Estás navegando por el archivo de Ciberseguridad en la empresa. Master U en Ciberseguridad.

Recomendaciones para una industria 4.0 ciber-segura. ENISA

el 21 junio, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad

ENISA publica sus recomendaciones (sectorializadas) sobre seguridad para la industria 4.0.

En este reciente trabajo de la Agencia Europea de Seguridad en las Redes y en Internet, se dan repaso a los principales retos identificados en el camino hacia una industria que aproveche plenamente las tecnologías 4.0, y en cada caso se realizan una serie de recomendaciones específicamente dirigidas a determinados stakeholders, o grupos de interesados.

El texto completo está disponible aquí

ENISA enumera recomendaciones de alto nivel a diferentes grupos de partes interesadas para promover la ciberseguridad de la industria 4.0 y facilitar una mayor asimilación de las innovaciones relevantes de forma segura.En este breve documento, ENISA sigue un enfoque holístico e integral de los problemas relacionados con la ciberseguridad en la industria 4.0; y  presenta retos con sus recomendaciones,  asociadas con una de las siguientes categorías: Personas, procesos y tecnologías.  Además, las recomendaciones son categorizadas en términos de los grupos destinatarios a los que se dirigen

Entre las recomendaciones se encuentran:

  • fomentar mediante incentivos la inversión industrial en tecnologías y entornos 4.0
  • avanzar en la clarificación de la imputación de responsabilidad a los actores que intervienen en procesos 4.0
  • mejorar la estandarización y normalización tecnológica y de procesos
  • establecer mecanismos especiales para la cadena de proveedores en los entornos industriales avanzados (4.0)
  • lograr consensos para la interoperatividad tecnológica aplicada
  • incrementar la seguridad en la industria 4.0

 

Plataformas P2P “crowdfunding” y regulación financiera para la protección minorista.

el 19 junio, 2019 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

La FCA anuncia medidas de regulación de las plataformas P2P

 

Houses of Parliament

La FCA, Autoridad supervisora del Reino Unido confirma, tras haber recibido los resultados de su reciente consulta pública, que intervendrá en el sector de las plataformas de financiación colectiva, P2P. Las líneas generales de la acción que se anuncia pueden deducirse del documento estratégico “Policy Statement”  Loan-based (‘peer-to-peer’) and investment-based crowdfunding platforms: Feedback to CP18/20 and final rules .

Entre las medidas regulatorias previstas están el establecimiento de límites a las inversiones en plataformas  P2P para clientes minoristas sin experiencia en el sector que no hayan  recibido asesoramiento financiero regulado. Por otra parte; también apunta la FCA hacia la imposición de requisitos explícitos sobre los sistemas de control y de gestión de riesgos de las  plataformas, al menos de unos requisitos mínimos que ofrezcan la posibilidad de evaluar el conocimiento y la experiencia de los inversores por parte de las plataformas.

Junto a las previsiones más directamente relacionadas con la protección directa de inversores minoristas, destacamos otras cuales son los planes de contingencia y cierre de las P2P.

Más: 

Directrices de ESMA sobre la liquidación de valores internalizada

el 24 mayo, 2019 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad

La liquidación de operaciones con valores, particularmente cuando se realizan en sistemas privados o cerrados ajenos a cámaras de compensación, siguen constituyendo un reto para la estabilidad de los mercados, circunstancia por la que se publican estas Directrices:

Directrices sobre la notificación de liquidaciones internalizadas con arreglo al artículo 9 del Reglamento sobre liquidación y depositarios centrales de valores (30/04/2019 | ESMA70-151-367 ES)

Vista de San Sebastian

Contexto

El art. 9 del Reglamento (UE) no 909/2014del Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre la mejora de la liquidación de valores en la Unión Europea y los depositarios centrales de valores y por el que se modifican las Directivas 98/26/CE y 2014/65/UE y el Reglamento (UE) no 236/2012,  fija las bases para la regulación de las entidades que realizan liquidaciones en esos sistemas cerrados, en especial en lo relativo a las notificaciones que han de efectuar a las autoridades nacionales competentes, en relación con sus actividades liquidadoras.  Además, el  Reglamento Delegado (UE) 2017/391 de la Comisión completa el mencionado Reglamento (UE) n.° 909/2014 en lo que respecta a las normas técnicas de regulación y especifica el contenido de la información que debe comunicarse sobre las liquidaciones internalizadas.  Finalmente, y a efectos de ejecutividad, ESMA ha emitido unas directrices, que han sido objeto de traducción oficial por la misma autoridad, y que han sido comunicadas a las autoridades supervisoras nacionales (ANC) a los efectos de que éstas hagan lo posible por seguirlas en virtud de lo dispuesto en el art 16 del Reglamento n.º 1095/2010 (Reglamento ESMA).

Internalización de la liquidación

 

Conforme al art 2 del  Reglamento (UE) n.º 909/2014 un «internalizador de la liquidación» es una entidad que ejecute órdenes de transferencia por cuenta de clientes o por cuenta propia por medios distintos de un sistema de liquidación de valores en sentido propio.

  • Se incluyen en el concepto de internalizador  las entidades autorizadas con arreglo a la Directiva 2013/36/UE (relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión ) y a la Directiva 2014/65/UE (MIFID II).
  • En cambio se excluyen del concepto de internalizador de la liquidación  las entidades que liquiden en  cámaras de compensación y  sistemas de liquidación de valores propiamente dicho (art 10.2 Reglamento (UE) 909/2014).
    • Recuérdese que el sistema de liquidación de valores  se compone al menos de  tres  participantes (pudiendo ser excepcionalmente reconocido como sistema aquel en el que únicamente participen dos entidades), sin tener en cuenta la concurrencia de agentes de liquidación, ni de contrapartes centrales,  ni de cámaras de compensación, ni tampoco de posibles participantes indirectos que pueden estar presentes. En ese sistema rigen normas comunes  y disposiciones normalizadas para la ejecución de órdenes de transferencia entre los participantes en él (Directiva 98/26/CE).

De conformidad con el Reglamento (UE) n.o 909/2014 y su Reglamento Delegado, los internalizadores de la liquidación deben informar a sus ANC de las las liquidaciones que internalicen, remitiendo información detallada sobre el volumen y valor agregados de las instrucciones de liquidación liquidadas al margen de los sistemas de liquidación de valores, especificando la clase de activo, el tipo de operaciones con valores, el tipo de clientes y el depositario central de valores emisor.  en efecto, deben notificar las liquidaciones internalizadas cuando ejecuten instrucciones de liquidación de sus clientes mediante anotación en sus propios libros. Sin embargo, no deben notificar posteriores ajustes de posiciones contables realizados para reflejar la liquidación de instrucciones por otras entidades de la cadena de tenencia de valores ni tampoco las operaciones ejecutadas en centros de negociación y transferidas por estos a una entidad de contrapartida central para su compensación o a un DCV para su liquidación.

Hamburgo. Ayuntamiento. Epc

Conforme al art  1 del Reglamento Delegado (UE) 2017/391 una    «instrucción de liquidación internalizada» es toda instrucción de un cliente del internalizador de la liquidación de poner una cantidad de dinero a disposición del destinatario o de que se transfiera la titularidad o el derecho correspondiente a uno o varios valores mediante una anotación en un registro o de otra forma, y que el internalizador de la liquidación líquida en sus propios libros y no mediante un sistema de liquidación de valores. Por contra, «instrucción de liquidación internalizada fallida» es una operación con valores que no llega a liquidarse o se liquida parcialmente en la fecha acordada por las partes afectadas debido a la falta de valores o de efectivo, con independencia de la causa subyacente.

Las Directrices

 

Conforme al apartado 4.2 de este documento, las ANC, destinatarias del mismo, deben notificar a ESMA si las cumplen o si tienen intención de cumplirlas o al menos explicarán los motivos por los que no lo harán, todo ello  en un plazo de dos meses a partir de la fecha de publicación en la web de la ESMA en todas las lenguas oficiales de la UE. En cambio, los internalizadores de liquidación no están obligados a comunicar directamente a ESMA si las siguen o no.

En cuanto al alcance de las notificaciones:

Rey Alfonso V de León, el de los buenos fueros

  • incluye operaciones de compra-venta de valores, gestión de garantías reales, préstamos, recompras, operaciones con valores entre cuentas de fondos de inversión distintos, ejecución de órdenes de transferencia en la cuenta propia del internalizador de la liquidación, siempre y cuando deriven de operaciones de valores con clientes del internalizador de la liquidación, transferencia de valores entre dos cuentas de valores del mismo cliente, acuerdos de garantía financiera con cambio de titularidad, o con transferencia de valores entre cuentas  como se establece en la Directiva 2002/47/CE  y operaciones pendientes de liquidar afectadas por modificaciones resultantes de acciones corporativas que cambian los valores objeto de la operación (corporate actions on flow represented by transformations). Además deben concurrir en estas operaciones varias circunstancias,por un lado la retención en el propio internalizador de una parte de las órdenes de liquidación recibidas de un cliente (instrucción fallida), y por otro  que la liquidación que resulta se transforme en meros movimientos internos entre cuentas del internalizador.

 

Las Directrices hacen también referencia a las operaciones excluidas de la notificación, e incluso aportan ejemplos para facilitar la comprensión. Incorporan parámetros sustantivos  que los internalizadores deben notificar a su ANC. Pero también  establecen códigos formales de notificación, como el ISIN, LEI, entre otros. Además, ofrecen orientaciones para la comunicación de estas informaciones desde cada ANC a ESMA, incluyendo el informe de las ANC sobre riesgos potenciales derivados de la liquidación internalizada. A su vez establecen que ESMA deberá facilitar el acceso  de las ANC a sus informaciones. Concluyen con anexos y gráficos que completan este instrumento  normativo de post contratación.

Transferencia de datos entre autoridades de supervisión financiera del EEE y de terceros países: Dictamen favorable del SEPD sobre el borrador de acuerdo de garantías

el 15 abril, 2019 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

El Supervisor Europeo de Protección de Datos, SEPD, emite su Dictamen 4/2019, sobre el proyecto de acuerdo administrativo para la transferencia de datos personales entre las Autoridades de Supervisión Financiera del Espacio Económico Europeo (“EEE”) y las Autoridades de Supervisión Financiera no pertenecientes al EEE (12 de febrero de 2019).

Campus universitario de León. By M.A Díaz

De acuerdo con el Reglamento General Europeo de Protección de Datos , los datos personales pueden ser transferidos de un país del EEE a un tercer país cuando se ofrezcan las garantías adecuadas. Una de las formas de proporcionar las salvaguardas es mediante un acuerdo administrativo entre los poderes públicos. Pues bien, el Dictamen 4/2019 del SEPD , on the draft Administrative Arrangement for the transfer of personal data between European Economic Area (“EEA”) Financial Supervisory Authorities and non-EEA Financial Supervisory Authorities de 12 de febrero de 2019 da el visto bueno al borrador de acuerdo administrativo relativo a la trasferencia de datos personales entre autoridades europeas de supervisión financiera (y de las Autoridades Nacionales Competentes) con  Autoridades de supervisión de terceros países. Este acuerdo ha sido promovido desde ESMA, actuando en un papel de colaboración y coordinación con las Autoridades Nacionales Competentes en el EEE.

 

Primavera, by M.A. Díaz

Teniendo en cuenta los compromisos de las autoridades nacionales de terceros Estados, que ratificarán mediante la firma de este Acuerdo para poner “en vigor las salvaguardias adecuadas para el tratamiento de datos personales en el ejercicio de sus respectivos mandatos y responsabilidades reglamentarios” y para “actuar de forma coherente con el Acuerdo”, el SEPD considera que el acuerdo garantiza las salvaguardias precisas cuando los datos personales sean trasferidos a organismos públicos de terceros países no cubiertos por una decisión de adecuación de la Comisión Europea. Eso sí, el SEPD recuerda que, de acuerdo con el principio de rendición de cuentas, cada ANC y la ESMA mantendrán registros de la información para facilitar la tarea de supervisión de las autoridades. La información deberá, en cualquier caso, ponerse a disposición de las autoridades competentes, a petición de éstas. Por tanto, el SEPD considera, según se pone de manifiesto en este dictámen, que el acuerdo garantiza las salvaguardias precisas, incluso cuando los datos personales sean trasferidos a futuros suscriptores del mismo como son los organismos públicos de terceros países no cubiertos por una decisión de adecuación de la Comisión Europea. Y esta opinión ya sido acogida positivamente también desde fuera de la UE como lo ha manifestado IOSCO que actualmente cuenta con un Acuerdo Marco en virtud del cual se intercambian información 121 supervisores  y reguladores de valores; que anuncian su intención de suscribir este acuerdo.

Además, el SEPD  recuerda que, de acuerdo con el principio de rendición de cuentas, cada ANC y la ESMA deberán mantener registros de la información para facilitar la tarea de supervisión de las autoridades. La información deberá, en cualquier caso, ponerse a disposición de las autoridades competentes, a petición de éstas.

Este dictamen, primero de este tipo, permitirá el intercambio continuo de información sobre el cumplimiento de la normativa financiera y de mercados. Ya ha sido acogido positivamente por ESMA y por organizaciones internacionales como IOSCO, que ya ha anunciado su interés por participar en el Acuerdo liderado por ESMA

Prioridades de Supervisión de ESMA para el año 2019

el 29 marzo, 2019 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, DM3- Contratos mercantiles. Grado en Derecho, DM_Publicidad, Mucaf

ESMA hace públicas sus prioridades supervisorias para 2019, ejercicio durante el que la autoridad europea se centrará de modo particular en aspectos de la supervisión de las Agencia de Calificación de Crédito (CRAs) y los Repositorios de Comercio

El programa de prioridades en materia de Supervisión de ESMA fue hecho público el 19.02.2019, (ESMA80-199-273)  detalla las principales áreas en las que se centrará ESMA en su labor de supervisión este año, en relación con los Repositorios de Comercio (TR), las Agencias de Calificación Crediticia (CRA) y  con el seguimiento de ciertas Infraestructuras de mercado de terceros países, como las contrapartes centrales de compensación de terceros países (TC-CCP) y los Depósitos de valores centrales de terceros países (TC-CSD). Debe recordarse, en este sentido que ESMA actualmente supervisa directamente ocho TR y 27 CRA y que es responsable de cuatro CRAs certificadas y 32 TC-CCPs.

Iglesia de San Salvador de Palat del Rey, León (España). By M.A. Díaz.

Para las CRA y TR en la UE las prioridades de supervisión incluyen:

  • El almacenamiento en los TRs de datos de calidad y  el acceso a los mismos por parte de las autoridades públicas;
  • La planificación de la continuidad del negocio de los TR,  el carácter fiable de los procesos y sistemas de TI y la función de seguridad de la información;
  • Los riesgo de cartera de las CRAs y la calidad del proceso de calificación;
  • La Ciberseguridad de las CRA;
  • El Reconocimiento de Contrapartes centrales del Reino Unido en un escenario Brexit sin acuerdo; y
  • La evaluación de las solicitudes pendientes de reconocimiento de 19 TC-CCP  y de TC-CSD,  respecto de las cuales realizará un seguimiento de riesgos.

 

Además, hay áreas en las que existen problemas comunes entre los TR y los CRA en los que la AEVM realizará trabajos adicionales, como el Brexit, los precios que cobran por sus servicios,  la eficacia de los sistemas de control interno y el uso de nuevas tecnologías.

Propuesta de la segunda edición del programa de financiación de proyectos clave en los ámbitos del transporte, la tecnología digital y la energía mediante el mecanismo «Conectar Europa» (MCE) para el periodo 2021 a 2027.

el 21 marzo, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM3- Contratos mercantiles. Grado en Derecho, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

 

Como pone de manifiesto el Consejo de la UE en el Comunicado de prensa de 13 de marzo de 2019 (aquí) se prorroga el programa de financiación de proyectos clave en los ámbitos del transporte, la tecnología digital y la energía mediante el mecanismo «Conectar Europa» (MCE) para el periodo  2021 a 2027.

By M.A. Díaz

El Comité de Representantes Permanentes de los Gobiernos de los Estados miembros (COREPER), órgano interno del Consejo de la Unión Europea, ha confirmado que han llegado a una interpretación común con el Parlamento respecto a la prórroga del programa emblemático, el Mecanismo «Conectar Europa».

Como se recordará, el Comité de Representantes Permanentes o Coreper (artículo 240 del Tratado de Funcionamiento de la Unión Europea, TFUE) (aquí), se encarga de preparar los trabajos del Consejo de la Unión Europea. Está constituido por los representantes de los países de la UE ante la Unión Europea, que tienen rango de embajadores, y lo preside el país de la UE que ejerce la presidencia del Consejo de la Unión Europea.

La UE quiere asegurarse de que este programa estrella, el Mecanismo «Conectar Europa» (MCE), siga financiando proyectos clave en los ámbitos del transporte, la tecnología digital y la energía después de 2020. El Comité de Representantes Permanentes del Consejo confirma así la interpretación común alcanzada por la Presidencia rumana y el Parlamento Europeo sobre la propuesta de iniciar la segunda edición del programa, que comenzará en 2021 y finalizará en 2027.

Exponemos a continuación los extremos destacados en el mencionado Comunicado de prensa:

  • La interpretación común afecta a todas las disposiciones del Reglamento excepto las cuestiones financieras y horizontales, que se están abordando en otro contexto; a saber:  de las negociaciones sobre el próximo marco financiero plurianual (MFP), que cubrirá el período 2021-2027.
  • En cuanto al transporte, el MCE persigue el fomento de la interoperabilidad y la multimodalidad de las redes para desarrollar y modernizar las infraestructuras ferroviarias, de carretera, de vías navegables interiores y marítimas, así como una movilidad segura y protegida. La prioridad se centra fundamentalmente en un mayor desarrollo de las redes transeuropeas de transporte (RTE-T), poniendo especial énfasis en los proyectos transfronterizos con valor añadido europeo. Conforme a estos objetivos se parte de que el MCE 2.0 va a garantizar que, una vez se haya adaptado la infraestructura para mejorar la movilidad militar dentro de la Unión, ésta sea compatible con el doble uso, atendiendo a las necesidades tanto civiles como militares.
  • En relación con el sector de la energía, se entiende que el programa va a coadyuvar a  una mayor integración del mercado europeo de la energía, mejorando la interoperabilidad de las redes energéticas a través de las fronteras y los sectores, facilitando la descarbonización y garantizando la seguridad del suministro. Asimismo, con el programa se persigue financiar proyectos transfronterizos en el ámbito de las energías renovables. Los criterios de adjudicación especificados pasan por tener en cuenta la coherencia con los planes de energía y clima nacionales y de la UE, incluido el principio de «primero, la eficiencia energética». Se prevé que la Comisión evaluará de aquí a 2020 si la normativa en materia de redes transeuropeas de transporte (RTE-T) se ajusta a los objetivos climáticos y energéticos de la UE.
  • En cuanto a la conectividad digital, se amplía el alcance del programa en aras a lograr la transformación digital de la economía y la sociedad, que va a depender -en buena medida-  del acceso universal a redes fiables y asequibles de alta o muy alta capacidad. Se tiene presente que la conectividad digital constituye un factor decisivo para colmar las diferencias económicas, sociales y territoriales. Se establece que para que un proyecto pueda optar a recibir ayuda del MCE, tendrá que contribuir al mercado único digital y a los objetivos de conectividad de la UE. Se consideran prioritarios los proyectos que creen cobertura geográfica adicional para los hogares.
  • Señaladamente, el programa concede particular relevancia a las sinergias entre los sectores del transporte, la energía y la tecnología digital, en orden a maximizar  la eficacia de la acción de la UE y optimizar los costes de ejecución. En esta línea, contempla  posibles programas de trabajo intersectoriales con el fin de intervenir en ámbitos como la movilidad conectada y automatizada o los combustibles alternativos.
  • Junto a lo anterior, la propuesta trata de integrar la acción por el clima, teniendo en cuenta los compromisos de descarbonización a largo plazo de la UE, como el Acuerdo de París.
  • Aunque habrá que esperar qué sucede en las etapas siguientes, del Comunicado de prensa se infiere que el Consejo confía en que las negociaciones con el próximo Parlamento Europeo se inicien lo antes posible, y prosigan en el sentido de continuar por los derroteros y avances que han quedado plasmados en la interpretación común.
  • Finalmente se señala que durante las negociaciones ha de tenerse presente  el acuerdo global relativo al marco financiero plurianual para el período 2021-2027.

By M.A. Díaz

Para más detalles, véanse:

Proyecto de Reglamento por el que se establece el Mecanismo «Conectar Europa»: informe de situación

Marco financiero plurianual: determinación del gasto de la UE (información de referencia)

Identificación y autorización de inversores HFT

el 15 marzo, 2019 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad

A propósito de la negociación algorítmica de alta frecuencia, HFT

  • Los mecanismos para identificar si se considera que una entidad está aplicando una técnica HFT se identifican en el artículo 19 del Reglamento (UE) 2017/565 de la Comisión: a) al menos dos mensajes por segundo con respecto a cualquier instrumento financiero negociado en un centro de negociación; y b) al menos cuatro mensajes por segundo con respecto a todos los instrumentos financieros negociados en un centro de negociación, parámetros que son completados en ese artículo,  y así, se incluirán en el cálculo los mensajes relativos a instrumentos financieros para los que exista un mercado líquido en los términos del artículo 2, apartado 1, punto 17, del Reglamento (UE) n.o 600/2014 (MIFIR); y también los mensajes introducidos con fines de negociación que cumplan los criterios del artículo 17, apartado 4, de la Directiva 2014/65/UE (MIFID 2). En cambio, se excluirán se excluirán de los cálculos de la  tasa de mensajes intradía en relación con los proveedores de acceso electrónico directo los mensajes que procedan de sus clientes  que accedan usando ese AED (DEA).

Find the Dodo in this window…!

Estos requisitos además se explican en el documento de ESMA (Q&A on Market Structure). Según la respuesta 5 actualizada en abril de 2017, las entidades deben revisar sus actividades de negociación al menos una vez al mes para autoevaluarse. Y, pueden, como miembros o como participante,  pedir a los centros de negociación una estimación del número medio de mensajes por segundo que emitieron, dos semanas después del final de cada mes natural. Con este fin, los centros de negociación sólo deben incluir mensajes generados por algoritmos en el transcurso de la actividad del miembro o participe o cliente, aunque las entidades emisoras son las responsables de garantizar que las estimaciones reflejan con precisión su actividad comercial real (y, en particular, que sólo tiene en cuenta actividad comercial algorítmica propia de la cuenta sobre instrumentos líquidos, excluyendo, en el caso de Proveedores de DEA, mensajes enviados por clientes de DEA utilizando el código de la empresa, acceso esponsorizado). Cuando una empresa realiza actividades de HFT (como se ha descrito anteriormente) y no está autorizada a hacerlo en virtud de la MiFID II, está obligada a solicitar inmediatamente la autorización que se le exige en el marco de la Artículo 2, apartado 1, letra d), inciso iii), de la MiFID II. Y, ademas, como es común para las entidades que negocien algoritmicamente en general, debe notificarlo a la ANC de su Estado miembro de origen y a la ANC o AANNCC de los centros de negociación en los que opera como miembro o como participante.

  • En cuanto a aquellos inversores que acceden a los centros de negociación utilizando el código de un proveedor de acceso directo (DEA- esponsorizado), aclara la respuesta 6, también de abril de 2017, que  si pueden considerarse operadores HFT. Como ya se establece en el considerando 20 del Reglamento (UE) 2017/565 de la Comisión, los usuarios de servicios de acceso directo a centros de negociación, DEA, pueden ser clasificados como HFT si cumplen las condiciones establecidas en el artículo 4, apartado 1, punto 40, de la MiFID II y artículo 19 del Reglamento delegado de la Comisión (UE) 2017/565. Y, para evaluar si un usuario de la DEA cumple los umbrales de mensajes aplicables, los inversores que utilicen acceso directo pueden contactar a su proveedor de acceso, quien está obligado a registrar los datos relativos a los pedidos presentados, incluidas las modificaciones y cancelaciones en virtud del artículo 21, apartado 5, de la RTS 610

Más en detalle:

ICO y criptoactivos. Nuevo informe de ESMA

el 13 febrero, 2019 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

Los activos representados criptográficamente necesitan, cuando menos,  ser abordados bajo un enfoque común a escala de la UE para garantizar la protección de los inversores

 

Casamento no Pazo

La Autoridad Europea de Valores y Mercados (AEMV) publicó su dictamen dirigido a las Instituciones de la Unión Europea (UE) – Comisión, Consejo y Parlamento  las emisiones iniciales de “criptoactivos” initial coin offering (ICO). La referencia del documento Advice Initial Coin Offerings and Crypto-Assets es  : ESMA 50-157-1391, de 09.01.2019.,

El él  se da repaso a las normas vigentes aplicables a los activos representados criptográficamente que pueden considerarse instrumentos financieros, y expone la posición de la AEVM sobre posibles lagunas relativas al actual marco reglamentario financiero de la UE para su consideración por parte de los responsables políticos de la UE.

La AEVM emite el informe tras trabajar con las Autoridades Nacionales Competentes (ANC) en el análisis de los diferentes modelos de negocio de los activos representados criptográficamente, los riesgos y beneficios potenciales que pueden presentar  y sobre cómo encajan en el marco reglamentario existente.  Este trabajo incluye una encuesta a las autoridades nacionales competentes (ANC) durante 2018,  y la identificación de aspectos poco claros  en el marco reglamentario financiero actual en relación con los activos representados criptográficamente.

El sector de los criptoactivos sigue siendo modesto en tamaño y la AEVM no considera que actualmente plantee problemas de estabilidad financiera. Sin embargo, la AEVM manifiesta que plantean ciertos riesgos que plantea para la protección del inversor y para la integridad del mercado. La AEVM identifica los más significativos riesgos como el fraude, los ciberataques, el blanqueo de capitales y la manipulación del mercado.  Señala también que pueden traer consigo beneficios en las ICO, siempre y cuando existan las salvaguardias apropiadas. Llama también la atención sobre la circunstancia de que el desarrollo de la representación de los activos tradicionales en modo de cadenas de bloques (DLT) en los que se apoyan los criptoactivos  todavía se encuentra en una fase muy temprana.

Otras cuestiones a resolver las divide en dos categorías:

NYC_by Jara IPM. One Trade Center Tower

  • Para los activos criptográficos que se califican como instrumentos financieros conforme a MiFID, hay áreas que exigen una posible interpretación o reconsideración de los requisitos específicos que permitan una aplicación efectiva de la normativa existente.
  • Cuando estos activos no califiquen como instrumentos financieros, la ausencia de normas financieras exponen a los inversores a riesgos considerables. Como mínimo, la AEVM considera que los requisitos contra el blanqueo de capitales deben aplicarse a todos los activos representados criptográficamente , así como a todas las actividades que los involucren.  Además, el riesgo para consumidores debe valorarse y comunicarse para que los consumidores puedan ser conscientes de los riesgos potenciales antes de que se produzcan, y antes de comprometerse en su adquisición.

El informe toma su base, además de en las colaboraciones con las ANC antes expresadas en el anterior de ESMA, . ‘The Distributed Ledger Technology Applied to Securities Markets’, Febrero 2017.

Más: 

 

El AG matiza el ámbito territorial del derecho al olvido recomendando que la desreferenciación tenga alcance sólo en la UE

el 23 enero, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho

Conclusiones del Abogado General en el asunto C-507/17 Google v. Comisión Nacional de Informática y Libertades, CNIL (Francia)

 

Subyace en este asunto, la decisión de la CNIL de Francia por la que requirió a Google para que tras haber estimado una solicitud presentada por una persona física para que se suprimieran de la lista de resultados obtenida  al efectuar una búsqueda a partir de su nombre,  aplicase tal supresión en todas las extensiones de nombre de dominio de su motor de búsqueda.

Google no cumplió en el sentido de que los datos seguian siendo accesibles desde fuera de la UE, y la CNIL le impuso multa de 100.000€, alcanzando la cuestión, por la vía prejudicial de varias cuestiones formuladas por el Conseil D’Etat, al TJUE.

En su primera pregunta, el Conseil d’État pregunta al TJUE, en esencia, si el operador de un motor de búsqueda está obligado, al otorgar una solicitud de desreferencia (derecho de olvido), a realizarla en todos los nombres de dominio de su motor para que los enlaces polémicos ya no aparezcan independientemente del lugar desde donde se realice la búsqueda.

Mediante su segunda pregunta, el Consejo de Estado de Francia, órgano jurisdiccional nacional, trata de determinar si el operador del motor de búsqueda solo está obligado, al otorgar una solicitud de olvido, a eliminar los enlaces en disputa de los resultados mostrados  en cada búsqueda realizada desde un nombre de dominio correspondiente al Estado donde se considera que se realizó la solicitud o, más generalmente, en los nombres de dominio de todos los Estados miembros de la UE.

 La tercera pregunta, busca establecer si el operador de un motor de búsqueda que accede a una solicitud de olvido debe eliminar, mediante la llamada técnica “geo”. -bloqueo “, de una dirección IP conocida ubicada en el estado de residencia del beneficiario del “derecho al olvido”, los resultados polémicos de las búsquedas realizadas  sobre ese beneficiario, o incluso,  desde cualquier dirección IP ubicada en uno de los Estados miembros sujetos a la Directiva 95/46, independientemente del nombre de dominio utilizado en la búsqueda.

El Abogado general,  analiza las aportaciones de las partes a la luz de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (vigente en el momento de los hechos valorados) si bien también se apoya en el Reglamento (UE) 2016/679 que la deroga y que constituye el régimen vigente actualmente; de los derechos fundamentales, y de la STJUE Google v Spain (C‑131/12, EU:C:2014:317). Considera que tales fundamentos jurídicos no imponen la territorialidad en la desreferenciación. Y, sobre esa base el Abogado General señala que a diferencia de otros ámbitos como puede ser el derecho de marcas donde si se admiten los efectos extraterritoriales de la legislación de la UE, el tratamiento de la información en Internet debe ser distinto.  Añade que de  admitirse una desreferenciación a escala mundial, las autoridades de la Unión no estarían en condiciones de definir y determinar el derecho a recibir información y aún menos de ponderarlo con otros derechos  fundamentales como la protección de datos y la vida privada, sobre todo, porque el interés del público en acceder a la información variará obligatoriamente, según su localización geográfica, de un tercer Estado a otro.

Opina el AG que  de procederse a una desreferenciación a escala mundial, se correría el riesgo de impedir acceder a la información a personas de terceros países y de que, recíprocamente, terceros Estados impidiesen acceder a la información a las personas de los Estados de la Unión. Y, si bien no excluye que puedan darse casos en los que se imponga la desreferenciación total, el asunto analizado no estaría entre ellos.

A la espera de la sentencia, el Abogado General recomienda  que, una vez establecido el derecho a la desreferenciación en la Unión, el gestor de un motor de búsqueda debe tomar todas las medidas a su disposición, incluida la del «bloqueo geográfico», para garantizar una desreferenciación eficaz y completa en todo el territorio de la Unión Europea desde una dirección IP que se presuma  que esté localizada en uno de los Estados miembros, con independencia del nombre de dominio empleado por el internauta que efectúa la búsqueda.

Estas conclusiones se pueden leerse aqui

Más:

Derecho al olvido, datos sensibles especialmente protegidos, y los gestores de búsqueda. Conclusiones del Abogado General del TJUE

el 21 enero, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad

En el asunto Caso C – 136/17, el Abogado General Szpunar propone al Tribunal de Justicia que declare que los gestores de motores de búsqueda deben aceptar sistemáticamente las solicitudes de desreferenciación de datos sensibles, si bien, dichos gestores deben garantizar la protección del derecho de acceso a la información y del derecho a la libertad de expresión.

En los hechos subyacentes encontramos el conflicto entre varios particulares y la Commission nationale de l’informatique et des libertés (Francia) (CNIL) en relación con cuatro decisiones adoptadas por ésta que se negó a requerir a Google Inc. para que procediera a la desreferenciación de diversos vínculos incluidos en la lista de resultados obtenida a raíz de una búsqueda efectuada a partir de sus apellidos, y que llevan a páginas de Internet publicadas por terceros.

Las páginas de Internet en cuestión contenían un fotomontaje satírico contra una política, publicado usando un pseudónimo;  un artículo sobre el responsable de relaciones públicas de la Iglesia de la Cienciología (uno de los interesados);  la investigación de la que fue objeto un político y la condena de otro interesado por hechos constitutivos de un delito de agresión sexual a un menor.

Carnaval.-

Habiendo interpuesto los interesados sendos recursos ante el Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia) mediante los que impugnan las decisiones de la CNIL de negarse a requerir a Google para que proceda a la desrefererenciación solicitada, dicho órgano jurisdiccional plantea varias cuestiones al Tribunal de Justicia en relación con la interpretación de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en vigor a la sazón).

 

  • Mediante su primera cuestión prejudicial, el Conseil d’État desea saber si los gestores de motores de búsqueda se hallan sometidos a la prohibición de tratar datos pertenecientes a ciertas categorías especiales (como son las opiniones políticas, las convicciones religiosas o filosóficas, o la sexualidad), que como es sabido se someten a especialidades en el ámbito del tratamiento de datos. En sus conclusiones el Abogado General Maciej Szpunar interpreta las disposiciones de la Directiva 95/46 de modo que se tengan en cuenta las responsabilidades, competencias, y posibilidades de los motores de búsqueda. Así, subraya, que las prohibiciones y restricciones establecidas en la Directiva 95/46 no pueden aplicarse a los gestores de motores de búsqueda como si ellos mismos hubieran incluido los datos sensibles en las páginas de Internet referenciadas. Dado que  los motores de búsqueda no intervienen hasta después de la publicación en línea de los datos (sensibles), tales prohibiciones y restricciones solo pueden aplicárseles en razón de esa referenciación, realizando una verificación a posteriori cuando la persona afectada presente una solicitud de olvido. El AG propone al TJUE que la prohibición de tratar datos pertenecientes a ciertas categorías especiales impuesta a los demás responsables del tratamiento  si se aplica a las actividades de los gestores de motores de búsqueda.
  • La segunda cuestión planteada por el Conseil d’État al Tribunal de Justicia versa sobre la existencia de una obligación sistemática de desreferenciación a cargo de los gestores de motores de búsqueda. El Abogado General recuerda que la Directiva 95/46 prohíbe el tratamiento de datos sensibles. En consecuencia, afirma que la prohibición impuesta a los gestores de motores de búsqueda de tratar datos sensibles les obliga a aceptar sistemáticamente las solicitudes de desreferenciación relativas a vínculos que lleven a páginas de Internet en las que figuren tales datos sensibles, sin perjuicio de las excepciones previstas en la Directiva 95/46. El Abogado General considera, en efecto, que resultan aplicables las excepciones a la prohibición de tratamiento de datos sensibles previstas en la Directiva 95/46, si bien es cierto que algunas de esas excepciones parecen  teóricas en lo que concierne a su aplicación a los motores de búsqueda.
  • Después, el Abogado General aborda la cuestión de las excepciones autorizadas en virtud de la libertad de expresión y de su conciliación con el derecho al respeto de la vida privada.  Propone al Tribunal de Justicia que responda que, cuando el gestor de un motor de búsqueda recibe una solicitud de desreferenciación relativa a datos sensibles, este debe llevar a cabo una ponderación entre, por un lado, el derecho al respeto de la vida privada y el derecho a la protección de datos;  y por otro lado, el derecho del público al acceso a la información de que se trate y el derecho a la libertad de expresión de aquel de quien emana la información.

    Riaño, by Ricardo Castellanos Blanco

  • Por último, el Abogado General aborda la cuestión de las solicitudes de desreferenciación relativas a datos personales que resulten incompletos, inexactos u obsoletos, como, por ejemplo, artículos de prensa relativos a una etapa anterior a la finalización de un procedimiento judicial. El Abogado General propone al Tribunal de Justicia que declare que, en tales circunstancias, el gestor de un motor de búsqueda ha de proceder, caso por caso, a una ponderación entre, por unlado, el derecho al respeto de la vida privada y el derecho a la protección de datos en virtud de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea y, por otro lado, el derecho del público al acceso a la información de que se trate, tomando asimismo en consideración el hecho de que dicha información entre dentro del ámbito periodístico o constituya una expresión artística o literaria.

Más:

 

ICO, tokens y aplicación de la Ley de Mercado de Valores. Criterios de la CNMV

el 14 diciembre, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM3- Contratos mercantiles. Grado en Derecho, Régimen jurídico del mercado. Grado Comercio Internacional

La CNMV ha publicado  los criterios iniciales de actuación que está llevando a cabo frente a las Initial Coin Offering (ICO).

Reconoce el supervisor español que la complejidad de la materia hace que los criterios estén sometidos a una revisión constante, pero aún así,  avanza en la determinación de los de aplicación en España para este tipo de mecanismos de financiación empresarial.

NYC_by Jara IPM. One Trade Center Tower

Calificación de los Tokens como valores negociables.

 

 

 

Supervisión de las entidades autorizadas a  emitir y comercializar ICOs.

El texto se ocupa también de la necesidad y alcance de la intervención de entidades autorizadas para prestar servicios de inversión, cuestión en la que remite al art. 35.3 de la Ley del Mercado de Valores (LMV), y a sus “Preguntas y Respuestas dirigidas a empresas FinTech sobre actividades y servicios que pueden tener relación con la CNMV”

  • Mínimamente, la entidad autorizada para prestar servicios de inversión a efectos de la comercialización debe realizar una supervisión general del proceso y validar la información a entregar a los inversores, que deberá ser clara, imparcial y no engañosa y referirse a las características y riesgos de los valores emitidos, así como a la situación jurídica y económico-financiera del emisor de una manera suficientemente detallada como para permitir que el inversor pueda tomar una decisión de inversión fundada.
  • En este momento se permite que la entidad autorizada a la ICO no valide la información que remite a los inversores, salvo incluir advertencias destacadas acerca de la naturaleza novedosa de la tecnología de registro y que la custodia de los instrumentos no se realiza por una entidad autorizada para prestar servicios de inversión.
Intermediación y custodia.
  • No se considera necesaria la intervención generalizada de entidades autorizadas para colocar valores porque las ICO se consideran actividades normalmente ocasionales. En cambio, la reserva de actividad a las entidades autorizadas prevista del artículo 144.1 LMV (en relación con el artículo 140 e) y f) del mismo cuerpo legal) requiere que la actividad se realice “con carácter profesional o habitual”.
  • Similarmente, no se exigirá la intervención de entidades de custodia de valores, pues su intervención sólo es necesaria conforme al 44.1 LMV (en relación con el artículo 141 a) LMV ) cuando la actividad se realice “con carácter profesional o habitual”.
Representación de las ICO y negociación.

Cantábrico (Asturias)

El texto establece la diferencia entre los requisitos de representación (así como de supervisión e intermediación) cuando la ICO se comercializa en España o en otra jurisdicción.

  • Por lo que respecta a España:
    • El artículo 6.1 de la LMV permite interpretar que es posible que ciertos valores no se representen por medio de anotaciones en cuenta o títulos. Por tanto, no puede excluirse la posibilidad del registro de derechos a través de la tecnología DLT (blockchain).
    • La negociación en mercados regulados, SMN o SOC españoles el artículo 6.2 LMV exigiría que estuviesen representados por medio de anotaciones en cuenta. Y el artículo 8.3 LMV sobre entidades encargadas de la llevanza de registros contables que responden frente a los perjudicados por la falta de las inscripciones, por las inexactitudes y retrasos en las mismas y, en general, por el incumplimiento culposo o doloso de sus obligaciones legales, obligaría a que la llevanza del registro se realizara por un depositario central de valores. La gestión del centro de negociación debería realizarse por una ESI o por una entidad rectora de un mercado, y estarían sujetas en general a la normativa del mercado y al ámbito de supervisión de la CNMV. Adicionalmente, las ICO estarían sometidas a la necesidad de representación mediante anotaciones en cuenta y a  la participación de un depositario central de valores.
    • En caso de preferir generar un mercado interno en una plataforma privada no regulada o la negociación en una plataforma (exchange) localizada en España, la ICO encontraría otros problemas pues los tokens considerados valores negociables darían lugar a la obligación de que estas plataformas contasen con las autorizaciones exigibles para ejercer su actividad como centro de negociación (como mercado regulado, SMN o SOC); o bien como empresa de servicios de inversión (ESI) o entidad de crédito que opere como internalizador sistemático (IS), con sus respectivos requisitos.
    • Con todo, el artículo 6.2 sólo es aplicable a los tokens que se negocien en un mercado español.
  • Ahora bien, si los tokens se van a negociar en mercados no españoles, la CNMV no es competente para exigir que estén representados mediante anotaciones en cuenta. Por el contrario, será la ley (y la autoridad competente) del país en el que se encuentre el mercado en el que vayan a negociarse los tokens, la que determine en qué medida es exigible una forma concreta de representación para su negociación en un mercado organizado, así como otros requisitos cuales que la llevanza del registro se realice por un depositario central de valores.

 

Rey Alfonso V de León

Sobre el folleto informativo. 
  • Dado que la mayoría de las operaciones que se están planteando pueden ampararse en el artículo 35.2 LMV (relativo a las situaciones en las que no existe obligación de publicar un folleto), en el texto del que se da noticia se aconseja a los emisores que se atengan a los criterios del artículo 35.3 LMV, porque la elaboración de un folleto para una ICO puede encontrarse con dificultades debido a la ausencia de un modelo armonizado a nivel europeo, que a su vez, puede generar disfunciones con otras autoridades europeas respecto del pasaporte del folleto aprobado por la CNMV.
  • Cuando resulte necesario un folleto por las características de la operación, la CNMV adelanta que realizará la adaptación y tendrá en cuenta el principio de proporcionalidad (máxime cuando es previsible que las operaciones no sean de gran tamaño) a efectos de reducir en lo posible la complejidad y extensión del documento.

Más

Sobre las ICO en España, ver:

Más allá:

Blockchain. Utilidades y confianza a debate en la Unión Europea

el 12 diciembre, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional

Resolución del Parlamento Europeo, de 3 de octubre de 2018, sobre las tecnologías de registros distribuidos y las cadenas de bloques: fomentar la confianza con la desintermediación

El Parlamento Europeo adoptó una resolución presentada por la Comisión de Industria, Investigación y Energía   de esa Institución europea en relación con las Tecnologías de Cadenas de Bloques (TDR) y Registros Distribuidos (DRR). Esta Resolución forma parte de un debate más amplio en el seno de la UE

Gijón

Sobre la premisa de que los DRR reducen los costos de intermediación y pueden contribuir a la mejora de los servicios, el Parlamento plantea la necesidad de adoptar iniciativas estratégicas :

  • En relación con las aplicaciones energéticamente eficientes y respetuosas con el medio ambiente, la TRD podría transformar y democratizar los mercados energéticos al permitir que los hogares produzcan energía ecológica que pueda ser intercambiada entre ellos. Por eso solicitan a la Comisión Europea  que introduzca una dimensión de eficiencia energética en sus trabajos sobre  TRD, es decir, que analice el impacto energético y de los nuevos mecanismos  y que  evalúe los posibles modelos de gobernanza.

 

  • Con respecto al transporte, cadenas de suministro, atención médica y educación: el Parlamento destacó el potencial de la TRD en la movilidad, la  mejora de las cadenas de suministro y el transporte,  así como en el sector sanitario, en la  educación y en la gestión de la propiedad intelectual.
  • Sobre el sector financiero: el Parlamento pidió a la Comisión ya las autoridades financieras que supervisen las tendencias y usos de la TDR y los DRR en el sector financiero .Destacó la volatilidad e incertidumbre que rodea a las criptomonedas, solicitando un seguimiento de las fuentes de esta volatilidad  para identificar sus principales riesgos.
  • Por lo que se refiere a la identificación y datos personales, la resolución señaló que la TRD permitía a los usuarios identificarse y tener la posibilidad de controlar los datos personales que desean compartir. Pero, también muestra preocupación por el  uso incorrecto de sus propios datos y sobre la vulnerabilidad de los sistemas. El Parlamento sugiere que los Estados miembros intercambien  mejores prácticas para garantizar la seguridad de estos datos. Los usos de TRD deben cumplir con la legislación de protección de datos de la UE, incluido el Reglamento general de protección de datos (GDPR).
  • En el ámbito de los contratos inteligentes: el Parlamento pidió a la Comisión que promueva el desarrollo de normas técnicas con las organizaciones internacionales pertinentes y que realice un análisis en profundidad del marco legal existente en los distintos Estados miembros en lo que respecta a la exigibilidad de los contratos inteligentes. Concretamente, pide analizar si el uso de contratos inteligentes crea barreras potenciales en el mercado único digital, y solicita reforzar la seguridad jurídica por ejemplo a través de medidas de coordinación y reconocimiento mutuo.
  • Alude también a la seguridad de la infraestructura. Eel Parlamento pidió a la Comisión que supervise los desarrollos tecnológicos (por ejemplo, los ordenadores cuánticos), evalúe los riesgos tecnológicos, apoye los proyectos de resistencia frente a ataques cibernéticos y promueva proyectos de protección de datos. En este sentido insiste en la necesidad de garantizar la sostenibilidad de las plataformas TRD en el marco del Programa del Observatorio Blockchain de la UE .
  • Siguiendo con las infraestructuras, pero ya en el campo del sector público , el Parlamento enfatizó la importancia de una TRD  segura para mejorar los servicios y la gestión del sector público. En particular, y de modo vinculado al plan Acción para el gobierno electrónico
  • Finalmente, en relación con las pymes, con la transferencia de tecnología y con la financiación pide al BEI y al FEI que creen instrumentos de financiación para apoyar Iniciativas empresariales centradas en TRD para acelerar la transferencia de tecnología. También destacó el potencial de las ofertas iniciales de tokens como herramienta de inversión alternativa para financiar  pymes y empresas innovadoras, y solicita a la Comisión que identifique mecanismos para proteger a los inversores, comenzando por un posible observatorio de estas ICO, así como de una base de datos sobre sus características.

 

El Parlamento Europeo apunta en una dirección que no implicaría, por el momento regular los nuevos fenómenos, sino más bien eliminar las barreras para su desarrollo.