Acerca de Elena F Pérez Carrillo

Doctora en Derecho. Profesora de Derecho Mercantil Universidad de León

Código de Buen Gobierno de la CNMV actualizado a 2020

El Código de Buen Gobierno de la CNMV está estructurado desde 2015 de una serie de Principios (25), y de Recomendaciones propiamente dichas (64).  Su modificación en 2020 implicó cambios en los Principios  2, 4, 10, 19, 20 y 24; y en las Recomendaciones 2, 4, 6, 7, 8, 14, 15, 22, 24, 37, 39, 41, 42, 45, 53, 54, 55, 59, 62 y 64. He aquí un breve repaso de esa reforma de junio de 2020.

Ver el texto del CBG’2020

Ponferrada. Castillo de templarios

Antes de nada, recuérdese que el seguimiento del Código de Buen Gobierno se debe reflejar  en el Informe Anual de Gobierno Corporativo de las cotizadas. Así lo impone el artículo 540 de la Ley de Sociedades de Capital. Además, la Orden ECC / 461/2013, de 20 de marzo, determina el contenido y la estructura del informe anual  Gobierno Corporativo. El art. 540 LSC dispone que «las sociedades anónimas cotizadas deberán hacer público con carácter anual un informe de gobierno corporativo» que «será objeto de comunicación a la Comisión Nacional del Mercado de Valores» y que «será objeto de publicación como hecho relevante». Por tanto, este informe recibe publicidad y es objeto de supervisión. Dentro de las previsiones de la LSC, el  art. 540.4.4º.g) LSC aclara que, dentro del Informe Anual de Gobierno Corporativo, se hará constar el «grado de seguimiento de las recomendaciones de gobierno corporativo, o, en su caso, la explicación de la falta de seguimiento de dichas recomendaciones». Es decir: alude al principio de Cumplir o Explicar. El art 540.5 LSC establece que la CNMV es competente para imponer sanciones  por falta de remisión de la documentación o del informe de gobierno corporativo, así como por omisiones o datos engañosos o erróneo. La CNMV hará seguimiento de las reglas de gobierno corporativo, a cuyo efecto podrá recabar cuanta información precise al respecto. Y, el supervisor podrá hacer pública la información que considere relevante sobre el grado efectivo de cumplimiento. Este precepto establece facultades del regulador para que se ejerza el principio de Cumplir o Explicar.

Caben destacar reformas en la línea más clásica de la organización interna del poder:

  • COMISIÓN EJECUTIVA La Recomendación 37 modifica su composición para incluir al menos a dos consejeros no ejecutivos, debiendo ser uno de ellos independiente
  • REMUNERACIONES DE CONSEJEROS . En virtud de las Recomendaciones 59, 62 y 64, las remuneraciones de administradores son objeto de precisión, y se intenta aclarar alguna duda suscitada con anterioridad. Las   Recomendaciones reformadas establecen unos contenidos mínimos para las políticas de retribución, incluido en lo relativo a la sostenibilidad, en las sociedades cotizadas:

También, las relativas a la gestión de nuevos riesgos

  • EXIGENCIA DE CONOCIMIENTOS ESPECÍFICOS en gestión de riesgos no financieros, como un criterio más para la designación de los miembros de la comisión de auditoría.
  • LA COMISIÓN DE AUDITORÍA se encarga de la supervisión  y evaluación del proceso de elaboración y la integridad  de la información financiera, y de la información no financiera, así como de supervisar los sistemas de control y gestión de los riesgos financieros y no financieros, incluyendo los operativos, tecnológicos, legales, sociales, medioambientales, políticos y reputacionales o relacionados con la corrupción.  Estos últimos se citan explícitamente, en concreto, en su identificación en la política de control y gestión de riesgos y en su aseguramiento por la función de auditoría interna. Con ello se pretende preservar la coherencia entre ambos aspectos, los financieros y los no financieros, tanto a efectos de la gestión y control de riesgos como del reporte de la información anual. Esto está en línea con la tendencia de la regulación europea en este sentido, como puede mostrase con el proyecto de la Unión Europea de reformar su directiva de información no financiera, actualmente en revisión. La Recomendación 41 alude a que el plan anual de trabajo de la función de auditoría interna deba ser aprobado, bien por la comisión de auditoría, bien por el consejo de administración, y se fortalece el deber del responsable de la función de informar a la comisión sobre la ejecución y desarrollo del mismo

Algunas reformas se relacionan especialmente con aspectos de trasparencia en la gestión de las cotizadas

  • POLÍTICA GENERAL DE COMUNICACIÓN  . Conforme a la Recomendación 4, las sociedades deben hacer pública en su web una política de comunicación con accionistas, inversores institucionales, y con los asesores de voto.  La política de comunicación debe acompañarse de una justificación de sus aspectos principales para ponerla en práctica, con mención de los responsables de la misma.
  • ENTORNO DIGITAL Y PARTICIPACIÓN DE LOS ACCIONISTAS. Las sociedades cotizadas deberán contar con mecanismos que permitan la delegación y el ejercicio de voto en la junta general por medios telemáticos, así como con mecanismos que fomenten la asistencia y participación activa de los accionistas en las juntas (Recomendación 7)
  • SUPERVISION DE LA INFORMACIÓN, SISTEMAS DE GESTIÓN Y CANALES DE RENUNCIA. Conforme a las Recomendaciones 39,41, 42 y 45 reformadas, se introducen ajustes relativos a la supervisión de la información, sistemas de control, gestión de riesgos, y canales de denuncia.
  • OTROS ASPECTOS (Información no financiera)

Muchas reformas atienden a ámbitos de responsabilidad social y sostenibilidad. El concepto de sostenibilidad que incluye el código especialmente en las Recomendaciones 53, 54, 55, comprende aspectos medioambientales, sociales y de gobierno corporativo, que en conjunto conforman los llamados criterios ASG. Corresponde llamar la atención a la terminología en estas recomendaciones 53, 54 y 55 porque el término “sostenibilidad” sustituye al de “responsabilidad social corporativa”. La sostenibilidad  debe ser supervisada por una o varias comisiones, ya sean preexistentes o una específica de sostenibilidad, compuesta por consejeros no ejecutivos, en su mayor parte independientes, y teniendo como funciones mínimas las recogidas en la recomendación 54. Los contenidos mínimos a incluir en la política de sostenibilidad aparecen en la recomendación 55, y destaca la identificación de canales de comunicación, diálogo y participación de los grupos de interés, junto con las prácticas de comunicación responsable.

  • POLITICAS DE SOSTENIBILIDAD. Las sociedades deberán promover políticas de sostenibilidad en materias medioambientales y sociales que incluyan, al menos, los principios, compromisos, objetivos y estrategia en lo relativo a accionistas, empleados, clientes, proveedores, cuestiones sociales, medioambiente, diversidad, responsabilidad fiscal, respeto de los derechos humanos y prevención de la corrupción y otras conductas ilegales.
  • INFORMACION NO FINANCIERA (Recomendaciones 6, 39, 42 y 45). Se pone el foco en estos riesgos en modo coherente con la Ley 11/2018 de información no financiera y diversidad y con la Guía Técnica 3/2017 sobre comisiones de auditoría de entidades de interés público. Concretamente en la Recomendación 6 se suprimió el informe sobre la política de responsabilidad social corporativa dentro de aquellos que han de publicarse en la página web con antelación suficiente a la celebración de la junta general ordinaria. Y es que la Ley 11/2018, de 28 de diciembre, estableció la obligación de todas las compañías que formulen cuentas anuales y cumplan determinados requisitos de tamaño formulen un estado de información no financiera, que formará parte del informe de gestión. Dicho estado incluye información relacionada con la denominada “responsabilidad social corporativa”.
  • DIVERSIDAD DE GÉNERO Las Recomendaciones 14 y 15 establecen que el consejo de administración deberá aprobar una política dirigida a favorecer su adecuada composición, y la diversidad de género. Se pretende alcanzar el 40% de mujeres en consejos en 2022 (eleva en un 10% el objetivo anterior). El consejo debe fomentar también que la sociedad cuente con un número significativo de altas directivas.
  • REPUTACIÓN Según las Recomendaciones 22 y 24, en caso de que un consejero se vea afectado por circunstancias que puedan dañar al crédito o la reputación de la sociedad, el consejo de administración podrá adoptar medidas pertinentes, antes incluso de que se produzca auto de procesamiento o apertura del juicio oral. Se recomienda que se establezcan reglas internas para que los consejeros informen y, en su caso, dimitan si están inmersos en supuestos que puedan perjudicar al crédito y reputación de la sociedad. Asimismo, se establece que el consejo examine tan pronto como sea posible una vez conocida cualquier situación que afecte a un consejero que pueda perjudicar el crédito y reputación de la sociedad, sin esperar (como preveía la recomendación) a que el consejero resulte procesado o se dicte contra él auto de apertura de juicio oral por un delito societario. Se refuerza también la transparencia en el cese de consejeros, a través del informe anual de gobierno corporativo y en el momento mismo del cese.

Modificación de Estatutos sociales. Sociedad Anónima. Ficha apunte

  • Régimen jurídico: arts. 285-345; y para SA cotizada 360-400 LSC
  • Finalidad: reformar las normas de organización y funcionamiento que la SA prevé en sus estatutos
  • Procedimiento y forma: Cambio de la redacción de los estatutos sociales inscritos en el Registro Mercantil, cumpliendo los requisitos legales y (en su caso) estatutarios)
    • La modificación debe ser acordada por la junta general (excepto el cambio de domicilio dentro del territorio nacional que puede ser acordado por el órgano de administración, art. 285.2 LSC).
    • Requisitos:
      • Informe escrito de los administradores, o de los accionistas autores de la propuesta
      • Reflejo claro en la convocatoria de la Junta de la propuesta
      • Debe constar en la convocatoria de Junta el derecho de todos los accionistas a examinar en el domicilio social el texto íntegro de la modificación y del informe, y a solicitar el envío gratuito de estos documentos.
      • Quórum de constitución conforme al art 194 LSC (extraordinario): en primera convocatoria, el 50% del capital social con derecho a voto; en segunda, el 25%), pudiendo ser más exigente si así consta en estatutos
      • Mayoría de votación especial (art 201.2 LSC) (o más elevado conforme a estatutos)
        • Si el capital presente o representado supera el 50% basta que el acuerdo se adopte por mayoría absoluta.
        • Si  el capital presente o representado es de menos del 50% del capital social con derecho de voto, se exigen 2/3 del capital presente o representado con derecho de voto
      • El acuerdo deberá constar en escritura pública, inscribirse en el RM y publicarse en el BORME
    • Tutela de socios. Aspectos específicos de la modificación de estatutos para la protección de socios:
      • Si la modificación impone nuevas obligaciones a accionistas concretos, se exige el consentimiento de los afectados (art. 291 LSC), entendiéndose de todos ellos.
      • Si implica nuevas restricciones en la transmisibilidad de acciones los accionistas que no hayan votado a favor podrán, durante un plazo de tres meses desde la publicación del acuerdo de modificación en el BORME, transmitir sus acciones sin someterse a las restricciones introducidas (art. 123.1, 2º, LSC).
      • Si afecta a los derechos de una clase de acciones se exige además del acuerdo de la junta general, otro acuerdo específico, adoptado por mayoría, de los accionistas que integran la clase afectada. El segundo acuerdo puede alcanzarse mediante una “junta especial” (a la que solo asisten los accionistas de la clase afectada) o bien en una votación separada de estos accionistas en el seno de la junta general (art. 293 LSC)
      • Recuérdese lo dispuesto en el art. 348 LSC en relación con los acuerdos de la junta que dan lugar a separación (obligación de publicación en BORME o de notificación individual y plazo de 2 meses para ejecutar esa separación)
    • Modificación de Estatutos por aumento o reducción del capital social. Sigue normas específicas aquí, aquí.

Obligación de suscribir el seguro obligatorio, mientras el vehículo a motor sigue de alta en tráfico

De conformidad con el Art 1 del Real Decreto legislativo 8/2004 (TRLRCSCVM) , el conductor de vehículos a motor es responsable (a salvo de la responsabilidad del propietario) de los daños causados a las personas o en los bienes con motivo de la circulación, en virtud del riesgo creado por la conducción.

  • En relación con los daños a las personas, la responsabilidad es objetiva: sólo cabe exoneración cuando sean debidos únicamente a la conducta o la negligencia del perjudicado (matizándose la cuantía en caso de culpas concurrentes) o a fuerza mayor y, el propietario no conductor no está exento de responsabilidad.

El propietario (presumiéndose tal condición de lo inscrito en los registros administrativos de tráfico, Art 4 del RD 1507/2008, Reglamento del Seguro Obligatorio de Responsabilidad Civil de la Circulación de Vehículos a Motor  (RSOA) es  quien debe suscribir el SOA.

  • En caso de que no lo haya suscrito, responderá civilmente con el conductor (tanto por los daños a las personas como a los bienes de terceros), sin perjuicio de que en un primer momento indemnizatorio intervenga el Consorcio de Compensación de Seguros, titular entonces de las correspondientes acciones de repetición.

Junto a la conducción y la propiedad (claves en la atribución de responsabilidad) también es fundamental la idea de “control o posesión del vehículo” que tiene consecuencias en el orden de la responsabilidad civil, y por lo tanto, también  en las del seguro. Es un requisito para la cobertura de riesgos en el SOA, que el propietario (y generalmente tomador) mantenga el control sobre el vehículo de tal manera que el seguro no cubre  en caso de vehículo robado (circunstancia en la que aplicaría directamente la garantía de Consorcio de Compensación de Seguros).

Los vehículos  y los hechos de la circulación.

  • El riesgo asegurado por el SOA deriva de la conducción de  vehículos a motor que son los determinados en el Art 1 del RSOA “todos los vehículos idóneos para circular por la superficie terrestre e impulsados a motor, incluidos los ciclomotores, vehículos especiales, remolques y semirremolques, cuya puesta en circulación requiera autorización administrativa de acuerdo con lo dispuesto en la legislación sobre tráfico, circulación de vehículos a motor y seguridad vial”.
  • El Art 2 del RSOA define un concepto central en el aseguramiento obligatorio de vehículos a motor: el hecho de la circulación o derivado del riesgo creado por la conducción de los vehículos a motor por vías o terrenos públicos; garajes, aparcamientos, vías urbanas o interurbanas,  o incluso por vías o terrenos que sin tener tal aptitud sean de uso común.  A continuación el Reglamento enumera ciertos hechos que no son “de la circulación”, delimitación importante ya que los hechos “no de circulación” no están cubiertos por el SOA (si son asegurables por otros seguros voluntarios).

Exclusiones legales de cobertura

  • En cuanto a las exclusiones, debe recordarse lo dispuesto en el Art 5,3 TRLRCSCVM, en el sentido de que tanto los daños personales como los materiales causados por el vehículo cuando este hubiera sido sustraído, quedan excluidos de cobertura circunstancia en la que se activa la intervención del CCS, como ya adelantábamos; así como los hechos que no sean de circulación, o riesgos que no deriven de conducción de vehículos. Todo ello, con la advertencia, sobre la que venimos incidiendo, de que la jurisprudencia muestra una clara tendencia expansiva en cuanto a la inclusión de riesgos en el SOA (o reduccionista en relación con la interpretación de las exclusiones). En este sentido debe encajarse la doctrina de la Sentencia Juliana del TJUE
Derecho Europeo. Jurisprudencia
  • El TJUE ha interpretado la legislación portuguesa en un sentido similar y coherente con la situacion en España, (ver STJUE C-80/2018) Fundo de Garantia Automóvel Prensa e Información C80/17 /Alina Antónia Destapado Pão Mole Juliana y Cristiana Micaela Cae tano Juliana
    • La Sra. Alina Antonia Juliana, propietaria de un vehículo automóvil matriculado en Portugal, lo había dejado de conducir dicho vehículo debido a problemas de salud. El vehículo quedó estacionado en el patio de su casa. No se iniciaron los trámites para su retirada oficial de la circulación. En noviembre de 2006, el hijo de dueña tomó posesión del vehículo sin la autorización de su madre y sin su conocimiento. El vehículo se salió de la carretera, lo que provocó el fallecimiento del hijo y de otras dos personas, que viajaban en dicho vehículo como pasajeros.
    • La Sra. Juliana no tenía suscrito en la fecha del accidente un seguro de la responsabilidad civil que resulta de la circulación de ese vehículo (seguro de responsabilidad civil del automóvil). El Fundo de Garantia Automóvel (Fondo de garantía de seguros del automóvil, Portugal) indemnizó a los derechohabientes de los pasajeros por los daños causados por el accidente. Al considerar que la dueña  debía suscribir un seguro de responsabilidad civil respecto de su vehículo y que había incumplido esta obligación, el Fundo demandó posteriormente, con arreglo a la posibilidad prevista por el Derecho portugués. Solicitó la devolución del importe de 437 345,85 euros que había abonado a los derechohabientes de los pasajeros. La Sra. Juliana alegó que no era responsable del siniestro y que, en la medida en que había estacionado su vehículo en el patio de su casa y no tenía intención de ponerlo en circulación, no estaba obligada a suscribir un contrato de seguro de responsabilidad civil del automóvil.

 

International Business Law (International Trade Degree-ULE). Lesson 3 (1,2,3,4). Notes for IBL

International Business Law (International Trade Degree-ULE). Lesson 3 (Schedule to parts 1 ,2,3,4). Notes IBL

Compulsory readings and materials for 2nd-year Students of  University of Leon’s International Trade Bachelor Degree (IBL). This lesson is dedicated mainly to the EU Legal System, notwithstanding some references to International Law and Spanish National Law.

LESSON 3.- REGULATION OF COMPETITION IN THE MARKETPLACE

Summary:

1. Free Competition Law.
1.1 (Prohibited) Agreements
1.2 Abuse of dominant position
1.3 Concentrations
1.4 State Aid

2. Unfair Competition Law.
2.1 General Clause
2.2 Specific Clauses

Trad: B Valle

Here you find an INTRODUCTION and then please click to the next slides:

King  Alfonso V  of León

Introduction to Competition Law

Markets, where mutually independent businesses engage in the same activity and enter the fray to attract consumers, are markets that operate as FREE MARKETS.

In free markets, each business is subject to competitive pressure from the others. The effective and fair competition gives businesses a level playing field and it also confers many benefits on consumers (lower prices, better quality, wider choice, etc.).

Free and Fair Competition Laws are at the heart of Commercial Law in Western Legal Systems.

  • Please note:
    • When dealing with Competition, the Law acknowledges that some practices can affect some geographical zones, but not others, and vice-versa. So, obstacles to Free Competition and Unfair Commercial Practices can affect a Region, a Country, a Continent, or the whole World!!. Such circumstances imply that the legal applicable systems, the supervisory Institutions, and the competent courts can be regional, national, European and international, depending on the scope and the consequences of each barrier and /or conduct.
    • Notwithstanding the above,  Free and Fair Competition Law and Systems allow for some monopolistic situations, for instance in the fields of  Patent Law, Trademarks Law,  and other regulated matters where competition is somehow restricted. However, such accepted obstacles to free competition are limited by the Law: they must be construed and interpreted as exceptions. 
  • COMPETITION LAW can be divided into two great and general sections: Free Competition Law, and  Unfair Competition Law
    1. Free Competition, is the perspective of Competition Law especially related to public interests in trade and business. In this sense, Free Competition amounts to creating and maintaining free markets to pursue general economic development.
      • Within Free Competition we find:
        1. Antitrust Law, (Agreements and practices against Free Competition,  as well as Control over abuse of Dominant Positions);
        2. also Mergers‘ control Law,
        3. and State Aids’  control Law.
    2. Unfair Competiton is a perspective that, taking into account general interest of the economy, it is rather centred on the relationship among private business, companies, etc, in the markets and also vis à vis business and consumers.

MORE IN THIS LESSON:

International Business Law (International Trade Degree-ULE). Lesson 4 (1,2,3,4). Notes for IBL

Intellectual Property Law. International Business Law (IBL) International Trade Degree (Bachelor). Schedule and materials for Lesson 4.

 

LESSON 4.- COMPETITION LAW EXEMPTIONS AND LIMITS: INDUSTRIAL / INTELECTUAL PROPERTY LAW.

Summary:
1. Industrial property.
1.1. Patents
1.2. Trade Marks and signs
1.3. Other IP Rights

2. Intellectual Property Rights.
2.1. Copyrights
2.2. Neighbouring Rights

Trad B Valle

WIPO, 2017

 

 

 

International Business Law (International Trade Degree-ULE). Lesson 2(1) . Notes IBL

LESSON 2 IBL:  INTERNATIONAL COMPANY LAW – EUROPEAN UNION FRAMEWORK

Summary (educational guide)

1. Companies and other bodies for the business organization of International Trade.
2. Companies within the European Internal Market: Harmonized and Unified Aspects.

2.1 Incorporation, Registries and official transparency, shareholders and third parties protection, branches.
2.2 Specialities of single member limited liability companies
2.3 Specialities in the protection of shareholders in listed companies in the EU
2.4 Take over bids, mergers, aquisitions, divisions
2.5 Special legal forms for cross border business in the UE

Contents:

 

1 Companies and other bodies for the business organization of International Business.

Companies and other organizations are actors of IBL.  Together with natural persons, they are instruments to give legal form to some business. Companies (also named Corporations) and other business forms give legal support to collective business:  those business whose legal holders or owners are groups of individuals that must be organized in accordance with the legal framework. Collective business are not natural persons, nor «single person traders» nor «single business people»). Legal persons are «intellectual fictions»

1.1 We find different types of legal persons that are important in IBL

 

    1. Foundations.
      • They have no «Members». They have no shareholding.
      • They do not have issued capital, although they do have assets
      • Foundations are legal persons, made up of assets whose objective/s are set up by its «Founder».
      • Article 34.1 Spanish Constitution says: «The right of Foundation is recognized for purposes of general interest, in accordance with the law», therefore, in Spain, Foundations are created for the general interest and not for the sole interest of the founder or his family. Some countries, however, accept private interest Foundations.
    2. Trusts. They are Common Law Institutions, deeply rooted in the Anglo-Saxon tradition. Nowadays, they have become useful for investment, so we might find them in IB, even beyond angloxason countries.
      1. Trusts have a very special structure which allows their Beneficiary to be almost unkown to the public. However, «tecnnically classical trusts» are managed for the interest of their Beneficiary that is nominated by the Trust Founder. Trusts are managed by one or various trustees that is the «apparent owner of the trust’ assets. And such assests must be administered in the best interest of the Beneficiary.
    3. Associations.–  They are a very simple type of organization. Associations have «members» (socios). They do not have, in a technical sense, capital, nor shareholders. They can have assests. In accordance with article 22 of the Spanish Constitution: «The right of association is recognized. Associations must register in a public registry for the sole purpose of transparency»
    4. Companies- They are widely used in IBL, and in business in general
      • Some are «non-incorporated».  They have legal personality but their members are liable for debts of the legal person («non-perfect legal personality») (a.e: sociedad colectiva, sociedad comanditaria simple, and equivalent forms in other countries). Although they have assets, they lack capital in the legal and tecnical sense. In Spain, the contract for the  creation of these company types must be registered in «Companies House» (Registro Mercantil), for them to be classified as «commercial» (mercantiles).
      • Other companies are «incorporated» . They are capital companies or «corporations». ie: Sociedad Anónima, Sociedad Limitada , Sociedad Anónima Europea, etc. Corporations are incorporated by  their founding members who contribute with money or assets that create the «capital» of those organizations. Most countries regulate a minimun capital for each type of capital company. For instance in Spain an SA must have a minimun nominal issued capital of 60.000€, and an SL of 3.000€n
      • Their registration in Company’s House (Registro Mercantil) is a requisite for incorporation as legal persons with full legal personality
1.2 More on incorporated «capital» companies in IBL
1.2.a. Companies have a Nationality and  a Domicile. Those concepts are defined differently in different countries and legal systems:

a) Some legal systems follow the «Real Seat Theory«, whereby nationality is linked to the administration of  the company’s business.  This system is followed in the German Legal System, among others.

b) Some legal systems follow the Incorporation Theory, whereby the place of incorporation determines the Nationality. For instance, UK’s Legal System

c) The Spanish System of Nationality and Domicile of Companies is, somehow, an hybrid. Those issues are regulated in Arts 8  to 10 LSC (Ley de Sociedades de Capital), whereby a Spanish Company is a company that has its Registered Office (domicilio social) in Spanish territory. Also, Companies with domicile within the Spanish territory must fix such a Domicile in the place where the Company has its centre of administration and management; or in the place where such Corporation has its main operation and establishment centre.  So,  if  Spanish companies set (in their Estatutes) their Domicile differently, any third party can take both Domiciles as he or she chooses (the «set» Domicile and the place of administration and  main operations). Nationality and Domicile are very important in Business Law as they are used to find out the Legal System that rules over the legal capacity of business people and collective organizations to operate as a business (Legal capacity to act in business and to trade); to decide where they can sue or be sued, etc.

1.2.b. Legal capacity to act and to trade, in accordance with the Spanish Legal System (and most Legal Systems). 

      • Legal capacity to trade in Spain.
        • Foreign Companies incorporated abroad (and Foreign private individuals or natural persons) may trade in Spain. Art 15 Código de Comercio establishes that, Foreign Companies (and Foreign Natural people) are subject to the laws of their own country of Nationality with regard to their ability to contract (legal capacity to act). But they are subject to the laws of Spain in all matters relating to the creation of their establishments (offices, shops, factories, etc) within Spanish territory. Their operations  in Spain are also subject to Spanish Laws. And they  are bound by the jurisdiction of Spanish Courts.  However, when Foreign persons and companies established in Spain are involved in IB, some exceptions apply as we shall see in this course.

1.2.c. Groups of Companies (and consolidated accounts)

      • In general terms, and within the different jurisdictions and legal systems, a Group of Companies exists when several companies that are legally independent are subject to a relationship of dependence and centralized economic decision making  by means of a variety of contractual mechanisms and/ or shareholdings.  They retain their formal legal independence, but they act in the market with the logic of a single business. Therefore, two elements characterize, in general terms, the group of companies:
        1. The direct or indirect relationship of dependence of one or several companies with respect to another; and
        2. The exercise of a unitary or centralized economic governance.
      • There are various comparative legal concepts of Group of Companies.
        1. The English System mainly relies on the existence and /or on the possibility of hierarchical control and the resulting  Groups are known as vertical groups or subordination groups
        2. The Germanic concept is broader and it is based on the notion of the unity of decision. The group is made up of companies acting jointly by means of agreements and/ or clauses in their Articles of Association. They usually also have «cross-shareholding» Here the Group can be controlled by different means such as reciprocal agreements, joint proyects, services provision….(not only via shareholdings or appointments of Directors) .
            • In Spain, article 4 of The Spanish Securities Law (Ley del Mercado de Valores) and article 42 of Cco. A Group exists when a company holds or may hold, directly or indirectly, control over one or more different companies. In particular, control will be presumed to exist when a company (parent/dominant), is in relation to another company (dependent/ subsidiary), in any of the following situations:
                • a) It holds the majority of voting rights or may hold such majority by virtue of agreements with 3rd parties
                • b) It has the power to appoint or dismiss the majority of the members of the administration body (such as the Board of Directors). This circumstance shall be presumed when the majority of the members of the administration body of the dominated company are members of the administrative body or senior executives of the dominant company, or of another company dominated by it
                    • Please note that for these purposes, the voting rights can be direct votes of the parent company or indirect voting power (votes held through other subsidiaries or through persons acting in their own name but on behalf of the parent company or other subsidiaries or other voting rights held in concert with any other person).

Today, in Spain vertical groups (art 42 Cco) must file consolidated annual accounts. However non vertical groups are excluded from the duty to “consolidate accounts” (duty to draft accounts for the Group as well as individual accounts). The purpose of the consolidated annual accounts is to provide an overview of the economic activity, equity and results of the entire company, each having its own legal entity but depending on the same decision-making centre (the parent company).

d. A few Comparative Law Ideas on Company Law and Securities Markets: USA v EU

 

  • The USA has a tradition of «popular capitalism»  and a financial culture whereby corporations  often obtain funding mainly from investors that operate in the Stock Markets.
      • Company Law is mainly regulated by States. Company Law follows Model Laws (Model Business Corporation Act), as well as the General Corporations Law of the very influential State of Delaware.
      • Soft Law under the movement of «Corporate Governance » is very influential particularly from 1994 with the American Law Institute Principles of Good Corporate Governance.
      • Securities Laws are federalised, mainly with the Securities Act (1933) and the Securities Exchange Act of 1934. Both have been modified in many occasions (for instance with the Sarbanes-Oxley Act of 2002 and the Dodd Frank Act of 2010.
        • The Securities Exchange Act created the SEC, Securities Exchange Commission (a Supervisory and Regulatory Authority).
    • Europe.
      • Tradition of bank funding for big corporations
      • Continental European countries have a tradition of blockholders (shareholders with great stakes and long term interest in the companies).
      • There are differences in governance in different countries, ie:  board of directors of big companies in countries such as Spain or UK have only one Board of Directores. But such big corporations are have 2 Boards in countries such as Germany (one management board and one supervisory board). The legal reforms in Portugal, Italy, France….,  allow for choice, so that shareholders can decide if the company has 1 board or 2 Boards of directors
      • The movement of «Corporate Governance has also been very influential, since 1992, with the Cadbury Code (UK), the «Codigo Olivencia» and new the Código Unificado de Buen Gobierno de 2015 in Spain, etc. (See in this blog here and here)
        • Soft law Corporate Governance Recommendations have been made into law in many countries (in Spain with Ley 31/2014, de 3 de diciembre, por la que se modifica la Ley de Sociedades de Capital para la mejora del gobierno corporativo)
      • Following the 2007 crisis, the EU has tried to bring securities and markets issues to the EU legislation. This has not been achieved completely. However, MIFID2 (Markets in Financial Instruments Directive,2), MIFIR (Markets in Financial Instruments Regulation), and other legislation are harmonizing and unifying some aspects of Securities Laws. Since 2010 there are 3 independent financial authorities in the EU that help the EU Commission in the Supervision and Regulation of the Financial sector at EU level:
        • ESMA (European Securities and Markets Authority)
        • EBA (European Banking Authority)
        • EIOPA (European Insurance and Occupational Pensions Authority)

 

Trad B Valle

Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración

Entrada que debe actualizarse conforme al: Nuevo Esquema Nacional de Seguridad

 

Esquema Nacional de Seguridad en el ámbito de la administración electrónica ( ENS) está regulado en el Real Decreto 3/2010 de 8 de enero

Hamburgo. Ayuntamiento. Epc

El objeto del ENS es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”. En principio se aplica  sólo a las administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”. Pero, como veremos,  afecta también a algunas empresas del sector privado.

Es recomendable que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este ENS ya que el RGPD, exige aplicar  medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc. de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc. Pero además resulta obligatorio en los casos establecidos en la D.A. 1 de la Ley Orgánica 3/2018 de Protección de datos personales y garantía de derechos digitales, que se reproduce: 1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad. En 2010 se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.  Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos. En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Entre las obligaciones más destacables que derivan del ENS está la de clasificar los niveles de riesgo de ciberseguridad en tres grandes categorías (bajo, medio, alto) , así como  las correspondientes medidas aplicables a cada uno de esos niveles.

Otra obligación afecta a la gobernanza empresarial, pues conforme al ENS, las entidades afectadas deben nombrar a responsables específicos. Concretamente, conforme al art 10 del RD 3/2010 (ENS),  en los sistemas de información de las entidades sometidas a ese RD, se deben establecer tres figuras de responsabilidad distintas: el responsable de la información, el responsable del servicio y el responsable de la seguridad: El responsable de la información  será competente para determinar los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones  que deban adoptarse para satisfacer los requisitos de seguridad de la información y de los servicios.

Pero, adicionalmente, conforme al ENS la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. A todo esto se une que la política de seguridad de la organización, documento estratégico con el  que deben contar las entidades sometidas al ENS,  detallará las atribuciones de cada responsable, los mecanismos de coordinación y lo de resolución de conflictos.

Como adelantábamos, el ENS  también resulta aplicable a la empresa privada en algunos casos.

Para entender mejor el contexto,  recordemos que  la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD) adapta nuestro ordenamiento al Reglamento (UE) 2016/679”, RGPD. Y,  es aplicable tanto a la administración como a la empresa privada

  • El RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente el principio de “integridad y confidencialidad” establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental
  • El artículo 32 del RGPD, establece que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por tanto, las medidas de seguridad para proteger los datos personales no se recogen en una lista taxativa. Con este artículo 32, se introduce una suerte de  autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales, ya sean estos objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya

Vista de San Sebastian

La LOPD GDD, art 77, estableció, además, unos sistemas y medidas de protección de datos especiales ara la Administración Pública española. Ello se completa con la DA 1ª LOPD-GDD que establece un marco específico de seguridad en el sector público, a través del ENS, sustituyendo la autoevaluación del art 5.2 por un régimen específico para el sector público: “Medidas de seguridad en el ámbito del sector público:

  1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
  2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado
  3. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad

Por lo tanto, en la distintas entidades de la DA 1 , apartado 3 LOPD-GDD, ya sea en calidad de responsable o encargado del tratamiento, han de  categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y  de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema. Ello para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten,

Casamento no Pazo

Cualquier entidad  privada que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia. Y, en efecto, es habitual que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

¿El papel de responsable de seguridad en estas empresas podrá corresponder, es decir, coincidir con el  RSI o Chief Information Security Officer (CISO) que deriva del RD  43/2021 -dentro del desarrollo del paquete NIS (Network Information and Security) ; al que aludíamos en entradas anteriores? Conforme al art 7 apartado 5 delReal Decreto 43/2021,  así sería, al menos en el caso de las empresas privadas sometidas tanto a NIS como al ENS. 

El Responsable de Seguridad de la Información – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

El Boletín Oficial del Estado (BOE) publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El texto completa la incorporación del  la Directiva (UE) 2016/1148 del Parlamento Europeo y  del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea, conocida como Directiva NIS (Security of Network and Insformation Systems)

Cabanas, 2016

Recuérdese que a  finales del año 2018, la transposición de la citada Directiva NIS se llevó al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. que  regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea

En esta ocasión, el Real Decreto 43/2021, de 26 de enero, que publica el BOE, establece como ámbito de aplicación la prestación de los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Pero también la prestación de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

En el artículo 2.2. RD contempla que está sometidos a este nuevo Real Decreto «los operadores de servicios esenciales establecidos en España. En coherencia con lo ya expresado respecto de NIS, se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.» También «los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

Por contra, este Real Decreto no se aplica, según establece el artículo 2.3, a «los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.». Tampoco a «los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.«

Sanabria

Cabe destacar que en dicho Real Decreto:

  1. se establecen los requisitos de seguridad, así como las medidas para el cumplimiento de las obligaciones de seguridad,
  2. contempla en el plano normativo al responsable de la seguridad de la información o RSI, el CISO, que veíamos desarrollado en normas o estándares privados como ISO.
  3. se ocupa de la gestión de incidentes de seguridad
  4. detalla las obligaciones de notificación de los incidentes de los operadores de servicios esenciales: «Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción«, reza el artículo 9.1 de este RD.

El RSI o CISO (para OSE)

En relación con el Responsable de Seguridad de la Información, el artículo 7  del RD 43/2021 insta a que esta figura mantenga «una comunicación real y efectiva con la alta dirección». Además, señala que su posición debe «facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad». Esta figura, ya sea una persona, unidad u órgano colegiado, deberá contar con medios personales y materiales para desarrollar su función. Ejercerá de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicación únicamente a los OSE

Entre las funciones del RSI/CISO está el  elaborar las políticas de seguridad y proponerlas para su aprobación por la organización. Estas políticas han de incluir las medidas técnicas y organizativas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. Y, para prevenir y reducir al mínimo los efectos de los ciberincidentes

Se reproduce a continuación el art 7 del RD 43/2021:

Artículo 7. Responsable de la seguridad de la información.

  1. Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la información sea una unidad u órgano colegiado, se deberá designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.
  2. Los operadores de servicios esenciales comunicarán a la autoridad competente respectiva la designación del responsable de la seguridad de la información dentro del plazo establecido en el apartado anterior, así como los nombramientos y ceses que afecten a la designación del responsable de la seguridad de la información en el plazo de un mes desde que aquellos se produzcan.
  3. El responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la información, para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad  del Esquema Nacional de Seguridad,  a lo que dedicamos la siguiente entrada de este blog

Tratamiento de datos personales y discriminación algorítmica en el entorno asegurador. A propósito de un libro reciente

JUNQUEIRA, Thiago, Tratamento dos Dados Pessoais e Discriminacão Algorítmica nos Seguros, Thomson Reuters /Revista dos Tribunais, São Paulo, 2020.

(Prologado por Anderson Schreiber; presentado por Bruno Miragem)

Presentábamos recientemente para consultor jurídico de Brasil,  este libro recientemente recibido de allende los mares. Su autor Thiago Junqueira es Doctor en Derecho por la Universidad del Estado de Rio de Janeiro,  Profesor  y Abogado socio, del reconocido bufete Chalfin, Goldberg & Vainboim Advogados.  Se reproduce a continuación, con adaptaciones, esa reseña, ahora en el marco del blog DerMerUle

Es estudio de Junqueira parte de la idea del carácter innovador del mundo asegurador para el Derecho. Justifica su afirmación en la frecuencia con la que, en efecto, los contratos de seguros suelen anticipar hitos importantes en el devenir de la evolución de algunas relaciones jurídicas especialmente en Derecho  privado. A través de ejemplos y fundamentos doctrinales clásicos, entre los que resulta paradigmática la tendencia objetivadora de la responsabilidad civil asegurada; Junqueira conduce al lector a otros supuestos actuales como es el de a tutela de los datos personales  en el marco de la contratación de seguros. Si esta cuestión ya ha sido objeto de atención doctrinal en años recientes, mayor reflexión merece a la luz del tratamiento algorítmico automatizado que hoy subyace a los cálculos matemáticos y actuariales esenciales en la industria aseguradora. Y es que, el carácter carácter necesario de las informaciones (inputs) que necesita la industria para poder asegurar riesgos, no obsta para que el tratamiento que se realice con tales datos deba valorarse a la luz de los derechos que asisten a los asegurados, y en concreto frente a la prohibición de discriminación.

Las vías sugeridas por Junquira para aminorar los riesgos derivados del tratamiento automatizado en el caso de las aseguradoras  reflejan una investigación lúcida y un profundo conocimiento tanto del ámbito jurídico de la protección de datos, como del de la responsabilidad y del asegurador.

El autor de esta obra se basa en  el análisis de figuras e institutos jurídicos tradicionales, propios de la teoría dogmática más clásica en derecho de seguros continental, brasileño y anglosajón. No deja de lado, por tanto,  cuestiones relativas al análisis de riesgos, la elaboración de perfiles, o su relación con el cálculo de las primas. Pero además, introduce en sus reflexiones las formulaciones teóricas más avanzadas sobre la privacidad, protección de datos personales y discriminación directa e indirecta. Todo ello, a la luz de la reciente aprobación en el país brasileño de una nueva Ley General de Protección de Datos Personales – LGPD, que introduce entre otras instituciones, una regulación básica sobre la discriminación directa. También se contemplan en esta obra formulaciones científicas que se van asentando en la doctrina como la de la llamada “justicia actuarial” o de la intimidad informática, ahora aplicada a los tratamientos con inteligencia artificial.  Y es que el  panorama actual relativo a la discriminación por el tratamiento de datos en los seguros  tiene sus raíces  en formulaciones doctrinales y jurisprudenciales clásicas nacionales y comparadas, y se proyecta hacia nuevos panoramas

El volumen se divide en tres grandes partes.

  • En el primer capítulo se examina la clasificación de los riesgos por parte del asegurador en la llamada ciencia actuarial. Tras subrayar la base económica y social de la clasificación del riesgo, y su apoyo jurídico – normativo, el autor  aborda una cuestión nuclear: la dificultad de comprensión de los presupuestos y procesos actuariales para el iusprivatista.  Conceptos como el de «generalización del riesgo» o ll de la «correlación» , propios de formulaciones actuariales van más allá de la causalidad jurídica. También aborda la relación entre los criterios de medición actuarial utilizados por la aseguradora, con el deber de protección de la intimidad del asegurado y con las  prohibiciones de discriminación. En este sentido, destaca Junqueira  como  algunos datos personales, de género o de étnica son objeto de tratamiento con consecuencias discriminatorias directas o indirectas.
  • El segundo capítulo se centra en la dicotomía entre la necesidad de prevenir discriminaciones en el tratamiento inteligente de datos, y el requisito de valorar riesgos como base de la eficacia y de la sostenibilidad del negocio asegurador. Y, centrando la cuestión, investiga las posibles estrategias para prevenir la discriminación racial algorítmica en la clasificación de riesgos. A este respecto, Thiago Junqueira formula una proposición innovadora en el sentido de que la tutela frente a la discriminación en sus diversas facetas, debe observarse no sólo en su perspectiva directa, sino también en la indirecta. La discriminación indirecta es  más difícil de combatir pues a menudo se basa en datos de apariencia neutra.
  • En la parte final o tercer capítulo, posiblemente la más innovadora del libro, el Doctor ofrece estrategias preventivas en el tratamiento de datos,  en particular en lo relativo a evitar la discriminación racial  susceptible de general  discriminación indirecta. Así, en lugar de una aproximación de control en cuanto a los inputs, u informaciones de recogida por parte de los aseguradores, presenta la opción de favorecer un control de outputs, esto es de los servicios y ofertas aseguradoras para evitar también la discriminación indirecta. En efecto, frente a la fairness through blindness conocida en el mundo anglosajón,  actualmente se proponen regímenes de fairness through awareness (FTA). El FTA implica, o puede hacerlo, la necesidad de conocer datos sensibles por parte de la aseguradora, precisamente para equilibrar los cálculos actuariales en su programación automatizada basada en una justicia desde el diseño, design fairness o privacy from design. Son abundantes, pertinentes y muy interesantes las reflexiones doctrinales y jurisprudencia bien traída en este libro. Principalmente casos norteamericanos, de los que se evidencia que, frente a prohibiciones de discriminación directa que posiblemente puedan abordarse con cierto éxito desde la “ceguera”, la combinación de la automatización en las decisiones actuariales con la proyección de la discriminación indirecta evidencia la insuficiencia de un tratamiento consistente en la mera eliminación de datos. Apuntaría el autor, o eso creo, a favorecer una suerte de discriminación positiva en el cálculo algorítmico una “discriminación (positiva) por concienciación. Una discriminación, pero no tanto en lo relativo a los resultados, o dicho de otro modo, no tanto aplicando una reducción en la prima de seguros cuando el asegurado pertenezca a un grupo racial concreto. Sino, contrarrestando algunos efectos que la inteligencia artificial tiende a asignar, que derivan de cuestiones socio económicas y que en realidad, no tendrían impactos significativos sobre el riesgo pero que tienen consecuencias en el encarecimiento de los seguros para los grupos humanos en cuestión. En el fondo, se plantea la necesidad de que el legislador efectúe controles preventivos, más que a posteriori, para lograr un equilibrio entre nuevas tecnologías automatizadas y tutela de derechos fundamentales. Y, de contar con mecanismos comprensibles  que no abandonen del todo el ámbito del control humano y por tanto de la responsabilidad. En efecto transparencia y accountability se configuran en esta obra, como pilares en el devenir de una industria aseguradora apoyada en la inteligencia artificial,  pero no hasta el punto de abrazar sin filtro las inferencias y deducciones que conllevarían consecuencias nocivas en el terreno de los Derechos Humanos, entre ellos los derivados de la discriminación en el tratamiento automatizado de datos personales.

 

Las últimas páginas del libro se dedican a exponer en modo claro y sucinto el conjunto de 21 conclusiones a las que llega el Doctor, y a recoger la importante batería bibliográfica y documental nacional y comparada, en la que ha basado su investigación.

Reiteramos nuestra felicitación y agradecimiento por el regalo de este importante trabajo, quedamos a espera de las futuras obras del Doctor. Y, sin duda animamos a los interesados en tanto en el mundo asegurador, como en el de la inteligencia artificial desde el derecho privado, a utilizar este trabajo que encontrarán de gran utilidad.

Certificados de ciberseguridad en la UE. Gobernanza y competencias en el nuevo marco europeo de certificación

El Reglamento (UE) 2019/881 establece en sus arts. 46 y siguientes un marco europeo de certificación de la ciberseguridad para mejorar el funcionamiento del mercado interior.

 

Travellers’ Guide!

Conforme al art 46.2 del Reglamento 2019/881, el marco europeo de certificación de la ciberseguridad define un mecanismo destinado a instaurar esquemas (sistemas) europeos de certificación de la ciberseguridad y a confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

  • LOS ESQUEMAS EUROPEOS DE CERTIFICACIÓN DE LA CIBERSEGURIDAD SON, EN PRINCIPIO, VOLUNTARIOS, SALVO QUE SE INDIQUE LO CONTRARIO EN UNA NORMA DE LA UE, sustituyen a los análogos nacionales hasta la expiración de éstos últimos: Se orientan a la consecución de diversos objetivos de seguridad, como la protección de datos almacenados, transmitidos o procesados; categorizan el nivel de seguridad de los productos, servicios y procesos de TIC como «básico», «sustancial» o «elevado»; permiten que los fabricantes y proveedores de productos, servicios y procesos de TIC de bajo riesgo (es decir, «básicos») los evalúen ellos mismos («autoevaluación de la conformidad»); obligan a los fabricantes a incluir ciertas características, como una descripción precisa del propósito, el objeto y el alcance, así como los criterios de evaluación y los métodos empleados.

LA COMISIÓN EUROPEA:

    • publicará un programa de la UE de trabajo evolutivo en materia de certificación europea de la ciberseguridad en el que se identificarán las prioridades estratégicas y los productos, servicios y procesos (o categorías) de TIC que podrían beneficiarse de un esquema de certificación;
    • podrá solicitar a ENISA que prepare una propuesta de sistema de certificación o que evalúe uno existente.
    • evaluará periódicamente la eficacia y el uso de los esquemas de certificación adoptados y considerará si procede que alguno de ellos adquiera carácter obligatorio;
    • completará su primera evaluación detallada a más tardar el 31 de diciembre de 2023 y, posteriormente, cada dos años;
    • evaluará el impacto, la eficacia y la efectividad de ENISA a más tardar el 28 de junio de 2024 y, posteriormente, cada cinco años.

 

LOS PAÍSES DE LA UE:

  • Deben designar a una o más AUTORIDADES NACIONALES DE CERTIFICACIÓN DE LA CIBERSEGURIDAD  para controlar, supervisar y velar por la aplicación de las normas de los esquemas o sistemas europeos de certificación
  • Deben abstenerse de autorizar nuevos sistemas nacionales de certificación cuando ya exista un esquema europeo; si bien los sistemas (o esquemas) existentes, se mantienen en vigor hasta

ENISA:

    • Prepara proyectos de sistemas de certificación a petición de la Comisión o del GECC;
    • Evalúa cada sistema de certificación adoptado cada 5 años;
    • Mantiene un sitio web específico para facilitar información sobre los sistemas, los certificados y las declaraciones de conformidad.

 

Vidrieras Catedral Pristina

LOS FABRICANTES Y PROVEEDORES DE PRODUCTOS, SERVICIOS Y PROCESOS DE TIC CERTIFICADOS:

  • Deben publicar orientaciones y recomendaciones para que los usuarios finales puedan instalar, aplicar y mantener sus productos o servicios; así como el período para el que ofrecen asistencia en materia de seguridad, sus datos de contacto y referencias a repositorios en línea con información sobre asuntos conocidos de seguridad que afecten a sus productos o servicios.

LAS PERSONAS FÍSICAS Y JURÍDICAS:

    • tienen derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad y a recurrir a la tutela judicial efectiva a partir de la entrada en vigor de los artículos correspondientes de ese Reglamento, el 21.junio 2021 (el Reglamento no afecta a las responsabilidades de los países de la UE en materia de seguridad pública, defensa, seguridad nacional y Derecho penal)

ENISA, la (renovada) Agencia Europea de Ciberseguridad

El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69),  renueva el mandato de la Agencia Europea de Ciberseguridad, (de forma permanente a partir del 27 . 06. 2019)

 

ENISA está situada en Heraclitón, Grecia  desde 2004. Su misión es contribuir a la política cibernética de la UE, mejorar la confiabilidad de los productos, servicios y procesos de TIC fomentando la puesta en marcha de sistemas de certificación de ciberseguridad. Coopera con los Estados miembros para impulsar la resiliencia de la infraestructura de la Unión, así como para mantener la seguridad digital en la UE.

Las tareas de ENISA son, más concretamente:

  • contribuir al desarrollo y a la ejecución del Derecho de la UE en materia de ciberseguridad;
  • promover la creación de capacidades, la mejora de la prevención, la detección y el análisis de ciberamenazas,  así como de la respuesta a las mismas
  • apoyar el desarrollo de equipos de respuesta a incidentes de seguridad informática (CSIRT) y a la organización de ejercicios de ciberseguridad a escala de la UE;
  • apoyar la cooperación operativa de la UE, especialmente mediante su equipo de respuesta a emergencias informáticas de la UE (CERT-UE), que apoya el el intercambio de conocimientos y de mejores prácticas para el  mantenimiento de las redes de la UE y los CSIRT nacionales;
  • apoyar y promover el desarrollo y la ejecución de certificados de ciberseguridad de la UE para productos, servicios y procesos de TIC, en el marco de un nuevo marco europeo de certificación de la ciberseguridad;
  • recoger y analizar datos e información sobre ciberseguridad, especialmente sobre tecnologías emergentes, ciberamenazas e incidentes;
  • sensibilizar al público sobre los riesgos relacionados con la ciberseguridad, facilitar buenas prácticas para usuarios individuales y promover la concienciación y la educación en general en materia de ciberseguridad;
  • asesorar sobre necesidades y prioridades de investigación y contribuir a la agenda estratégica de la UE en materia de innovación e investigación de ciberseguridad;
  • contribuir a la  cooperación de la UE en el plano internacional.

La estructura administrativa y de gestión de ENISA está integrada por:

  • un Consejo de Administración con 1 representante de cada país de la UE y 2 miembros designados por la Comisión Europea, que establece la dirección general de las actividades de la agencia;
  • un Comité Ejecutivo de 5 miembros que prepara las decisiones que adoptará el Consejo de Administración;
  • un Director Ejecutivo independiente, que da cuenta de su gestión al Consejo de Administración e informa al Parlamento Europeo y al Consejo cuando así se le solicita, es el responsable de gestionar la agencia;
  • un Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, pymes, consumidores, académicos, y operadores de servicios esenciales, y también por representantes de las autoridades competentes recogidas en la Directiva (UE) 2018/1972 por la que se establece el Código Europeo de las Comunicaciones Electrónicas, organizaciones de normalización y autoridades de supervisión policial y de protección de datos, que se centra en asuntos de interés para las partes interesadas y los ponen en conocimiento de ENISA;
  • una red de funcionarios de enlace nacionales que consta de representantes de todos los países de la UE y que facilita el intercambio de información entre estos y ENISA, a la que apoya en la difusión de sus actividades, conclusiones y recomendaciones.
  • el Reglamento  configura ahora además un Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad, (GPICC)  compuesto por expertos de reconocido prestigio, que se encarga de asesorar a la Comisión en asuntos estratégicos relativos al marco de certificación de la UE en materia de ciberseguridad y a ENISA, si así lo solicita, sobre asuntos generales y estratégicos relativos a las labores pertinentes de la agencia; y un Grupo Europeo de Certificación de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisión en sus tareas para garantizar la coherencia en la ejecución y la aplicación del Reglamento, y a ENISA en lo concerniente a la preparación de posibles esquemas de certificación de la ciberseguridad.

ENISA ha firmado acuerdos con los organismos Europeos de Normalización (CEN, CENELEC, ETSI) y colaborará con ellos

ARES. Trabajos preliminares hacia una Propuesta de Directiva Europea para un Gobierno Corporativo Sostenible

Conocíamos a través de la reciente Winter Newsletter de Corporance, la importancia que los asesores de voto de inversores están reconociendo al impacto de las distintas perspectivas de Desarrollo Sostenible sobre la adopción corporativa de decisiones, así como  los trabajos preliminares para la posible adopción de una Propuesta de Directiva sobre Gobierno Corporativo Responsable por parte de la Comisión Europea.

La sostenibilidad se presentaría ahora, no tanto como un esfuerzo exclusivamente social o ambiental, ni siquiera como un tema vinculado únicamente al reporting de información no financiera . Por el contrario, la visión largoplacista  e incluso «institucional» en el sentido económico y jurídico más clásico constituiría un pilar muy importante en la reforma que se anuncia en ciernes.  En efecto, conforme al n estudio encargado por la Comisión Europea «Study on directors’ duties and sustainable corporate governance«, la presión hacia el rendimiento financiero cortoplacista que reciben los directivos de muchas entidades, especialmente las sociedades cotizadas en mercados oficiales de valores, podría poner en peligro una visión más a largo plazo que permita el mantenimiento y el crecimiento de las actividades corporativas a largo plazo. Este trabajo muestra , a nivel de tendencia en toda la UE y también con datos detallados, crecientes pagos de dividendos y recompra de acciones; que ha ido acompañada de un fuerte descenso en la proporción entre inversión empresarial (gastos de capital, gastos en I+D) e ingresos netos. En paralelo se ha identificado, también como resultado de las presiones cortoplacistas,  que frente a las alzas en las retribuciones a ejecutivos, los trabajadores no ejecutivos, cuyos salarios no se vinculan ni a la percepción de capital, ni a recibir sumas vinculadas al precio de los valores corporativos, se ha estabilizado o incluso disminuido.

La presión cortoplacista reduce la capacidad de las empresas para integrar las consideraciones de sostenibilidad en las estrategias y decisiones empresariales.  Así, se generan obstáculos para la integración de los aspectos medioamientales y sociales en las operaciones corporativas y en sus cadenas de suministro. Pero además, no se aprobechan plenamente las posibilidades de inversión que se apoyan en la sostenibilidad. Y, subyace en el fondo una cuestiçon normativa plenamente relacionada con el Derecho Mercantil y con los derechos de los administradores en la formulación que estos reciben en los distintos ordenamientos nacionales, con alguna excepción. Y por ello, la futura Propuesta ARES tendrá como objetivo mejorar el marco regulatorio del derecho de sociedades y el gobierno corporativo. Se pretende que proporcione mejores incentivos para que las empresas se centren en la creación de valor sostenible a más largo plazo, amparándose en el objetivo de alinear mejor los intereses de la empresa, de sus accionistas, grupos de interés y de la sociedad.

Más sobre esta materia: