Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

Posted on 9 agosto, 2021 por Elena F Pérez Carrillo

Se comenta en esta entrada un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA debe tener como referente los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
- Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
- Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente, recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas, recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una obligación de notificación directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
- - Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
    72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
  - Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar

En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea. Las consideraciones del fallo impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
- Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con Estados Unidos de América resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos, un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
- Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
  - Concretamente, el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
  - Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
  - La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el Safe Harbor.
  - El TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
  - La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
  - El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
  - Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades responsables de la trasferencia internacional de dato a EEUU a establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.

Responsabilidad de administradores por incumplimiento del deber de vigilancia. El «test» Caremark y jurisprudencia reciente de Delaware

Posted on 2 julio, 2021 por Elena F Pérez Carrillo

En esta entrada de da cuenta de la importancia de las medidas de gobernanza para la supervisión y control por parte del consejo de administración, sobre la declaración de responsabilidad de administradores (y altos ejecutivos). Para ello, nos servimos de recientes resoluciones judiciales de la judicatura estadounidense, y en concreto, de la del estado de Delaware. Cabe subrayar que para apreciar el alcance de esta jurisprudencia debe partirse de la concepción de deber de diligencia (deber fiduciario) apreciada conforme al llamado «test Caremark» fruto de jurisprudencia anterior.

Conforme al leading case Caremark ( In re Caremark Int’l Inc. Derivative Litigation 698 A.2d 959 (Del.Ch. 1996), los miembros del consejo tienen el deber de vigilar y supervisar el cumplimiento normativo, la viabilidad operativa y el desempeño financiero de la sociedad

El estándar de conducta “Caremark” se basa en la verificación de si el consejo de administración fue, o no fue diligente, en el sentido de no poner en funcionamiento mecanismos de comunicación y de control destinados a hacer llegar al consejo informaciones sobre el funcionamiento de la empresa (y por tanto facilitar el ejercicio de la diligencia del ordenado empresario a través del control, la supervisión, la vigilancia). Incluso cuando estos mecanismos de “reporting” y control existan, los administradores y consejeros también pueden incurrir en incumplimientos si los obvian o no los tienen en cuenta. Además, para deducir condenas de responsabilidad civil, Caremark exige prueba de actos (u omisiones) específicos de los que se pueda establecer la concurrencia de una suerte de negligencia grave (mala fe) de los consejeros. Las demandas de responsabilidad de administradores que se basan en el test Caremark se fundamentan, por tanto, en los procedimientos de gobernanza interna de las sociedades y de ahí viene considerándose que (conforme a la influyente jurisprudencia de Delaware) es recomendable que los consejeros y ejecutivos puedan demostrar su labor de vigilancia y atención al cumplimiento normativo, especialmente en relación con situaciones como las derivadas de investigaciones de los supervisores, en las que se exige de ellos un nivel de cuidado elevado y por lo tanto pueden ser acusados de negligencia.Y, para facilitar la prueba eximente los titulares del órgano de administración y los altos ejecutivos se apoyan en distintos mecanismos reconocidos para el control de riesgos que incluirían desde programas de compliance, a comisiones delegadas de riesgos o protocolos de actuación.

Mencionamos algunas decisiones recientes para ilustrar, con cierto grado de detalle, como opera este principio.

Richardson v. Clark (MoneyGram. 2020 WL 7861335 (Del. Ch. 31 de diciembre de 2020)

La demanda de responsabilidad de administradores y altos ejecutivos fue desestimada

MoneyGram es una empresa especializada en trasferencias monetarias que había sido objeto de investigaciones (y sanciones) por blanqueo de capitales, en virtud de las cuales estaba sometida a un programa de indemnizaciones a favor de algunos afectados por sus actividades. Para realizar el seguimiento del programa que le fue impuesto, puso en marcha mecanismos internos de compliance legal que estaban destinados, precisamente, a cumplir el programa de indemnizaciones y a evitar que las actividades corporativas continuasen en la línea de las que motivaron la imposición de sanciones. Sin embargo, los problemas y errores de ejecución en su operativa causaron desajustes en el programa de indemnizaciones (que no dejaba de ser una sanción), por lo que fue ampliado de modo que el nivel de las indemnizaciones que MoneyGram hubo de satisfacer se incrementó.

En el año 2020 los accionistas interpusieron una acción derivativa de responsabilidad contra los consejeros y altos ejecutivos de MoneyGram. Las alegaciones de los demandantes consistían (sustancialmente) en no habían sido diligentes en la ejecución del programa de compliance en el sentido de que se produjeron errores y retrasos en el cumplimiento del programa de indemnizaciones. Alegaron, y evidenciaron que MoneyGram había actuado con lentitud y sin eficacia en relación con las indemnizaciones que debía abonar y que sus directivos habían ignorado las alertas recibidas la autoridad que supervisaba el mencionado programa de indemnizaciones. Si bien tales acusaciones estaban, en conjunto, fundamentadas, el Tribunal tuvo en cuenta que la demanda no había se había apoyado en hechos o actuaciones concretas de las que pudiese deducirse mala fe (una suerte de negligencia grave en ese ordenamiento) en el desempeño de la función de vigilancia de los directivos acusados. Añadía la Delaware Court of Chancery, que conforme al test Caremark, el hecho de que un programa de cumplimiento no fuese adecuado o no tuviera mucho éxito no era suficiente para derivar responsabilidad civil de consejeros y altos ejecutivos.

Fisher v.Sanborn (LendingClub) 2021 WL 1197577 (Del. Ch. 30 de marzo de 2021).

En este asunto la acción derivativa de responsabilidad contra consejeros y altos ejecutivos también fue desestimada.

Lariño. A Coruña

LendingClub opera una plataforma online que pone en contacto a inversores con potenciales solicitantes de crédito. En 2016, la Federal Trade Commission (FTC) inició una investigación por posibles prácticas engañosas y desleales con los consumidores por parte de LendingClub. Dos años más tarde, en virtud de los resultados de la investigación, la FTC interpuso acciones judiciales. Sobre esa base, un accionista demandó al consejo de LendingClub mediante una acción derivativa alegando que no había puesto en marcha un mecanismo adecuado de control de las actividades que eran competencia de los consejeros; que había obviado conscientemente su deber de supervisar el cumplimiento de deberes derivados de la legislación de protección de consumidores y que habían realizado afirmaciones engañosas y falsas especialmente a los inversores.

La Court of Chancery rechazó todos estos argumentos de la demanda. Por un lado señaló, a favor de los demandados, que el consejo de administración contaba con una comisión delegada de riesgos, que ésta recibía información actualizada de las quejas de los consumidores, que conocía el proceso de la FTC y que debatía periódicamente sobre estas cuestiones. Por todo ello este Tribunal consideró que no podía afirmarse que los demandados no se hubieran esforzado en supervisar el cumplimiento de la legislación de consumidores. Por otra parte, afirmó que el hecho de que se hubiesen realizado investigaciones e incluso acciones judiciales por parte del supervisor no demostraba que los consejeros supiesen, ni que debieran haber sabido que la sociedad estaba violando las leyes. Finalmente, la Court of Chancery se basó en que el demandante no había probado que los administradores actuasen de mala fe ni aportado evidencia de hechos concretos por los que pudiera deducirse que los administradores sabían que la corporación incumplía la ley, ni tampoco hechos de los que se pudiera deducir que los mandatarios habían mentido deliberadamente a los inversores en relación con las investigaciones de la FTC

Marchand v. Barnhill , 212 A.3d 805 (Del. 2019)

La acción de responsabilidad fue estimada

Blue Bell Creameries USA, Inc, uno de los mayores fabricantes de helados de Estados Unidos, sufrió un brote de listeria a principios de 2015. La incapacidad de esta corporación para contener la propagación de la listeria en sus plantas de fabricación hizo que ésta se extendiese en sus productos. Tres personas murieron como resultado del brote. La empresa retiró entonces todos sus productos, cerró la producción en todas sus plantas y despidió a más de un tercio de su plantilla.

Coimbra

Los accionistas también sufrieron pérdidas porque, tras el cierre operativo, Blue Bell conoció una crisis de liquidez que le obligó a aceptar una inversión de capital privado en virtud del cual la participación en el capital de los accionistas iniciales quedó diluída. Un accionista presentó una demanda derivativa contra dos altos ejecutivos y contra administradores de Blue Bell, alegando el incumplimiento de las obligaciones fiduciarias de los demandados. La demanda se fundamentaba, más concretamente, en que los ejecutivos -el presidente y director general, y el vicepresidente de operaciones- incumplieron sus deberes de diligencia y lealtad al ignorar, a sabiendas, los riesgos de contaminación y al no supervisar la seguridad de las operaciones de fabricación de alimentos de Blue Bell.

La demanda presentó hechos concretos que apoyaban razonablemente la alegación de que la administración de Blue Bell no había implantado ningún sistema para supervisar el cumplimiento de los deberes de seguridad alimentaria de Blue Bell. El hecho de que un consejo de administración «no intente garantizar la existencia de un sistema razonable de información y comunicación» equivale a un acto de «mala fe» contrario a sus deberes fiduciarios. Cuando un demandante puede evidenciar que el consejo de administración no ha realizado ningún esfuerzo para asegurarse de que está informado de asuntos relativos a cumplimiento que son críticos para el funcionamiento de la empresa, cumple los requisitos del exignte test Caremark para atribuir responsabilidad a sus miembros.

Así en Marchand, el Tribunal Supremo de Delaware determinó que el consejo de una empresa de helados que no contaba con sistemas para controlar la seguridad alimentaria, había incumplido su deber fiduciario.

Software crítico en el sector público. Orden Ejecutiva sobre Ciberseguridad del Presidente Biden y su desarrollo

Posted on 30 junio, 2021 por Elena F Pérez Carrillo

Según lo solicitado en la Orden Ejecutiva de Ciberseguridad («EO») del 12 de mayo de 2021 publicada por la Administración de Biden ( aquí ), el National Institute for Standards and Technology, NIST ha publicado su definición de «software crítico» dentro del plazo de 45 días que establecía la OE. Esta definición de «software crítico» representa un requisito, conforme a la OE, para dotar de seguridad a la cadena de suministro de software, especialmente en lo relativo a los proveedores de servicios para el ejecutivo Federal de Estados Unidos. Eventualmente, se reflejará en un futuro Reglamento Federal de Adquisiciones obligatorio para los proveedores de software. Como es sabido, los documentos sobre seguridad del NIST acaban constituyendo una referencia de definiciones y estándares en todo el mundo, y muy especialmente en el ámbito de la ciberseguridad.

acrobacias2015

La definición de NIST de «software crítico» como se establece en su documento técnico publicado el 25 de junio de 2021 incluye a cualquier software que influye directamente sobre otro software o sobre componentes de otro software («dependencias directas» y cuenta con al menos uno de estos atributos:

está diseñado para ejecutarse con permisos o privilegios o para administrar privilegios;
tiene acceso directo o privilegiado a redes o recursos informáticos;
está diseñado para controlar el acceso a datos o tecnología operativa;
realiza una función fundamental para los servicios «críticos de confianza»; o,
opera fuera de los límites de confianza normales, con acceso privilegiado.

El documento técnico especifica además, que esa definición se aplica a software muy variado, como software independiente, software integral para dispositivos o componentes de hardware específicos, software basado en la nube; y tanto cuando ha sido adquirido por compra como cuando es desarrollado en sistemas de producción y utilizado para fines operativos. Sin embargo, cuando se trata de software utilizado únicamente para investigación o pruebas , es decir, que no se implementa en sistemas de producción, estaría fuera del alcance de esta definición.

By M.A. Díaz

NIST proporciona también información sobre cuestiones terminológicas de la propia definición. Por ejemplo las «Dependencias directas sobre otro software” significa, para un componente o producto dado, “otros componentes de software (por ejemplo, bibliotecas, paquetes, módulos) que están directamente integrados y son necesarios para el funcionamiento de la instancia de software en cuestión. No incluye las interfaces y servicios de lo que de otra manera serían productos independientes «. En cuanto a «Crítico para la confianza» significa «categorías de software utilizadas para funciones de seguridad como control de red, seguridad de punto final y protección de red».

El documento técnico, destinado principalmente a los contratistas con la administración federal, también ofrece un cuadro que explica cada categoría de software que considera «crítico para la EO», así como una lista de preguntas frecuentes (FAQ) y respuestas. Las categorías de software enumeradas en la tabla de NIST incluyen los destinados a gestión de identidades, credenciales y acceso (ICAM), los sistemas operativos, hipervisores, entornos de contenedores, los navegadores web, el software de control y protección de red, supervisión y configuración de redes, seguimiento y análisis operativos, copias de seguridad, almacenamiento remiro, entre otros.

Medidas para mejorar la ciberseguridad en las empresas

Posted on 21 junio, 2021 por Elena F Pérez Carrillo

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son más graves, la reflexión relativa a los ciber-incidentes es más intensa. Van surgiendo sugerencias y recomendaciones expertas relativas prácticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM

Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisión de sus prácticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas prácticas son especialmente relevantes en sectores como el del transporte de viajeros. ; o en las empresas de transporte y distribución energética, por mencionar algunos de los que recientemente han sufrido grandes pérdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y los eventos de 6 de mayo de 2021). También son importantes para la gestión pública de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibernéticos (véase los que afectaron a varias ciudades de Texas en 2019).

Otro conjunto de prácticas recomendadas para la prevención de riesgos cibernéticos consiste en la contratación, mantenimiento y actualización de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos físicos susceptibles de recibir daños materiales fruto de una intervención ilícita en los sistemas digitales de la empresa; daños derivados de pérdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contratación de expertos que van desde la recuperación de datos electrónicos hasta el análisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado después de un ciberataque, o que éste decida interponerlos. Hoy, las prácticas comerciales prudentes hacen que la contratación de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

NYC_by Jara IPM. One Trade Center Tower

Continuando en esta enumeración, la contratación de expertos externos especializados en la prevención y control de los ciberataques se considera una buena práctica. Los especialistas en ciberseguridad desempeñan un papel importante para minimizar la exposición, para detectar y supervisar los riesgos así como para establecer protocolos de seguridad de la infraestructura de información de una empresa. Como buena práctica, la contratación de estos expertos es también interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la práctica, en los estándares de seguridad como NIST o ISO, y van penetrando el ámbito normativo positivo. En este sentido, recordamos algunas entradas anteriores en este blog, como la relativa al Responsable de Información (exigido a las administraciones conforme al Esquema Nacional de Seguridad y también a ciertas empresas que contratan con la administración), que debe ser una figura distinta del Responsable de Seguridad y también del Responsable del Servicio en los términos del Real Decreto 3/2010. O el Responsable de Seguridad de la Información en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunciábamos, estas figuras de altos ejecutivos se van haciendo habituales en la práctica y han sido reforzadas mediante su inclusión en estándares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.

Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración

Posted on 11 febrero, 2021 por Elena F Pérez Carrillo

Entrada que debe actualizarse conforme al: Nuevo Esquema Nacional de Seguridad

Esquema Nacional de Seguridad en el ámbito de la administración electrónica ( ENS) está regulado en el Real Decreto 3/2010 de 8 de enero

Hamburgo. Ayuntamiento. Epc

El objeto del ENS es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”. En principio se aplica sólo a las administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”. Pero, como veremos, afecta también a algunas empresas del sector privado.

Es recomendable que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este ENS ya que el RGPD, exige aplicar medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc. de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc. Pero además resulta obligatorio en los casos establecidos en la D.A. 1 de la Ley Orgánica 3/2018 de Protección de datos personales y garantía de derechos digitales, que se reproduce: 1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad. En 2010 se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos. En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Entre las obligaciones más destacables que derivan del ENS está la de clasificar los niveles de riesgo de ciberseguridad en tres grandes categorías (bajo, medio, alto) , así como las correspondientes medidas aplicables a cada uno de esos niveles.

Otra obligación afecta a la gobernanza empresarial, pues conforme al ENS, las entidades afectadas deben nombrar a responsables específicos. Concretamente, conforme al art 10 del RD 3/2010 (ENS), en los sistemas de información de las entidades sometidas a ese RD, se deben establecer tres figuras de responsabilidad distintas: el responsable de la información, el responsable del servicio y el responsable de la seguridad: El responsable de la información será competente para determinar los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones que deban adoptarse para satisfacer los requisitos de seguridad de la información y de los servicios.

Pero, adicionalmente, conforme al ENS la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. A todo esto se une que la política de seguridad de la organización, documento estratégico con el que deben contar las entidades sometidas al ENS, detallará las atribuciones de cada responsable, los mecanismos de coordinación y lo de resolución de conflictos.

Como adelantábamos, el ENS también resulta aplicable a la empresa privada en algunos casos.

Para entender mejor el contexto, recordemos que la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD) adapta nuestro ordenamiento al Reglamento (UE) 2016/679”, RGPD. Y, es aplicable tanto a la administración como a la empresa privada

El RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente el principio de “integridad y confidencialidad” establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental
El artículo 32 del RGPD, establece que “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por tanto, las medidas de seguridad para proteger los datos personales no se recogen en una lista taxativa. Con este artículo 32, se introduce una suerte de autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales, ya sean estos objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya

Vista de San Sebastian

La LOPD GDD, art 77, estableció, además, unos sistemas y medidas de protección de datos especiales ara la Administración Pública española. Ello se completa con la DA 1ª LOPD-GDD que establece un marco específico de seguridad en el sector público, a través del ENS, sustituyendo la autoevaluación del art 5.2 por un régimen específico para el sector público: “Medidas de seguridad en el ámbito del sector público:

El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado
En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad

Por lo tanto, en la distintas entidades de la DA 1 , apartado 3 LOPD-GDD, ya sea en calidad de responsable o encargado del tratamiento, han de categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema. Ello para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten,

Casamento no Pazo

Cualquier entidad privada que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia. Y, en efecto, es habitual que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

¿El papel de responsable de seguridad en estas empresas podrá corresponder, es decir, coincidir con el RSI o Chief Information Security Officer (CISO) que deriva del RD 43/2021 -dentro del desarrollo del paquete NIS (Network Information and Security) ; al que aludíamos en entradas anteriores? Conforme al art 7 apartado 5 delReal Decreto 43/2021, así sería, al menos en el caso de las empresas privadas sometidas tanto a NIS como al ENS.

El Responsable de Seguridad de la Información – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

Posted on 8 febrero, 2021 por Elena F Pérez Carrillo

El Boletín Oficial del Estado (BOE) publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El texto completa la incorporación del la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea, conocida como Directiva NIS (Security of Network and Insformation Systems)

Cabanas, 2016

Recuérdese que a finales del año 2018, la transposición de la citada Directiva NIS se llevó al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. que regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea

En esta ocasión, el Real Decreto 43/2021, de 26 de enero, que publica el BOE, establece como ámbito de aplicación la prestación de los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Pero también la prestación de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

En el artículo 2.2. RD contempla que está sometidos a este nuevo Real Decreto «los operadores de servicios esenciales establecidos en España. En coherencia con lo ya expresado respecto de NIS, se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.» También «los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.»

Por contra, este Real Decreto no se aplica, según establece el artículo 2.3, a «los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.». Tampoco a «los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.«

Sanabria

Cabe destacar que en dicho Real Decreto:

se establecen los requisitos de seguridad, así como las medidas para el cumplimiento de las obligaciones de seguridad,
contempla en el plano normativo al responsable de la seguridad de la información o RSI, el CISO, que veíamos desarrollado en normas o estándares privados como ISO.
se ocupa de la gestión de incidentes de seguridad
detalla las obligaciones de notificación de los incidentes de los operadores de servicios esenciales: «Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción«, reza el artículo 9.1 de este RD.

El RSI o CISO (para OSE)

En relación con el Responsable de Seguridad de la Información, el artículo 7 del RD 43/2021 insta a que esta figura mantenga «una comunicación real y efectiva con la alta dirección». Además, señala que su posición debe «facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad». Esta figura, ya sea una persona, unidad u órgano colegiado, deberá contar con medios personales y materiales para desarrollar su función. Ejercerá de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicación únicamente a los OSE

Recuérdese que la Directiva NIS realiza una armonización de mínimos en relación con los OSE, pero de máximos en relación con lo PSD y que respecto de estos últimos existe un Reglamento (UE) de ejecución:
- - Reglamento de Ejecución (UE) 2018/151 de la Comisión, de 30 de enero de 2018, por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo

Entre las funciones del RSI/CISO está el elaborar las políticas de seguridad y proponerlas para su aprobación por la organización. Estas políticas han de incluir las medidas técnicas y organizativas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. Y, para prevenir y reducir al mínimo los efectos de los ciberincidentes

Se reproduce a continuación el art 7 del RD 43/2021:

Artículo 7. Responsable de la seguridad de la información.

Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la información sea una unidad u órgano colegiado, se deberá designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.
Los operadores de servicios esenciales comunicarán a la autoridad competente respectiva la designación del responsable de la seguridad de la información dentro del plazo establecido en el apartado anterior, así como los nombramientos y ceses que afecten a la designación del responsable de la seguridad de la información en el plazo de un mes desde que aquellos se produzcan.
El responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la información, para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad del Esquema Nacional de Seguridad, a lo que dedicamos la siguiente entrada de este blog

Tratamiento de datos personales y discriminación algorítmica en el entorno asegurador. A propósito de un libro reciente

Posted on 3 febrero, 2021 por Elena F Pérez Carrillo

**JUNQUEIRA, Thiago, Tratamento dos Dados Pessoais e Discriminacão Algorítmica nos Seguros, Thomson Reuters /Revista dos Tribunais, São Paulo, 2020.**

(Prologado por Anderson Schreiber; presentado por Bruno Miragem)

Presentábamos recientemente para consultor jurídico de Brasil, este libro recientemente recibido de allende los mares. Su autor Thiago Junqueira es Doctor en Derecho por la Universidad del Estado de Rio de Janeiro, Profesor y Abogado socio, del reconocido bufete Chalfin, Goldberg & Vainboim Advogados. Se reproduce a continuación, con adaptaciones, esa reseña, ahora en el marco del blog DerMerUle

Es estudio de Junqueira parte de la idea del carácter innovador del mundo asegurador para el Derecho. Justifica su afirmación en la frecuencia con la que, en efecto, los contratos de seguros suelen anticipar hitos importantes en el devenir de la evolución de algunas relaciones jurídicas especialmente en Derecho privado. A través de ejemplos y fundamentos doctrinales clásicos, entre los que resulta paradigmática la tendencia objetivadora de la responsabilidad civil asegurada; Junqueira conduce al lector a otros supuestos actuales como es el de a tutela de los datos personales en el marco de la contratación de seguros. Si esta cuestión ya ha sido objeto de atención doctrinal en años recientes, mayor reflexión merece a la luz del tratamiento algorítmico automatizado que hoy subyace a los cálculos matemáticos y actuariales esenciales en la industria aseguradora. Y es que, el carácter carácter necesario de las informaciones (inputs) que necesita la industria para poder asegurar riesgos, no obsta para que el tratamiento que se realice con tales datos deba valorarse a la luz de los derechos que asisten a los asegurados, y en concreto frente a la prohibición de discriminación.

Las vías sugeridas por Junquira para aminorar los riesgos derivados del tratamiento automatizado en el caso de las aseguradoras reflejan una investigación lúcida y un profundo conocimiento tanto del ámbito jurídico de la protección de datos, como del de la responsabilidad y del asegurador.

El autor de esta obra se basa en el análisis de figuras e institutos jurídicos tradicionales, propios de la teoría dogmática más clásica en derecho de seguros continental, brasileño y anglosajón. No deja de lado, por tanto, cuestiones relativas al análisis de riesgos, la elaboración de perfiles, o su relación con el cálculo de las primas. Pero además, introduce en sus reflexiones las formulaciones teóricas más avanzadas sobre la privacidad, protección de datos personales y discriminación directa e indirecta. Todo ello, a la luz de la reciente aprobación en el país brasileño de una nueva Ley General de Protección de Datos Personales – LGPD, que introduce entre otras instituciones, una regulación básica sobre la discriminación directa. También se contemplan en esta obra formulaciones científicas que se van asentando en la doctrina como la de la llamada “justicia actuarial” o de la intimidad informática, ahora aplicada a los tratamientos con inteligencia artificial. Y es que el panorama actual relativo a la discriminación por el tratamiento de datos en los seguros tiene sus raíces en formulaciones doctrinales y jurisprudenciales clásicas nacionales y comparadas, y se proyecta hacia nuevos panoramas

El volumen se divide en tres grandes partes.

En el primer capítulo se examina la clasificación de los riesgos por parte del asegurador en la llamada ciencia actuarial. Tras subrayar la base económica y social de la clasificación del riesgo, y su apoyo jurídico – normativo, el autor aborda una cuestión nuclear: la dificultad de comprensión de los presupuestos y procesos actuariales para el iusprivatista. Conceptos como el de «generalización del riesgo» o ll de la «correlación» , propios de formulaciones actuariales van más allá de la causalidad jurídica. También aborda la relación entre los criterios de medición actuarial utilizados por la aseguradora, con el deber de protección de la intimidad del asegurado y con las prohibiciones de discriminación. En este sentido, destaca Junqueira como algunos datos personales, de género o de étnica son objeto de tratamiento con consecuencias discriminatorias directas o indirectas.
El segundo capítulo se centra en la dicotomía entre la necesidad de prevenir discriminaciones en el tratamiento inteligente de datos, y el requisito de valorar riesgos como base de la eficacia y de la sostenibilidad del negocio asegurador. Y, centrando la cuestión, investiga las posibles estrategias para prevenir la discriminación racial algorítmica en la clasificación de riesgos. A este respecto, Thiago Junqueira formula una proposición innovadora en el sentido de que la tutela frente a la discriminación en sus diversas facetas, debe observarse no sólo en su perspectiva directa, sino también en la indirecta. La discriminación indirecta es más difícil de combatir pues a menudo se basa en datos de apariencia neutra.
En la parte final o tercer capítulo, posiblemente la más innovadora del libro, el Doctor ofrece estrategias preventivas en el tratamiento de datos, en particular en lo relativo a evitar la discriminación racial susceptible de general discriminación indirecta. Así, en lugar de una aproximación de control en cuanto a los inputs, u informaciones de recogida por parte de los aseguradores, presenta la opción de favorecer un control de outputs, esto es de los servicios y ofertas aseguradoras para evitar también la discriminación indirecta. En efecto, frente a la fairness through blindness conocida en el mundo anglosajón, actualmente se proponen regímenes de fairness through awareness (FTA). El FTA implica, o puede hacerlo, la necesidad de conocer datos sensibles por parte de la aseguradora, precisamente para equilibrar los cálculos actuariales en su programación automatizada basada en una justicia desde el diseño, design fairness o privacy from design. Son abundantes, pertinentes y muy interesantes las reflexiones doctrinales y jurisprudencia bien traída en este libro. Principalmente casos norteamericanos, de los que se evidencia que, frente a prohibiciones de discriminación directa que posiblemente puedan abordarse con cierto éxito desde la “ceguera”, la combinación de la automatización en las decisiones actuariales con la proyección de la discriminación indirecta evidencia la insuficiencia de un tratamiento consistente en la mera eliminación de datos. Apuntaría el autor, o eso creo, a favorecer una suerte de discriminación positiva en el cálculo algorítmico una “discriminación (positiva) por concienciación. Una discriminación, pero no tanto en lo relativo a los resultados, o dicho de otro modo, no tanto aplicando una reducción en la prima de seguros cuando el asegurado pertenezca a un grupo racial concreto. Sino, contrarrestando algunos efectos que la inteligencia artificial tiende a asignar, que derivan de cuestiones socio económicas y que en realidad, no tendrían impactos significativos sobre el riesgo pero que tienen consecuencias en el encarecimiento de los seguros para los grupos humanos en cuestión. En el fondo, se plantea la necesidad de que el legislador efectúe controles preventivos, más que a posteriori, para lograr un equilibrio entre nuevas tecnologías automatizadas y tutela de derechos fundamentales. Y, de contar con mecanismos comprensibles que no abandonen del todo el ámbito del control humano y por tanto de la responsabilidad. En efecto transparencia y accountability se configuran en esta obra, como pilares en el devenir de una industria aseguradora apoyada en la inteligencia artificial, pero no hasta el punto de abrazar sin filtro las inferencias y deducciones que conllevarían consecuencias nocivas en el terreno de los Derechos Humanos, entre ellos los derivados de la discriminación en el tratamiento automatizado de datos personales.

Las últimas páginas del libro se dedican a exponer en modo claro y sucinto el conjunto de 21 conclusiones a las que llega el Doctor, y a recoger la importante batería bibliográfica y documental nacional y comparada, en la que ha basado su investigación.

Reiteramos nuestra felicitación y agradecimiento por el regalo de este importante trabajo, quedamos a espera de las futuras obras del Doctor. Y, sin duda animamos a los interesados en tanto en el mundo asegurador, como en el de la inteligencia artificial desde el derecho privado, a utilizar este trabajo que encontrarán de gran utilidad.

Certificados de ciberseguridad en la UE. Gobernanza y competencias en el nuevo marco europeo de certificación

Posted on 18 enero, 2021 por Elena F Pérez Carrillo

El Reglamento (UE) 2019/881 establece en sus arts. 46 y siguientes un marco europeo de certificación de la ciberseguridad para mejorar el funcionamiento del mercado interior.

Travellers’ Guide!

Conforme al art 46.2 del Reglamento 2019/881, el marco europeo de certificación de la ciberseguridad define un mecanismo destinado a instaurar esquemas (sistemas) europeos de certificación de la ciberseguridad y a confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

LOS ESQUEMAS EUROPEOS DE CERTIFICACIÓN DE LA CIBERSEGURIDAD SON, EN PRINCIPIO, VOLUNTARIOS, SALVO QUE SE INDIQUE LO CONTRARIO EN UNA NORMA DE LA UE, sustituyen a los análogos nacionales hasta la expiración de éstos últimos: Se orientan a la consecución de diversos objetivos de seguridad, como la protección de datos almacenados, transmitidos o procesados; categorizan el nivel de seguridad de los productos, servicios y procesos de TIC como «básico», «sustancial» o «elevado»; permiten que los fabricantes y proveedores de productos, servicios y procesos de TIC de bajo riesgo (es decir, «básicos») los evalúen ellos mismos («autoevaluación de la conformidad»); obligan a los fabricantes a incluir ciertas características, como una descripción precisa del propósito, el objeto y el alcance, así como los criterios de evaluación y los métodos empleados.

LA COMISIÓN EUROPEA:

- publicará un programa de la UE de trabajo evolutivo en materia de certificación europea de la ciberseguridad en el que se identificarán las prioridades estratégicas y los productos, servicios y procesos (o categorías) de TIC que podrían beneficiarse de un esquema de certificación;
- podrá solicitar a ENISA que prepare una propuesta de sistema de certificación o que evalúe uno existente.
- evaluará periódicamente la eficacia y el uso de los esquemas de certificación adoptados y considerará si procede que alguno de ellos adquiera carácter obligatorio;
- completará su primera evaluación detallada a más tardar el 31 de diciembre de 2023 y, posteriormente, cada dos años;
- evaluará el impacto, la eficacia y la efectividad de ENISA a más tardar el 28 de junio de 2024 y, posteriormente, cada cinco años.

LOS PAÍSES DE LA UE:

Deben designar a una o más AUTORIDADES NACIONALES DE CERTIFICACIÓN DE LA CIBERSEGURIDAD para controlar, supervisar y velar por la aplicación de las normas de los esquemas o sistemas europeos de certificación
Deben abstenerse de autorizar nuevos sistemas nacionales de certificación cuando ya exista un esquema europeo; si bien los sistemas (o esquemas) existentes, se mantienen en vigor hasta

ENISA:

- Prepara proyectos de sistemas de certificación a petición de la Comisión o del GECC;
- Evalúa cada sistema de certificación adoptado cada 5 años;
- Mantiene un sitio web específico para facilitar información sobre los sistemas, los certificados y las declaraciones de conformidad.

Vidrieras Catedral Pristina

LOS FABRICANTES Y PROVEEDORES DE PRODUCTOS, SERVICIOS Y PROCESOS DE TIC CERTIFICADOS:

Deben publicar orientaciones y recomendaciones para que los usuarios finales puedan instalar, aplicar y mantener sus productos o servicios; así como el período para el que ofrecen asistencia en materia de seguridad, sus datos de contacto y referencias a repositorios en línea con información sobre asuntos conocidos de seguridad que afecten a sus productos o servicios.

LAS PERSONAS FÍSICAS Y JURÍDICAS:

- tienen derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad y a recurrir a la tutela judicial efectiva a partir de la entrada en vigor de los artículos correspondientes de ese Reglamento, el 21.junio 2021 (el Reglamento no afecta a las responsabilidades de los países de la UE en materia de seguridad pública, defensa, seguridad nacional y Derecho penal)

ENISA, la (renovada) Agencia Europea de Ciberseguridad

Posted on 15 enero, 2021 por Elena F Pérez Carrillo

El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.^o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69), renueva el mandato de la Agencia Europea de Ciberseguridad, (de forma permanente a partir del 27 . 06. 2019)

ENISA está situada en Heraclitón, Grecia desde 2004. Su misión es contribuir a la política cibernética de la UE, mejorar la confiabilidad de los productos, servicios y procesos de TIC fomentando la puesta en marcha de sistemas de certificación de ciberseguridad. Coopera con los Estados miembros para impulsar la resiliencia de la infraestructura de la Unión, así como para mantener la seguridad digital en la UE.

Las tareas de ENISA son, más concretamente:

contribuir al desarrollo y a la ejecución del Derecho de la UE en materia de ciberseguridad;
promover la creación de capacidades, la mejora de la prevención, la detección y el análisis de ciberamenazas, así como de la respuesta a las mismas
apoyar el desarrollo de equipos de respuesta a incidentes de seguridad informática (CSIRT) y a la organización de ejercicios de ciberseguridad a escala de la UE;
apoyar la cooperación operativa de la UE, especialmente mediante su equipo de respuesta a emergencias informáticas de la UE (CERT-UE), que apoya el el intercambio de conocimientos y de mejores prácticas para el mantenimiento de las redes de la UE y los CSIRT nacionales;
apoyar y promover el desarrollo y la ejecución de certificados de ciberseguridad de la UE para productos, servicios y procesos de TIC, en el marco de un nuevo marco europeo de certificación de la ciberseguridad;
recoger y analizar datos e información sobre ciberseguridad, especialmente sobre tecnologías emergentes, ciberamenazas e incidentes;
sensibilizar al público sobre los riesgos relacionados con la ciberseguridad, facilitar buenas prácticas para usuarios individuales y promover la concienciación y la educación en general en materia de ciberseguridad;
asesorar sobre necesidades y prioridades de investigación y contribuir a la agenda estratégica de la UE en materia de innovación e investigación de ciberseguridad;
contribuir a la cooperación de la UE en el plano internacional.

La estructura administrativa y de gestión de ENISA está integrada por:

un Consejo de Administración con 1 representante de cada país de la UE y 2 miembros designados por la Comisión Europea, que establece la dirección general de las actividades de la agencia;
un Comité Ejecutivo de 5 miembros que prepara las decisiones que adoptará el Consejo de Administración;
un Director Ejecutivo independiente, que da cuenta de su gestión al Consejo de Administración e informa al Parlamento Europeo y al Consejo cuando así se le solicita, es el responsable de gestionar la agencia;
un Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, pymes, consumidores, académicos, y operadores de servicios esenciales, y también por representantes de las autoridades competentes recogidas en la Directiva (UE) 2018/1972 por la que se establece el Código Europeo de las Comunicaciones Electrónicas, organizaciones de normalización y autoridades de supervisión policial y de protección de datos, que se centra en asuntos de interés para las partes interesadas y los ponen en conocimiento de ENISA;
una red de funcionarios de enlace nacionales que consta de representantes de todos los países de la UE y que facilita el intercambio de información entre estos y ENISA, a la que apoya en la difusión de sus actividades, conclusiones y recomendaciones.
el Reglamento configura ahora además un Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad, (GPICC) compuesto por expertos de reconocido prestigio, que se encarga de asesorar a la Comisión en asuntos estratégicos relativos al marco de certificación de la UE en materia de ciberseguridad y a ENISA, si así lo solicita, sobre asuntos generales y estratégicos relativos a las labores pertinentes de la agencia; y un Grupo Europeo de Certificación de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisión en sus tareas para garantizar la coherencia en la ejecución y la aplicación del Reglamento, y a ENISA en lo concerniente a la preparación de posibles esquemas de certificación de la ciberseguridad.

ENISA ha firmado acuerdos con los organismos Europeos de Normalización (CEN, CENELEC, ETSI) y colaborará con ellos

Ruiz Muñoz, De la Vega Justribó et alt.: Análisis en profundidad en materia de RSE, economía colaborativa y compliance mercantil.

Posted on 11 mayo, 2020 por Elena F Pérez Carrillo

RESPONSABILIDAD SOCIAL CORPORATIVA (RSC) Economía colaborativa y cumplimiento normativo, RUÍZ MUÑOZ, M. Y DE LA VEGA JUSTRIBÓ (Directores), B. Tirant lo Blanch, 2019, 601 páginas.

Es siempre un placer dar noticia de los resultados del trabajo de compañeros de asignatura y de expertos prácticos. Unos y otros estudian, dan forma y ejecutan las instituciones e instrumentos propios de las nuevas orientaciones en diseño y gestión estratégica de empresa, que así pasan de la teoría a la realidad y conocen la evolución y adaptación exigida por el contexto en el que se aplican.

Más satisfactorio es aún cuando, como es el caso, nos encontramos ante una cuidada obra en su contenido y presentación que analiza algunos de los fenómenos contemporáneos que más se están desarrollando cuales son la Responsabilidad Social Empresarial (RSE/RSC), la economía colaborativa, el cumplimiento normativo.

El libro del que se da aquí aviso ha sido dirigida desde la Universidad Carlos III, por uno de los equipos más activos en la innovación jurídica, en su estudio y en su acercamiento a alumnos desde la perspectiva del Derecho Mercantil. Felicidades a los autores y en especial a los directores, Profesores Miguel RUÍZ MUÑOZ y Bárbara DE LA VEGA JUSTRIBÓ, quienes han contado con la colaboración de un conjunto de académicos y profesionales de distintas disciplinas. Siendo el derecho mercantil el hilo conductor de este volumen, todos los autores habían sido participantes en el Seminario Internacional sobre Derecho de los negocios, RSC, economía colaborativa y legal compliance de la universidad Carlos III. El seminario y la obra científica que se presenta ahora contaron con el apoyo del Proyecto de investigación: actores económicos internacionales y derechos humanos, Especial Referencia para España (Ref. DER 2014-55484-P).

Tendremos ocasión de dedicar más tiempo para comentar con más detalle este libro articulado en 3 partes y 23 capítulos. Pero ya avanzamos, que aborda el fenómeno de la responsabilidad social desde una perspectiva, o más bien desde un conjunto de puntos de vista complementarios y renovadores. Se aportan visiones útiles para comprender la proyección de la RSE, la economía colaborativa y el compliance en la administración de empresas, así como su relación con la estrategia empresarial y con el derecho de los negocios, cuyo núcleo fundamental lo constituye el derecho mercantil. Destacable resulta, por otra parte, la dimensión internacional de la obra, que dota de valor añadido al estudio de unos fenómenos tan actuales y trasversales como globales, cada vez más sometidos a la lupa normativa. Junto a trabajos de derecho español encontramos estudios de derecho comparado y de la Unión Europea. La batería normativa y bibliográfica que los apuntalan contribuyen al rigor científico de la obra y a situar este libro entre las referencias obligadas para el estudio y la práctica de la responsabilidad social, la economía colaborativa y el compliance.

En la primera parte de este libro se realiza un análisis profundo de la responsabilidad social. Comprende aspectos redactados por grandes especialistas en derecho mercantil de sociedades y auditoría, pero también de márquetin estratégico, administración de sociedades, mercados, innovación, derecho marítimo, o grupos, todo ello sin olvidar la perspectiva internacional o cuestiones éticas y de cumplimiento normativo o insolvencias. Debe llamarse la atención sobre el fundamento y complementariedad de la RSE con el ordenamiento positivo que se refleja con éxito, por ejemplo, en relación con la transparencia e información en los mercados (también en relación con la información no financiera) en la selección y nombramiento de consejeros y administradores, o incluso en la interpretación de los deberes de diligencia y de lealtad de éstos.

En la segunda parte del libro está dedicada al fenómeno comúnmente conocido como economía colaborativa. Uno de los aspectos que facilitan la comprensión de este tema es la distinción de distintos grados o niveles de modelos de negocio que se autodenominan de economía colaborativa. Si en un sentido estricto las plataformas se limitan a una labor de intermediación, en otras formulaciones son éstas las que prestan auténticamente el servicio, y lo hacen con ánimo de lucro. En función del modelo seguido, las consecuencias jurídicas de unos modelos frente a otros conllevan consecuencias jurídicas importantes, y muy especialmente en el ámbito del derecho de la competencia desleal, como se estudia con detalle en esta obra. Sigue una lucida critica al llamado fenómeno del prosumidor, adentrándose en las plataformas digitales especialmente en cuanto a la oferta de viviendas de uso turístico, o las implicaciones de la economía colaborativa sobre la economía digital, no se deja de lado la problemática de la resolución de conflictos y contratación internacional, que adquieren precisamente en el contexto de la economía colaborativa, matices diferenciadores muy relevantes. Así por ejemplo, más allá de orientaciones superficiales, estas actividades plantean retos complejos como los requisitos técnicos de inicio y finalización de la actividad – contemplados heterogéneamente en los ordenamientos autonómicos, la responsabilidad de quienes la realizan, las consecuencias del fenómeno en el marco de la obligación de comportamiento leal en el mercado; o las peculiaridades que se suscitan cuando, de la mano de la economía colaborativa entramos en el ámbito de la contratación internacional, por mencionar algunas.

La tercera parte está dedicada al cumplimiento normativo. El compliance, los canales de denuncia o los nuevos mecanismos de desarrollo de negocios dan idea que, en el actual entorno de riesgos crecientes y –a menudo- difícilmente previsibles- los instrumentos de cumplimiento normativo ofrecen pautas de comportamiento fundamentales para el desarrollo de estrategias empresariales y de los negocios. El peso del compliance civil o mercantil, es decir voluntario, es desatacado en sectores como el del transporte. Y además, en este ramo de actividad económica se combinan aspectos de cumplimiento, plataformas e incluso de RSE con lo que facilita la comprensión unitaria de los distintos institutos analizados en este volumen. Así el conjunto de consideraciones tecnológicas, metodológicas, de métricas y de RSE que evidencian la cercana relación con los fenómenos analizados en las dos primeras partes y la progresiva juridificación de la RSE, la economía colaborativa y el compliance.

Prologados por Doña Arancha González Laya, el destacado e ilustre numero de autores de los sucesivos capítulos incluyen, además de a los directores de la obra, a los catedráticos de Derecho Mercantil Profesor José Miguel Embid Irujo, Luis María Miranda Serrano; de Organización de empresas María José Álvarez Gil; de Derecho Internacional Público Carlos Fernández Liesa; a nuestras admiradas mercantilistas María Isabel Candelario Macías, Christi Amesti Mendizábal, María Jesús Blanco Sánchez, Paula Vals; a profesores extranjeros como la Doctora Virginia Zambrano, Professore Ordinario di Diritto Privato Comparato, Università degli Studi di Salerno (Italia) y la Doctora Jeannette Valverde Chaves Catedrática de la Universidad Nacional de Costa Rica (Costa Rica); por mencionar sólo a algunos de los coautores, y con disculpas con el resto que por razón de espacio no detallamos aquí. Destacadamente, estos autores pertenecen al mundo académico, pero también al foro, a la CNMC e incluyen a expertos que inciden especialmente en los aspectos relativos a la aplicación práctica de la RSC clásica y de reporting, de economía colaborativa y de cumplimiento. Todos ellos bajo la batuta de unos directores que han sabido estructurar las distintas aportaciones para dotar a la obra de unidad sistemática y de contenidos.

Felicitamos a autores y directores, en tanto que quedamos atentos a futuros desarrollos del grupo de investigación liderado desde el mercantilismo de la Universidad Carlos III.

La SEC controla en los tribunales un fraude de valores relacionado con un activo digital

Posted on 13 abril, 2020 por Elena F Pérez Carrillo

SEC, fraude de valores y criptomonedas

A través de su demanda presentada en el Distrito Occidental de Texas (División de Austin) el 16 de marzo de 2020, la SEC ha tenido éxito en la congelación de activos y otras medidas preliminares para detener un fraude de valores en curso, que afectaba a inversores dentro y fuera de los Estados Unidos. Así lo anunciaba una nota de prensa del superviso

rLos hechos subyacentes consisten en la comercialización y venta de un supuesto activo digital llamado «Moneda Meta 1», en lo que constituye una oferta de valores no registrada realizada a través del Trust de la “Moneda Meta 1”. En la denuncia se alega que los acusados hicieron numerosas declaraciones falsas y engañosas a los inversores potenciales y reales, incluidas las afirmaciones de que Meta 1 estaba respaldada por una colección de arte de 1.000 millones de dólares o 2.000 millones de dólares de oro, y que una empresa de contabilidad estaba auditando los activos de oro.

La comercialización incluía afirmaciones de que Meta 1 estaba libre de riesgos, que nunca perdería valor y que podría devolver hasta un 224.923% de intereses. Según la denuncia, los acusados nunca distribuyeron las Monedas Meta 1 y en su lugar utilizaron los fondos de los inversores para pagar gastos personales y canalizar los ingresos a otros dos socios en el proyecto. Según la SEC, algunos de los fondos obtenidos fueron utilizados para comprar automóviles de lujo. La SEC alega que los acusados recaudaron más de 4,3 millones de dólares de más de 150 inversores dentro y fuera de los EE.UU.

Ciberseguridad en el sector financiero. Propuesta DORA: Actualidad en la UE

Posted on 10 abril, 2020 por Elena F Pérez Carrillo

DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE

En abril de 2019, las Autoridades Europeas de Supervisión habían recomendado a la Comisión Europea que propusiera mejoras específicas en el marco regulador financiero de la UE para desarrollar una normativa única de regulación y supervisión para la resistencia operativa de las TIC en el sector financiero. Sobre tal base principal, la Comisión Europea abrió un periodo de consultas sobre este documento (DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE). El periodo de consultas estuvo abierto desde 19.03.2019 hasta 19.03.2020.

En particular, la Comisión recabó opiniones sobre: 1) requisitos sobre la gestión de los riesgos de seguridad y las TIC en el acervo legislativo aplicable al sector financiero, 2) requisitos de notificación de incidentes, 3) marco de pruebas de resiliencia operativa digital y 4) supervisión de los proveedores de terceros de TIC a las instituciones financieras.

De entre las respuestas recibidas, destacamos la de la Asociación Europea de Servicios Financieros (AFME), aqui.

Destacamos de esta respuesta: