Europa: reparar los daños y preparar el futuro para la próxima generación», en el que la Comisión adelantaba como retos fundamentales del futuro económico a medio plazo los de liquidez y acceso a la financiación , especialmente a raíz de la pandemia.