Archivo de la categoría: Ciberseguridad en la empresa. Master U en Ciberseguridad

Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración

Posted on por

Entrada que debe actualizarse conforme al: Nuevo Esquema Nacional de Seguridad

 

Esquema Nacional de Seguridad en el ámbito de la administración electrónica ( ENS) está regulado en el Real Decreto 3/2010 de 8 de enero

Hamburgo. Ayuntamiento. Epc

El objeto del ENS es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”. En principio se aplica  sólo a las administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”. Pero, como veremos,  afecta también a algunas empresas del sector privado.

Es recomendable que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este ENS ya que el RGPD, exige aplicar  medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc. de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc. Pero además resulta obligatorio en los casos establecidos en la D.A. 1 de la Ley Orgánica 3/2018 de Protección de datos personales y garantía de derechos digitales, que se reproduce: 1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad. En 2010 se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.  Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos. En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Entre las obligaciones más destacables que derivan del ENS está la de clasificar los niveles de riesgo de ciberseguridad en tres grandes categorías (bajo, medio, alto) , así como  las correspondientes medidas aplicables a cada uno de esos niveles.

Otra obligación afecta a la gobernanza empresarial, pues conforme al ENS, las entidades afectadas deben nombrar a responsables específicos. Concretamente, conforme al art 10 del RD 3/2010 (ENS),  en los sistemas de información de las entidades sometidas a ese RD, se deben establecer tres figuras de responsabilidad distintas: el responsable de la información, el responsable del servicio y el responsable de la seguridad: El responsable de la información  será competente para determinar los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones  que deban adoptarse para satisfacer los requisitos de seguridad de la información y de los servicios.

Pero, adicionalmente, conforme al ENS la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. A todo esto se une que la política de seguridad de la organización, documento estratégico con el  que deben contar las entidades sometidas al ENS,  detallará las atribuciones de cada responsable, los mecanismos de coordinación y lo de resolución de conflictos.

Como adelantábamos, el ENS  también resulta aplicable a la empresa privada en algunos casos.

Para entender mejor el contexto,  recordemos que  la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD) adapta nuestro ordenamiento al Reglamento (UE) 2016/679”, RGPD. Y,  es aplicable tanto a la administración como a la empresa privada

  • El RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente el principio de “integridad y confidencialidad” establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental
  • El artículo 32 del RGPD, establece que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por tanto, las medidas de seguridad para proteger los datos personales no se recogen en una lista taxativa. Con este artículo 32, se introduce una suerte de  autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales, ya sean estos objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya

Vista de San Sebastian

La LOPD GDD, art 77, estableció, además, unos sistemas y medidas de protección de datos especiales ara la Administración Pública española. Ello se completa con la DA 1ª LOPD-GDD que establece un marco específico de seguridad en el sector público, a través del ENS, sustituyendo la autoevaluación del art 5.2 por un régimen específico para el sector público: “Medidas de seguridad en el ámbito del sector público:

  1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
  2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado
  3. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad

Por lo tanto, en la distintas entidades de la DA 1 , apartado 3 LOPD-GDD, ya sea en calidad de responsable o encargado del tratamiento, han de  categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y  de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema. Ello para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten,

Casamento no Pazo

Cualquier entidad  privada que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia. Y, en efecto, es habitual que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

¿El papel de responsable de seguridad en estas empresas podrá corresponder, es decir, coincidir con el  RSI o Chief Information Security Officer (CISO) que deriva del RD  43/2021 -dentro del desarrollo del paquete NIS (Network Information and Security) ; al que aludíamos en entradas anteriores? Conforme al art 7 apartado 5 delReal Decreto 43/2021,  así sería, al menos en el caso de las empresas privadas sometidas tanto a NIS como al ENS. 

El Responsable de Seguridad de la Información – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

Posted on por

El Boletín Oficial del Estado (BOE) publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El texto completa la incorporación del  la Directiva (UE) 2016/1148 del Parlamento Europeo y  del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea, conocida como Directiva NIS (Security of Network and Insformation Systems)

Cabanas, 2016

Recuérdese que a  finales del año 2018, la transposición de la citada Directiva NIS se llevó al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. que  regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea

En esta ocasión, el Real Decreto 43/2021, de 26 de enero, que publica el BOE, establece como ámbito de aplicación la prestación de los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Pero también la prestación de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

En el artículo 2.2. RD contempla que está sometidos a este nuevo Real Decreto «los operadores de servicios esenciales establecidos en España. En coherencia con lo ya expresado respecto de NIS, se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.» También «los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

Por contra, este Real Decreto no se aplica, según establece el artículo 2.3, a «los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.». Tampoco a «los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.«

Sanabria

Cabe destacar que en dicho Real Decreto:

  1. se establecen los requisitos de seguridad, así como las medidas para el cumplimiento de las obligaciones de seguridad,
  2. contempla en el plano normativo al responsable de la seguridad de la información o RSI, el CISO, que veíamos desarrollado en normas o estándares privados como ISO.
  3. se ocupa de la gestión de incidentes de seguridad
  4. detalla las obligaciones de notificación de los incidentes de los operadores de servicios esenciales: «Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción«, reza el artículo 9.1 de este RD.

El RSI o CISO (para OSE)

En relación con el Responsable de Seguridad de la Información, el artículo 7  del RD 43/2021 insta a que esta figura mantenga «una comunicación real y efectiva con la alta dirección». Además, señala que su posición debe «facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad». Esta figura, ya sea una persona, unidad u órgano colegiado, deberá contar con medios personales y materiales para desarrollar su función. Ejercerá de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicación únicamente a los OSE

Entre las funciones del RSI/CISO está el  elaborar las políticas de seguridad y proponerlas para su aprobación por la organización. Estas políticas han de incluir las medidas técnicas y organizativas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. Y, para prevenir y reducir al mínimo los efectos de los ciberincidentes

Se reproduce a continuación el art 7 del RD 43/2021:

Artículo 7. Responsable de la seguridad de la información.

  1. Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la información sea una unidad u órgano colegiado, se deberá designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.
  2. Los operadores de servicios esenciales comunicarán a la autoridad competente respectiva la designación del responsable de la seguridad de la información dentro del plazo establecido en el apartado anterior, así como los nombramientos y ceses que afecten a la designación del responsable de la seguridad de la información en el plazo de un mes desde que aquellos se produzcan.
  3. El responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la información, para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad  del Esquema Nacional de Seguridad,  a lo que dedicamos la siguiente entrada de este blog

Tratamiento de datos personales y discriminación algorítmica en el entorno asegurador. A propósito de un libro reciente

Posted on por

JUNQUEIRA, Thiago, Tratamento dos Dados Pessoais e Discriminacão Algorítmica nos Seguros, Thomson Reuters /Revista dos Tribunais, São Paulo, 2020.

(Prologado por Anderson Schreiber; presentado por Bruno Miragem)

Presentábamos recientemente para consultor jurídico de Brasil,  este libro recientemente recibido de allende los mares. Su autor Thiago Junqueira es Doctor en Derecho por la Universidad del Estado de Rio de Janeiro,  Profesor  y Abogado socio, del reconocido bufete Chalfin, Goldberg & Vainboim Advogados.  Se reproduce a continuación, con adaptaciones, esa reseña, ahora en el marco del blog DerMerUle

Es estudio de Junqueira parte de la idea del carácter innovador del mundo asegurador para el Derecho. Justifica su afirmación en la frecuencia con la que, en efecto, los contratos de seguros suelen anticipar hitos importantes en el devenir de la evolución de algunas relaciones jurídicas especialmente en Derecho  privado. A través de ejemplos y fundamentos doctrinales clásicos, entre los que resulta paradigmática la tendencia objetivadora de la responsabilidad civil asegurada; Junqueira conduce al lector a otros supuestos actuales como es el de a tutela de los datos personales  en el marco de la contratación de seguros. Si esta cuestión ya ha sido objeto de atención doctrinal en años recientes, mayor reflexión merece a la luz del tratamiento algorítmico automatizado que hoy subyace a los cálculos matemáticos y actuariales esenciales en la industria aseguradora. Y es que, el carácter carácter necesario de las informaciones (inputs) que necesita la industria para poder asegurar riesgos, no obsta para que el tratamiento que se realice con tales datos deba valorarse a la luz de los derechos que asisten a los asegurados, y en concreto frente a la prohibición de discriminación.

Las vías sugeridas por Junquira para aminorar los riesgos derivados del tratamiento automatizado en el caso de las aseguradoras  reflejan una investigación lúcida y un profundo conocimiento tanto del ámbito jurídico de la protección de datos, como del de la responsabilidad y del asegurador.

El autor de esta obra se basa en  el análisis de figuras e institutos jurídicos tradicionales, propios de la teoría dogmática más clásica en derecho de seguros continental, brasileño y anglosajón. No deja de lado, por tanto,  cuestiones relativas al análisis de riesgos, la elaboración de perfiles, o su relación con el cálculo de las primas. Pero además, introduce en sus reflexiones las formulaciones teóricas más avanzadas sobre la privacidad, protección de datos personales y discriminación directa e indirecta. Todo ello, a la luz de la reciente aprobación en el país brasileño de una nueva Ley General de Protección de Datos Personales – LGPD, que introduce entre otras instituciones, una regulación básica sobre la discriminación directa. También se contemplan en esta obra formulaciones científicas que se van asentando en la doctrina como la de la llamada “justicia actuarial” o de la intimidad informática, ahora aplicada a los tratamientos con inteligencia artificial.  Y es que el  panorama actual relativo a la discriminación por el tratamiento de datos en los seguros  tiene sus raíces  en formulaciones doctrinales y jurisprudenciales clásicas nacionales y comparadas, y se proyecta hacia nuevos panoramas

El volumen se divide en tres grandes partes.

  • En el primer capítulo se examina la clasificación de los riesgos por parte del asegurador en la llamada ciencia actuarial. Tras subrayar la base económica y social de la clasificación del riesgo, y su apoyo jurídico – normativo, el autor  aborda una cuestión nuclear: la dificultad de comprensión de los presupuestos y procesos actuariales para el iusprivatista.  Conceptos como el de «generalización del riesgo» o ll de la «correlación» , propios de formulaciones actuariales van más allá de la causalidad jurídica. También aborda la relación entre los criterios de medición actuarial utilizados por la aseguradora, con el deber de protección de la intimidad del asegurado y con las  prohibiciones de discriminación. En este sentido, destaca Junqueira  como  algunos datos personales, de género o de étnica son objeto de tratamiento con consecuencias discriminatorias directas o indirectas.
  • El segundo capítulo se centra en la dicotomía entre la necesidad de prevenir discriminaciones en el tratamiento inteligente de datos, y el requisito de valorar riesgos como base de la eficacia y de la sostenibilidad del negocio asegurador. Y, centrando la cuestión, investiga las posibles estrategias para prevenir la discriminación racial algorítmica en la clasificación de riesgos. A este respecto, Thiago Junqueira formula una proposición innovadora en el sentido de que la tutela frente a la discriminación en sus diversas facetas, debe observarse no sólo en su perspectiva directa, sino también en la indirecta. La discriminación indirecta es  más difícil de combatir pues a menudo se basa en datos de apariencia neutra.
  • En la parte final o tercer capítulo, posiblemente la más innovadora del libro, el Doctor ofrece estrategias preventivas en el tratamiento de datos,  en particular en lo relativo a evitar la discriminación racial  susceptible de general  discriminación indirecta. Así, en lugar de una aproximación de control en cuanto a los inputs, u informaciones de recogida por parte de los aseguradores, presenta la opción de favorecer un control de outputs, esto es de los servicios y ofertas aseguradoras para evitar también la discriminación indirecta. En efecto, frente a la fairness through blindness conocida en el mundo anglosajón,  actualmente se proponen regímenes de fairness through awareness (FTA). El FTA implica, o puede hacerlo, la necesidad de conocer datos sensibles por parte de la aseguradora, precisamente para equilibrar los cálculos actuariales en su programación automatizada basada en una justicia desde el diseño, design fairness o privacy from design. Son abundantes, pertinentes y muy interesantes las reflexiones doctrinales y jurisprudencia bien traída en este libro. Principalmente casos norteamericanos, de los que se evidencia que, frente a prohibiciones de discriminación directa que posiblemente puedan abordarse con cierto éxito desde la “ceguera”, la combinación de la automatización en las decisiones actuariales con la proyección de la discriminación indirecta evidencia la insuficiencia de un tratamiento consistente en la mera eliminación de datos. Apuntaría el autor, o eso creo, a favorecer una suerte de discriminación positiva en el cálculo algorítmico una “discriminación (positiva) por concienciación. Una discriminación, pero no tanto en lo relativo a los resultados, o dicho de otro modo, no tanto aplicando una reducción en la prima de seguros cuando el asegurado pertenezca a un grupo racial concreto. Sino, contrarrestando algunos efectos que la inteligencia artificial tiende a asignar, que derivan de cuestiones socio económicas y que en realidad, no tendrían impactos significativos sobre el riesgo pero que tienen consecuencias en el encarecimiento de los seguros para los grupos humanos en cuestión. En el fondo, se plantea la necesidad de que el legislador efectúe controles preventivos, más que a posteriori, para lograr un equilibrio entre nuevas tecnologías automatizadas y tutela de derechos fundamentales. Y, de contar con mecanismos comprensibles  que no abandonen del todo el ámbito del control humano y por tanto de la responsabilidad. En efecto transparencia y accountability se configuran en esta obra, como pilares en el devenir de una industria aseguradora apoyada en la inteligencia artificial,  pero no hasta el punto de abrazar sin filtro las inferencias y deducciones que conllevarían consecuencias nocivas en el terreno de los Derechos Humanos, entre ellos los derivados de la discriminación en el tratamiento automatizado de datos personales.

 

Las últimas páginas del libro se dedican a exponer en modo claro y sucinto el conjunto de 21 conclusiones a las que llega el Doctor, y a recoger la importante batería bibliográfica y documental nacional y comparada, en la que ha basado su investigación.

Reiteramos nuestra felicitación y agradecimiento por el regalo de este importante trabajo, quedamos a espera de las futuras obras del Doctor. Y, sin duda animamos a los interesados en tanto en el mundo asegurador, como en el de la inteligencia artificial desde el derecho privado, a utilizar este trabajo que encontrarán de gran utilidad.

Certificados de ciberseguridad en la UE. Gobernanza y competencias en el nuevo marco europeo de certificación

Posted on por

El Reglamento (UE) 2019/881 establece en sus arts. 46 y siguientes un marco europeo de certificación de la ciberseguridad para mejorar el funcionamiento del mercado interior.

 

Travellers’ Guide!

Conforme al art 46.2 del Reglamento 2019/881, el marco europeo de certificación de la ciberseguridad define un mecanismo destinado a instaurar esquemas (sistemas) europeos de certificación de la ciberseguridad y a confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

  • LOS ESQUEMAS EUROPEOS DE CERTIFICACIÓN DE LA CIBERSEGURIDAD SON, EN PRINCIPIO, VOLUNTARIOS, SALVO QUE SE INDIQUE LO CONTRARIO EN UNA NORMA DE LA UE, sustituyen a los análogos nacionales hasta la expiración de éstos últimos: Se orientan a la consecución de diversos objetivos de seguridad, como la protección de datos almacenados, transmitidos o procesados; categorizan el nivel de seguridad de los productos, servicios y procesos de TIC como «básico», «sustancial» o «elevado»; permiten que los fabricantes y proveedores de productos, servicios y procesos de TIC de bajo riesgo (es decir, «básicos») los evalúen ellos mismos («autoevaluación de la conformidad»); obligan a los fabricantes a incluir ciertas características, como una descripción precisa del propósito, el objeto y el alcance, así como los criterios de evaluación y los métodos empleados.

LA COMISIÓN EUROPEA:

    • publicará un programa de la UE de trabajo evolutivo en materia de certificación europea de la ciberseguridad en el que se identificarán las prioridades estratégicas y los productos, servicios y procesos (o categorías) de TIC que podrían beneficiarse de un esquema de certificación;
    • podrá solicitar a ENISA que prepare una propuesta de sistema de certificación o que evalúe uno existente.
    • evaluará periódicamente la eficacia y el uso de los esquemas de certificación adoptados y considerará si procede que alguno de ellos adquiera carácter obligatorio;
    • completará su primera evaluación detallada a más tardar el 31 de diciembre de 2023 y, posteriormente, cada dos años;
    • evaluará el impacto, la eficacia y la efectividad de ENISA a más tardar el 28 de junio de 2024 y, posteriormente, cada cinco años.

 

LOS PAÍSES DE LA UE:

  • Deben designar a una o más AUTORIDADES NACIONALES DE CERTIFICACIÓN DE LA CIBERSEGURIDAD  para controlar, supervisar y velar por la aplicación de las normas de los esquemas o sistemas europeos de certificación
  • Deben abstenerse de autorizar nuevos sistemas nacionales de certificación cuando ya exista un esquema europeo; si bien los sistemas (o esquemas) existentes, se mantienen en vigor hasta

ENISA:

    • Prepara proyectos de sistemas de certificación a petición de la Comisión o del GECC;
    • Evalúa cada sistema de certificación adoptado cada 5 años;
    • Mantiene un sitio web específico para facilitar información sobre los sistemas, los certificados y las declaraciones de conformidad.

 

Vidrieras Catedral Pristina

LOS FABRICANTES Y PROVEEDORES DE PRODUCTOS, SERVICIOS Y PROCESOS DE TIC CERTIFICADOS:

  • Deben publicar orientaciones y recomendaciones para que los usuarios finales puedan instalar, aplicar y mantener sus productos o servicios; así como el período para el que ofrecen asistencia en materia de seguridad, sus datos de contacto y referencias a repositorios en línea con información sobre asuntos conocidos de seguridad que afecten a sus productos o servicios.

LAS PERSONAS FÍSICAS Y JURÍDICAS:

    • tienen derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad y a recurrir a la tutela judicial efectiva a partir de la entrada en vigor de los artículos correspondientes de ese Reglamento, el 21.junio 2021 (el Reglamento no afecta a las responsabilidades de los países de la UE en materia de seguridad pública, defensa, seguridad nacional y Derecho penal)

ENISA, la (renovada) Agencia Europea de Ciberseguridad

Posted on por
El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69),  renueva el mandato de la Agencia Europea de Ciberseguridad, (de forma permanente a partir del 27 . 06. 2019)

 

ENISA está situada en Heraclitón, Grecia  desde 2004. Su misión es contribuir a la política cibernética de la UE, mejorar la confiabilidad de los productos, servicios y procesos de TIC fomentando la puesta en marcha de sistemas de certificación de ciberseguridad. Coopera con los Estados miembros para impulsar la resiliencia de la infraestructura de la Unión, así como para mantener la seguridad digital en la UE.

Las tareas de ENISA son, más concretamente:

  • contribuir al desarrollo y a la ejecución del Derecho de la UE en materia de ciberseguridad;
  • promover la creación de capacidades, la mejora de la prevención, la detección y el análisis de ciberamenazas,  así como de la respuesta a las mismas
  • apoyar el desarrollo de equipos de respuesta a incidentes de seguridad informática (CSIRT) y a la organización de ejercicios de ciberseguridad a escala de la UE;
  • apoyar la cooperación operativa de la UE, especialmente mediante su equipo de respuesta a emergencias informáticas de la UE (CERT-UE), que apoya el el intercambio de conocimientos y de mejores prácticas para el  mantenimiento de las redes de la UE y los CSIRT nacionales;
  • apoyar y promover el desarrollo y la ejecución de certificados de ciberseguridad de la UE para productos, servicios y procesos de TIC, en el marco de un nuevo marco europeo de certificación de la ciberseguridad;
  • recoger y analizar datos e información sobre ciberseguridad, especialmente sobre tecnologías emergentes, ciberamenazas e incidentes;
  • sensibilizar al público sobre los riesgos relacionados con la ciberseguridad, facilitar buenas prácticas para usuarios individuales y promover la concienciación y la educación en general en materia de ciberseguridad;
  • asesorar sobre necesidades y prioridades de investigación y contribuir a la agenda estratégica de la UE en materia de innovación e investigación de ciberseguridad;
  • contribuir a la  cooperación de la UE en el plano internacional.

La estructura administrativa y de gestión de ENISA está integrada por:

  • un Consejo de Administración con 1 representante de cada país de la UE y 2 miembros designados por la Comisión Europea, que establece la dirección general de las actividades de la agencia;
  • un Comité Ejecutivo de 5 miembros que prepara las decisiones que adoptará el Consejo de Administración;
  • un Director Ejecutivo independiente, que da cuenta de su gestión al Consejo de Administración e informa al Parlamento Europeo y al Consejo cuando así se le solicita, es el responsable de gestionar la agencia;
  • un Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, pymes, consumidores, académicos, y operadores de servicios esenciales, y también por representantes de las autoridades competentes recogidas en la Directiva (UE) 2018/1972 por la que se establece el Código Europeo de las Comunicaciones Electrónicas, organizaciones de normalización y autoridades de supervisión policial y de protección de datos, que se centra en asuntos de interés para las partes interesadas y los ponen en conocimiento de ENISA;
  • una red de funcionarios de enlace nacionales que consta de representantes de todos los países de la UE y que facilita el intercambio de información entre estos y ENISA, a la que apoya en la difusión de sus actividades, conclusiones y recomendaciones.
  • el Reglamento  configura ahora además un Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad, (GPICC)  compuesto por expertos de reconocido prestigio, que se encarga de asesorar a la Comisión en asuntos estratégicos relativos al marco de certificación de la UE en materia de ciberseguridad y a ENISA, si así lo solicita, sobre asuntos generales y estratégicos relativos a las labores pertinentes de la agencia; y un Grupo Europeo de Certificación de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisión en sus tareas para garantizar la coherencia en la ejecución y la aplicación del Reglamento, y a ENISA en lo concerniente a la preparación de posibles esquemas de certificación de la ciberseguridad.

ENISA ha firmado acuerdos con los organismos Europeos de Normalización (CEN, CENELEC, ETSI) y colaborará con ellos

Ruiz Muñoz, De la Vega Justribó et alt.: Análisis en profundidad en materia de RSE, economía colaborativa y compliance mercantil.

Posted on por

RESPONSABILIDAD SOCIAL CORPORATIVA (RSC) Economía colaborativa y cumplimiento normativo, RUÍZ MUÑOZ, M. Y DE LA VEGA JUSTRIBÓ (Directores), B. Tirant lo Blanch, 2019, 601 páginas.

Es siempre un placer dar noticia de los resultados del trabajo de compañeros de asignatura y de expertos prácticos. Unos y otros estudian, dan forma y ejecutan las instituciones e instrumentos propios de las nuevas orientaciones en diseño y gestión estratégica de empresa, que así pasan de la teoría a la realidad y conocen la evolución y adaptación exigida por el contexto en el que se aplican.

Más satisfactorio es aún cuando, como es el caso, nos encontramos ante una cuidada obra en su contenido y presentación que analiza algunos de los fenómenos contemporáneos que más se están desarrollando cuales son la Responsabilidad Social Empresarial (RSE/RSC), la economía colaborativa, el cumplimiento normativo.

El libro del que se da aquí aviso ha sido dirigida desde la Universidad Carlos III, por uno de los equipos más activos en la innovación jurídica, en su estudio y en su acercamiento a alumnos desde la perspectiva del Derecho Mercantil. Felicidades a los autores y en especial a los directores, Profesores Miguel RUÍZ MUÑOZ y Bárbara DE LA VEGA JUSTRIBÓ, quienes han contado con la colaboración de un conjunto de académicos y profesionales de distintas disciplinas. Siendo el derecho mercantil el hilo conductor de este volumen, todos los autores habían sido participantes en el Seminario Internacional sobre Derecho de los negocios, RSC, economía colaborativa y legal compliance de la universidad Carlos III. El seminario y la obra científica que se presenta ahora contaron con el apoyo del Proyecto de investigación: actores económicos internacionales y derechos humanos, Especial Referencia para España (Ref. DER 2014-55484-P).

Tendremos ocasión de dedicar más tiempo para comentar con más detalle este libro articulado en 3 partes y  23 capítulos. Pero ya avanzamos, que aborda el fenómeno de la responsabilidad social desde una perspectiva, o más bien desde un conjunto de puntos de vista complementarios y renovadores. Se aportan visiones útiles para comprender la proyección de la RSE, la economía colaborativa y el compliance en la administración de empresas, así como  su relación con la estrategia empresarial y con el derecho de los negocios, cuyo núcleo fundamental lo constituye el derecho mercantil. Destacable resulta, por otra parte, la dimensión internacional de la obra, que dota de valor añadido al estudio de unos fenómenos tan actuales y trasversales como globales, cada vez más sometidos a la lupa normativa. Junto a trabajos de derecho español encontramos estudios de derecho comparado y de la Unión Europea. La batería normativa y bibliográfica que los apuntalan contribuyen al rigor científico de la obra y a situar este libro entre las referencias obligadas para el estudio y la práctica de la responsabilidad social, la economía colaborativa y el compliance.

  • En la primera parte de este libro se realiza un análisis profundo de la responsabilidad social. Comprende aspectos redactados por grandes especialistas en derecho mercantil de sociedades y auditoría, pero también de márquetin estratégico, administración de sociedades, mercados, innovación, derecho marítimo, o grupos, todo ello sin olvidar la perspectiva internacional o cuestiones éticas y de cumplimiento normativo o insolvencias. Debe llamarse la atención sobre el fundamento y complementariedad de la RSE con el ordenamiento positivo que se refleja con éxito, por ejemplo, en relación con la transparencia e información en los mercados (también en relación con la información no financiera) en la selección y nombramiento de consejeros y administradores, o incluso en la interpretación de los deberes de diligencia y de lealtad de éstos.
  • En la segunda parte del libro está dedicada al fenómeno comúnmente conocido como economía colaborativa.  Uno de los aspectos que facilitan la comprensión de este tema es la distinción de distintos grados o niveles de modelos de negocio que se autodenominan de economía colaborativa. Si en un sentido estricto las plataformas se limitan a una labor de intermediación, en otras formulaciones son éstas las que prestan auténticamente el servicio, y lo hacen con ánimo de lucro. En función del modelo seguido, las consecuencias jurídicas de unos modelos frente a otros conllevan consecuencias jurídicas importantes, y muy especialmente en el ámbito del derecho de la competencia desleal, como se estudia con detalle en esta obra. Sigue una lucida critica al llamado fenómeno del prosumidor, adentrándose en las plataformas digitales especialmente en cuanto a la oferta de viviendas de uso turístico, o las implicaciones de la economía colaborativa sobre la economía digital, no se deja de lado la problemática de la resolución de conflictos y contratación internacional, que adquieren precisamente en el contexto de la economía colaborativa,  matices diferenciadores muy relevantes. Así por ejemplo, más allá de orientaciones superficiales, estas actividades plantean retos complejos como los requisitos técnicos de inicio y finalización de la actividad – contemplados heterogéneamente en los ordenamientos autonómicos, la responsabilidad de quienes la realizan, las consecuencias del fenómeno en el marco de la obligación de comportamiento leal en el mercado; o las peculiaridades que se suscitan cuando, de la mano de la economía colaborativa entramos en el ámbito de la contratación internacional, por mencionar algunas.
  • La tercera parte está dedicada al cumplimiento normativo. El compliance,  los canales de denuncia o los nuevos mecanismos de desarrollo de negocios dan idea que, en el actual entorno de riesgos crecientes y –a  menudo- difícilmente previsibles- los instrumentos de cumplimiento normativo ofrecen pautas de comportamiento fundamentales para el desarrollo de estrategias empresariales y de los negocios. El peso del compliance civil o mercantil, es decir voluntario, es desatacado en sectores como el del transporte. Y además,  en este ramo de actividad económica se combinan aspectos de cumplimiento, plataformas e incluso de RSE con lo que facilita la comprensión unitaria de los distintos institutos analizados en este volumen. Así el conjunto de consideraciones tecnológicas, metodológicas,  de métricas y de RSE que evidencian la cercana relación con los fenómenos analizados en las dos primeras partes y la progresiva juridificación de la RSE, la economía colaborativa y el compliance.

Prologados por Doña Arancha González Laya, el destacado e ilustre numero de autores  de los sucesivos capítulos incluyen, además de a los directores de la obra, a los catedráticos de Derecho Mercantil Profesor José Miguel Embid Irujo, Luis María Miranda Serrano; de Organización de empresas María José Álvarez Gil;  de Derecho Internacional Público Carlos Fernández Liesa; a nuestras admiradas mercantilistas María Isabel Candelario Macías, Christi Amesti Mendizábal, María Jesús Blanco Sánchez, Paula Vals;  a profesores extranjeros como la Doctora Virginia Zambrano, Professore Ordinario di Diritto Privato Comparato, Università degli Studi di Salerno (Italia) y la Doctora Jeannette Valverde Chaves Catedrática de la Universidad Nacional de Costa Rica (Costa Rica); por mencionar sólo a algunos de los coautores, y con disculpas con el resto que por razón de espacio no detallamos aquí.  Destacadamente, estos autores pertenecen al mundo académico, pero también al foro, a la CNMC e incluyen  a expertos que inciden especialmente en los aspectos relativos a la aplicación práctica de la RSC clásica y de reporting, de economía colaborativa y de cumplimiento. Todos ellos bajo la batuta de unos directores que han sabido estructurar las distintas aportaciones  para dotar a la obra de unidad sistemática y de contenidos.

Felicitamos a autores y directores, en tanto que quedamos atentos a futuros desarrollos del grupo de investigación liderado desde el mercantilismo de la Universidad Carlos III.

La SEC controla en los tribunales un fraude de valores relacionado con un activo digital

Posted on por

SEC, fraude de valores y criptomonedas

A través de su demanda presentada en el Distrito Occidental de Texas (División de Austin) el 16 de marzo de 2020,  la SEC ha tenido éxito en la congelación de activos y otras medidas preliminares para detener un fraude de valores en curso,  que afectaba a inversores dentro y fuera de los Estados Unidos. Así lo anunciaba una nota de prensa del superviso

 

rLos hechos subyacentes consisten en la comercialización y venta de un supuesto activo digital llamado «Moneda Meta 1»,  en lo que constituye una oferta de valores no registrada realizada a través del Trust de la “Moneda Meta 1”.  En la denuncia se alega que los acusados hicieron numerosas declaraciones falsas y engañosas a los inversores potenciales y reales, incluidas las afirmaciones de que Meta 1 estaba respaldada por una colección de arte de 1.000 millones de dólares o 2.000 millones de dólares de oro, y que una empresa de contabilidad estaba auditando los activos de oro.

La comercialización incluía afirmaciones de que Meta 1 estaba libre de riesgos, que nunca perdería valor y que podría devolver hasta un 224.923% de intereses.  Según la denuncia, los acusados nunca distribuyeron las Monedas Meta 1 y en su lugar utilizaron los fondos de los inversores para pagar gastos personales y canalizar los ingresos a otros dos socios en el proyecto. Según la SEC, algunos de los fondos obtenidos fueron utilizados para comprar automóviles de lujo.  La SEC alega que los acusados recaudaron más de 4,3 millones de dólares de más de 150 inversores dentro y fuera de los EE.UU.

Ciberseguridad en el sector financiero. Propuesta DORA: Actualidad en la UE

Posted on por

 DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE

En abril de 2019, las Autoridades Europeas de Supervisión habían recomendado a la Comisión Europea que propusiera mejoras específicas en el marco regulador financiero de la UE para desarrollar una normativa única de regulación y supervisión para la resistencia operativa de las TIC en el sector financiero. Sobre tal base principal, la Comisión Europea abrió un periodo de consultas sobre este documento (DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE). El periodo de consultas  estuvo abierto desde 19.03.2019 hasta 19.03.2020.

En particular, la Comisión recabó opiniones sobre: 1) requisitos sobre la gestión de los riesgos de seguridad y las TIC en el acervo legislativo aplicable al sector financiero, 2) requisitos de notificación de incidentes, 3) marco de pruebas de resiliencia operativa digital y 4) supervisión de los proveedores de terceros de TIC a las instituciones financieras.

De entre las respuestas recibidas, destacamos la de la Asociación Europea de Servicios Financieros (AFME), aqui.

Destacamos de esta respuesta:

NYC_by Jara IPM. One Trade Center Tower

  • En relación con la seguridad la AFME se muestra proclive a seguir utilizando los instrumentos desarrollados por la industria, como el Perfil de Seguridad Cibernético del Sector de Servicios Financieros (FSSCP) para comparar los marcos de seguridad utilizados actualmente y establecer las mejores prácticas en lugar de recurrir, como parece deducirse de la consulta, a legislación específica sobre Objetivos de Tiempo de Recuperación (OTR) y  Objetivos de Punto de Recuperación (OPR) , que a juicio de AFME se desviarían del enfoque basado en principios e incluso puede exacerbar el riesgo de un incidente cibernético .
  • Sobre notificaciones, La AFME reconoce que existe un riesgo cada vez mayor de que proliferen los requisitos de notificación de incidentes en las empresas, lo que incrementa su carga administrativa y desvía a las entidades del objetivo de mitigar riesgos, por lo que recomienda estudiar la forma de apoyar mecanismos eficientes de presentación de informes únicos para satisfacer distintos objetivos. También recomienda que se analicen modos en que las autoridades puedan agregar y compartir información entre ellas y con la industria para aumentar la eficiencia, en lugar de introducir requisitos nuevos o que compitan entre sí. En relación con los test de seguridad, AFME se manifiesta conforme con las propuestas de la Comisión para desarrollar un marco coherente de pruebas en todo el sector financiero, y pide una guía coherente también para el reconocimiento mutuo de estas pruebas por parte de los supervisores.
  • En relación con requisitos estrictos que las entidades puedan verse obligadas a aplicar a terceras partes, la AFME advierte contra la cualquier cambio inmediato sobre la forma en que las empresas de servicios financieros gestionan  la subcontratación a terceros proveedores de TIC, y se apoya en la experiencia adquirida por las entidades, señalando además que cualquier marco normativo debería ser adoptado a nivel mundial para evitar poner barreras a la innovación o crear fragmentación regulatoria.
  • En relación con otras áreas donde la acción de la UE sea necesaria, la AFME apoyaría medidas para compartir información y experiencias en el sector financiero, y más en concreto apunta al intercambio de evaluaciones sobre cómo se ha aplicado el paquete normativo NIS en los distintos Estados y en las diferentes instituciones. Apunta además AFME a que,  estas medidas en ningún caso deben generar riesgos contrarios a la protección de datos personales y confidenciales en particular en zonas grises como pueden ser metadatos conducentes a la identificación de adquisiciones ilícitas.

 

Límites legales en las retribuciones y gobernanza para entidades que perciban ayuda pública. CESA ACT. EEUU- Covid19

Posted on por

El Coronavirus Aid, Relief, and Economic Security, or “CARES Act”“ de 2020 de Estados Unidos   estableció dos programas de préstamos destinados a proporcionar liquidez a las empresas y otras organizaciones –incluidas las de Derecho Público  en los Estados Unidos:  por una parte el  Coronavirus Economic Stabilization Act (CESA) con programas de préstamos del Departamento del Tesoro; y  por otra el Keeping American Workers Paid and Employed Act , que configura  un sistema de protección de pagos a empleados (PPP).

Introducción

NYC_by Jara IPM

El CESA se contiene formalmente en el Título IV del Coronavirus Aid, Relief, and Economic Security, o “CARES Act”“ de 2020 que es , a su vez una de las grandes leyes federales aprobadas en relación con el COVID-19, por ahora junto con el  Coronavirus Preparedness and Response Supplemental Appropriations Act y el  Families First Coronavirus Response Act,.

Programas de préstamos reembolsables

El CESA establece paquetes de ayudas  del Departamento del Tesoro, federal de EEUU y de la Reserva Federal, en modo de préstamos, garantías y otros instrumentos para empresas y personas de derecho público, para  hacer frente a la pandemia. Destacamos que todas las ayudas del CESA  (a diferencia de otras aprobadas en el conjunto del CARES Act) se consideran transitorias y deben ser devueltas.

Los receptores de las ayudas de CESA deben someterse a límites financieros y de gobernanza, que incluyen restricciones en los dividendos a distribuir, la adquisición de autocartera, umbrales máximos en las retribuciones a sus ejecutivos así como otras restricciones que afectan al nivel de salarios de toda su plantilla, compromiso de mantener empleos en territorio estadounidense y de paz social (en relación con la actividad sindical). Estas medidas permanecerán activas durante un periodo inicial de 12 meses o más amplio hasta que el préstamo sea devuelto.

Cuantías y sectores directamente beneficiados
  • Los programas de ayuda de CESA se  dirigen en principio sólo a las empresas de EEUU cuyos trabajadores en su mayoría operan desde ese país, pero no excluye la participación  de las filiales en EEUU de entidades no estadounidenses
  • Las entidades que pueden percibir préstamos y garantías  son:
    • Por una parte aerolíneas de pasajeros y de transporte aéreo de mercancías, empresas de venta de billetes de avión, de reparación y mantenimiento en la industria aeronáutica y otras entidades relevantes (críticas) para la seguridad nacional (para ellos se han habilitado 46 mil millones de dólares en marzo de 2020).
    • También incluye 454 miles de millones de dólares en programas de apoyo de la Reserva Federal para inyectar liquidez en el sistema financiero mediante la compra de títulos de deuda sobre valores, títulos de deuda en obligaciones y otros títulos ya sean emitidos directamente por los emisores o adquiridos en mercados secundarios; así como para préstamos  garantizados; y  que incluye ayudas directas en forma de préstamos para entidades de entre 500 y 10.000 trabajadores, estando pendiente la configuración de un programa , en principio similar, adaptado para entidades más pequeñas.
  • Los potenciales solicitantes del estos préstamos que cuenten con financiación a través de acuerdos de “prívate equity” deben comprometerse, también, a respetar las imposiciones del CESA, con lo que posiblemente deban adaptar sus compromisos con inversores privados.
Requisitos
Relativos a dividendos y acciones propias
  •  Restricción de dividendos y recompra de acciones: cada beneficiario (y sus filiales) debe comprometerse, hasta después de 12 meses de que el préstamo se haya devuelto  a no pagar dividendos ni hacer otras distribuciones de capital con respecto a las acciones ordinarias; y a no recomprar sus valores de renta variable (autocartera) ni los de su matriz que coticen en una bolsa de valores nacional de EEUU, excepto cuando  la recompra  derive de una obligación contractual  preexitente en la fecha de entrada en vigor de CARES (marzo 2020)
Relativos a retribuciones

Entre los requisitos para recibir esas ayudas  se establecen límites retributivos para el personal  de las entidades afectadas. Estos umbrales máximos estarán vigentes hasta el momento en el que se devuelvan las ayudas recibidas (el llamado “periodo de restricción”). De hecho, los límites afectan a los altos ejecutivos y miembros del órgano de administración o equivalente.

  • Entidades con menos de 500 trabajadores. Las restricciones no se aplican, aunque con alguna excepción a las empresas de menos de 500 trabajadores, que también pueden obtener ayudas, mediante un mecanismo adaptado para su menor volumen.
  • Entidades que cuentan con entre 500 y 10.000 trabajadores. Durante el periodo de restricción, es decir, hasta que no se devuelvan las ayudas del CARE/CESA ningún ejecutivo o consejero, o ningún trabajador que percibiese más de 450.000 dólares en 2019 –salvo si derivaba de un convenio colectivo celebrado antes de 1 de marzo de 2020-, puede percibir retribuciones que en conjunto de 12 meses supere la recibida en 2019. Tampoco puede percibir indemnizaciones por cese o por finalización de la relación que exceda del doble de lo percibido en 2019.
  • Con carácter general:
    • aquellos cuya retribución o compensación global en 2019 fuese de 3 millones de dólares, el máximo global  que pueden percibir en cada uno de los periodos de 12 meses durante el “periodo de restricción”  se sitúa en los 3 millones de dólares
    • los que percibiesen  una compensación que supere  3 millones de dólares, el límite se establece en 3 millones más la mitad de lo que percibiesen por encima.

NYSE_by Jara IPM

En suma quienes percibieron entre 425.000 dólares y  3.000.000 de dólares en concepto de remuneración total en 2019  verán sus retribuciones anuales congeladas  y aquellos que en 2020 percibieron más de  3 millones de dólares ven sus retribuciones recortadas .

La ley especifica que el concepto de compensación se debe entender  que incluye  el total de sumas monetarias y no monetarias recibidas  en concepto de sueldo, bonificaciones, acciones y otros beneficios financieros.  Este último concepto de » beneficios financieros» no se define específicamente, pero parece incluir todos los elementos de la retribución.

Estas medidas quedan pendientes de ampliación y desarrollo regulatorio para clarificar, por ejemplo, el caso de las nuevas contrataciones, las retribuciones que habían sido objeto de pactos individuales y colectivos, y también los procedimientos  para solicitar exenciones.

Más

Cuadro de límites  de retribuciones y gobernanza a las entidades beneficiarias de CESE a 30.03.2020

Junta General electrónica en sociedades no cotizadas y el RDL 11/2020. Algunas cuestiones (COVID-19. Derecho de Sociedades. IV)

Posted on por

La Disposición final 1 del Real Decreto Ley 11/2020 de 31 de marzo modifica parcialmente el art 40 del Real Decreto Ley 8/2020, que comentábamos aquí   por haber adaptado, a su vez, el funcionamiento de los órganos de dirección de determinadas personas jurídicas, entre otras de las sociedades de capital, a la crisis del COVID19 .

Resolución de 9 de abril de 2020, del Congreso de los Diputados, por la que se ordena la publicación del Acuerdo de convalidación del Real Decreto-ley 11/2020, de 31 de marzo, por el que se adoptan medidas urgentes complementarias en el ámbito social y económico para hacer frente al COVID-19.

La reforma que entró en vigor el 02.04.2020 es de interés y utilidad, y además suscita algunas dudas interpretativas, seguramente propias de la normativa aprobada en las presentes circunstancias de alarma.

Junta general a distancia. 

Semana Santa, encuentro. Cortesía TurisLeón, vía HéctorLSuárezPérez

El RDL11/2020 añade un segundo párrafo al art. 40.1 RDL 8/2020 en virtud del cual , ahora ya explícitamente, no sólo los órganos de administración de las personas jurídicas afectadas, incluyendo las SL y SA no cotizadas,  sino también las juntas generales y órganos asamblearios en otras personas jurídicas afectadas pueden realizarse enteramente a distancia o por medios electrónicos (videoconferencia o por llamada telefónica múltiple) durante el periodo de alarma  “Aunque los estatutos no lo hubieran previsto,….» 

 La flexibilidad reconocida  en el Real Decreto Ley 11/2020 que modifica el art 40.1 del RDL 8/2020 en un estado de alarma como el actual resulta en conjunto positiva. Pero, de cara a una permanencia de estas medidas, que al menos en parte podrían resultar de utilidad práctica, cabría clarificar algunas cuestiones.

  • Exigencias de legalidad de  la JG a distancia. Las exigencias para poder celebrar juntas enteramente a distancia (por multiconferencia telefónica o por videoconferencia)  actualmente, es decir durante el periodo de alarma y desde el 2 de abril de 2020 son, en términos casi literales:
    • que todas las personas que tuvieren derecho de asistencia o quienes los representen dispongan de los medios necesarios para conectarse
    • que el secretario reconozca la identidad de aquellos con derecho a asistencia y de sus representantes, y  así lo exprese en  acta,
    • que el secretario remita de inmediato a las direcciones de correo electrónico de cada uno de los concurrentes su reconocimiento de la identidad de los concurrentes

Catedral de León by M.A. Díaz

Estas exigencias incluyen implícitamente, parecería, varios otros requisitos previos y posteriores, cuanto menos de carácter  organizativo:

  • Por un lado, que además de poder conectarse los socios, representantes y otros legitimados para asistir a la JG, todos ellos cuenten con unos medios de conexión seguros y con una mínima calidad técnica que garantice el seguimiento de la reunión audiovisual o telefónica. Surgirían aquí cuestiones susceptibles de entorpecer la convocatoria como resultado de la voluntad, o ausencia de voluntad de los socios (como por ejemplo el supuesto de algún socio que queriendo retrasar la convocatoria no comunica su correo o teléfono, o lo desconecta, o causa baja), situaciones que, sin perjuicio de su calificación y consecuencias, no resultan impensables y que quizás merecerían atención más detallada, de lege ferenda o cuando menos en futuras reformas estatutarias, incluidas reformas en los formularios de estatutos tipo.(en esta otra entradilla, aunque en relación con cotizadas de EEUU veíamos cómo la práctica de JG virtuales no es siempre bien recibida)
  • Que la posibilidad de conexión no sólo exista, sino que sea conocida por el secretario y el órgano de administración convocante en su conjunto, y tenga un mínimo de calidad técnica y de seguridad.

Parecería lo más lógico que, para cumplir con las exigencias mencionadas, al menos en sociedades pequeñas, o que no se apoyan habitualmente en medios electrónicos seguros para su gobernanza,  implicará tareas adicionales cuanto menos del secretario del consejo si lo hubiera, o  en todo caso, del órgano convocante. En apoyo de estos procesos preparativos (ya sea de la convocatoria o ya sea directamente de la celebración,  correspondería un acuerdo previo  habilitador (o al menos organizador) del órgano de administración que impulsa la convocatoria y en último término es responsable de ella:.

  • Sin perjuicio de lo anterior, el secretario deberá adoptar,  antes de la celebración, diríamos, cuando menos unas medidas razonables de diligencia a efectos del reconocimiento de la identidad de las personas con derecho de asistencia y de sus medios técnicos de conexión, de cara a la redacción de la lista de asistentes. Nótese que con la articulación de estos medios, hoy extraordinarios en nuestro ordenamiento, se está afectando a derechos tanto de carácter político y representativo, como de naturaleza económica de los socios. Y, en estos tiempos de escasa estabilidad en los que muchas entidades deberán reformular cuentas, retrasar aplicaciones de resultados, por mencionar algunas de las incidencias que veremos estos días,  la posibilidad de error o de conflicto no hacen sino aumentar. Pensemos, por ejemplo en el caso de problemas adicionales en un supuesto de representación general preconcedida, pese a la que  el socio que finalmente decide asistir; procesos de transmisión mortis causa  y similares, etc. En conjunto,  la gobernanza en los trámites previos a la JG a distancia exigen  una diligencia específica del consejo, y del secretario.
  • En cuando al secretario de la JG, convendría que tuviese deberá además contar con los correos electrónicos de los concurrentes (para la posterior comunicación). Y aquí volvemos a encontrar la posibilidad de que se produzcan ya sean errores o sean conductas de obstrucción como ya se dijo, que en todo caso habría que prever y procurar evitar.
  • Los medios para comunicar la convocatoria, el cumplimiento de la notificación del secretario, o de las comunicaciones previas a la celebración sobre los “medios necesarios para conectarse” , o la propia seguridad de esos medios no son objeto de atención en el RDL.  Deberá entenderse que se exigen unos requisitos mínimos de seguridad, certeza, estabilidad de las comunicaciones; pero el estándar de estos términos jurídicamente indeterminados no consta en la norma. Ni tampoco aparecen los medios de prueba en relación con tales comunicaciones y medios, por lo que servirá cualquier medio de prueba aceptado en derecho, aunque quizás sería recomendable al menos algún tipo de acreditación fehaciente del envío del mensaje electrónico de la convocatoria o por el acuse de recibo del socio (en los términos empleados por el legislador en el art 446 LSC respecto de la convocatoria de JG en la SLNE).

Tiempos en la preparación de la Junta General a distancia. Una pregunta que podría surgir es si estas mencionadas tareas (la identificación, la verificación de medios electrónicos, de correos de remisión) deben realizarse necesariamente antes de la publicación de la convocatoria, o si cabría realizarse con posterioridad a publicar la convocatoria y antes de su celebración.

  • La primera opción puede resultar más prudente a efectos de seguridad y viabilidad de la convocatoria de la JG a distancia y a efectos de evitar futuras impugnaciones. Pero puede resultar difícil de realizar, salvo en supuestos de personas jurídicas con un número muy reducido de socios,  o en aquellas que cuenten ya con medios de comunicación electrónica con los accionistas (porque éstos ya hayan accedido estatutariamente a las comunicaciones por medios electrónicos, o cuenten con una web oficial que incorpore foros u otros mecanismos que garanticen la comunicación electrónica con los socios, etc.).  Esta opción intensifica además una cuestión de derecho transitorio  y es que, la necesidad de obtener los datos y  de realizar las verificaciones indicadas puede conducir, especialmente en la SA, a que de hecho, la JG a distancia se celebre después de superado el estado de alarma. Es de esperar que nuestro legislador excepcional tenga estas circunstancias en cuenta al efecto de mantener la  validez de la JG convocada al amparo de la reforma del RDL 11/2020 y evite el recurso interpretativo doctrinal.
  • La segunda, conlleva otros peligros que se materializarían una vez publicada la convocatoria. Así, el riesgo de no poder obtener algunos de los correos, o de no poder proceder con certeza a identificación (por ejemplo por errores o porque un socio se desconecte antes de haber dado su correo,  etc.) lo que podría llegar a tener consecuencias sobre validez, mayorías,y quórum (y por tanto efectos conforme al art 204.3,-a- LSC) e incluso de exigencias de responsabilidad. Sin embargo, al mismo tiempo resulta relativamente más realista en el sentido de que nos encontramos, en principio, en un procedimiento de regulación transitoria y vigencia presumiblemente corta que no tendría porque prorrogarse, al menos en sus términos literales. En virtud de este último razonamiento, por ejemplo, en una convocatoria JG a distancia para una SL –por los plazos legales más reducidos para convocar- , el poder realizar las verificaciones después de publicada la convocatoria facilitaría la celebración dentro de un posible estado de alarma es decir dentro del previsible periodo de vigencia de los RRDDL.
  • Relacionado con estas preparaciones, el RDL parece dejar en suspenso implícitamente lo dispuesto en el art 11 bis LSC, como ya ha expresado el Profesor Farrando de Miguel para Almacén de Derecho:  La nueva regulación presenta convocatorias, posibilitadas incluso en sociedades que carecen de web oficial o estatutaria en el sentido del art 11 bis LSC, ya que como vienen subrayando los mencionados RRDDL, estamos ante medidas legales en un estado de alerta declarado que se aplican por encima de, y sin perjuicio de lo establecido en los estatutos sociales.
  • Nada se dice de juntas en cuya convocatoria interviene el Registrador mercantil o el Letrado de la Administración de justicia a instancia de la minoría

Celebración y acta. Una de las obligaciones del secretario es la de verificar  la identidad de los concurrentes por videoconferencia o multi-llamada y hacerlo constar en acta:

Bóveda. Catedral de León

  • De cara a la elaboración de la lista de asistentes y constitución del órgano, ya ha puesto de manifiesto nuestra mejor doctrina que  en el supuesto, de que  la JG no cuente con un secretario, por ejemplo en sociedades sin consejo en o en supuestos en los que los asistentes no nombren secretario conforme al art  191 LSC, correspondería el reconocimiento y la constancia en acta al presidente de la JG. Como también recuerda la misma fuente que la certificación sobre identidad no sustituye a la declaración de válida constitución de la JG que deberá realizar el Presidente de la JG, incorporando, debe  entenderse, constancia de la verificación por parte del secretario sobre la identidad de los asistentes y representados y sobre la viabilidad de los medios técnicos de conexión. Tales términos se añadirán creeríamos a la lista de asistentes (socios, representados, otros legitimados ).
  • Por lo que respecta a la participación y voto, resulta aplicable lo establecido en los arts 189.2 LSC (y añadiendo la seguridad el 521 LSC), dejando a salvo de que precisamente el RDL 11/2020 se aprueba para  supuestos en los que no existe previsión estatutaria.
  • En cuanto a la comunicación, a posteriori  que debe realizar el secretario a los concurrentes en  la JG, también surgen algunas dudas interpretativas, que una posible reforma, quizás ya en la LSC de lege ferenda  ayudaría a aclarar:
    • La expresión “medios necesarios para conectarse” plantearía abundantes preguntas. Parece lógico que la exigencia no consiste sólo en una conexión, sino de ésta cumpla un mínimo de requisitos técnicos. Pero además, ¿quién debe certificar que existen esos medios? ¿sería suficiente una declaración de los llamados a concurrir o se debe exigir alguna otra verificación en sentido técnico? La cuestión no es baladí, ni por sus consecuencias sobre la responsabilidad del secretario, ni sobre la válida constitución de la JG
    • En cuanto a la verificación de identidades electrónicas o telefónicas, puede entenderse que se realiza en el acta de la JG. Pero también, cabe interpretar que se trata de un acta distinta, de la que se deba tomar constancia a los efectos de lista de asistentes y constitución de la JG primero; y de acta de la JG, después. O, al menos de una sección del acta de la JG – en el sentido del art 198 RRM para la lista de asistentes- susceptible de comunicación independiente para, con sus formalidades, dar cumplimiento a la notificación a los concurrentes por correo electrónico incluso si el propio acta de la JG se comunicase después.
    • El acta de verificación de identidades se debe remitir de inmediato a los concurrentes. Y en la definición de esa inmediatez podrían surgir también otras dudas que seguramente se resolverían por la vía interpretativa de que, sea cual sea la vía de firma del acta, deberá procurarse una rapidez superior a la exigible en otras circunstancias, por ejemplo, sin consumir los 15 días facultativos y máximos del art 202.2 LSC, o remitiendo cuanto antes el acta notarial del art 203 LSC. En todo caso, a efectos del acta de la JG  será de aplicación el art 100 del Reglamento del Registro Mercantil.

Juntas postpuestas y revocadas A diferencia de los que ocurre para las JG de Sociedades Cotizadas, aqui no se aborda directamente la posibilidad de que las JG ya convocadas se puedan revocar para sustituir  la celebración presencial por una celebración a distancia con el mismo orden del día. Ni que la posibilidad de retraso (que si se contempla en ambos RRDL) se acompañe  de otra convocatoria distinta de JG electrónica con  un orden del día distinto.

  • El apartado 6 de la redacción del art 40 del RDL 8/2020 establece que si la JG se hubiera publicado antes del 16 de marzo 2020 y su celebración estuviera prevista para después declarado el estado de alarma, el órgano de administración puede cambiar la hora y la fecha de la reunión. En principio se tratará de un retraso en la celebración, o de un nuevo local para la reunión. Pero no se indica expresamente que ese “lugar” pueda ser electrónico. No resulta descabellado aceptar esta posibilidad, pero tampoco lo es que en entornos litigiosos donde abunden las disputas, el cambio pueda verse obstaculizado  por socios, o fundamentar futuros intentos de impugnación, con mayor o menor fortuna en cuanto a sus resultados.
  • El mismo apartado 6  añade ahora  la posibilidad de que los administradores revoquen el acuerdo de convocatoria (publicándolo así en ambos casos de cambio o de revocación), con 48 horas de antelación a la fecha prevista de su celebración, en la página web de la sociedad o, en su defecto, en el BOE; y en este caso con la obligación de convocar de nuevo dentro del mes siguiente a la finalización de la alarma declarada.  Ahora bien, revocada una JG que deba ser convocada de nuevo después del estado de alarma, ¿puede celebrarse una JG a distancia (intermedia) con el mismo o con distinto orden del día?.
      • En relación con una  convocatoria para JG electrónica – en principio extraordinaria por las fechas en las que nos encontramos- en fecha intermedia y con otro orden del día distinto de la cancelada, no parece que exista inconveniente. Especialmente porque el nuevo art 6 bis menciona expresamente la posibilidad de convocar JG durante el estado de alarma
      • Sin embargo,  se echa mucho de menos una redacción más explícita del precepto sobre la posibilidad de que el órgano de administración sustituya la junta revocada por otra a distancia con el mismo orden del día.(recuérdese que el apartado 6 impone la convocatoria de JGO revocada), transformando incluso en algún caso la convocatoria revocada (que hubiera sido JGO, por las fechas) en una JGE (por celebrarse la ordinaria en el periodo de alarma en modo a distancia) en la que quizás si se podría remitir la reformulación de propuesta de aplicación de resultados, o las cuentas cuando hayan sido reformuladas en su conjunto.

Cuentas, auditoría  y sustitución de la aplicación de resultados Con la reforma del RDL 11/2020, el art. 40.3 RDL 8/2020 añade a su redacción inicial que podrán formularse cuentas durante el estado de alarma, así como procederse a su auditoría obligatoria (o ahora también voluntaria)  en el plazo normal de un mes del art 270 LSC, o en plazo el ampliado  de dos meses a contar desde que finalice el estado de alarma (art 40,4 RDL modificado por RDL 11/2020).

En cuanto a los cambios en la aplicación de resultados, el nuevo art 6 bis establece  la obligatoriedad de un escrito de auditoría y distingue dos situaciones, en linea con el comunicado conjunto de la CNMV y el  Colegio de Registradores del que nos hacíamos eco:

  1. que  las sociedades mercantiles que ya hayan sus cuentas anuales, convoquen la junta general ordinaria a partir del 1 abril 2020. En este caso pueden sustituir la propuesta de aplicación del resultado por otra propuesta, pero, el órgano de administración lo deberá justificar con base a la situación creada por el COVID-19 y deberá también acompañarse de un escrito del auditor de cuentas en el que este indique que no habría modificado su opinión de auditoría si hubiera conocido en el momento de su firma la nueva propuesta. Implícitamente, este supuesto supone que ya existía un informe de auditoría sobre las cuentas formuladas, pues el precepto alude a un simple «escrito» y no a un nuevo informe de verificación.
  2. que las sociedades tuvieran ya  JGO  convocada, en cuyo caso, el órgano de administración podrá retirar del orden del día la propuesta de aplicación del resultado y someter una nueva a la aprobación de otra JG, dentro del plazo legalmente previsto para la celebración de la junta general ordinaria
    • ese plazo sería el máximo de  los tres meses posteriores al estado de alarma que prescribe el mismo RDL .
    • esa información debe publicarse antes de la JG ya convocada y -como novedad- acompañándola de un escrito del auditores en los términos ya mencionados.
    • se entiende que en las JG que no se postpongan ni se revoquen sino que únicamente se sustituya la propuesta de aplicación, la certificación del órgano de administración a efectos del depósito de cuentas se limitará, en su caso, a la aprobación de las cuentas anuales, presentándose posteriormente en el Registro Mercantil certificación complementaria relativa a la aprobación de la propuesta de aplicación del resultado.
Catedral de León by M.A. Díaz

Catedral de León by M.A. Díaz

Junta Universal. Los RRDDL, también sugieren alguna reflexión en relación con la posibilidad de JG Universal celebrada por medios electrónicos. No cabe duda, conforme al art 40.1 segundo párrafo redactado por el RDL 11/2020 de que si concurren todos los socios, lo que sucederá  con toda probabilidad sólo en una sociedad de pocos socios, el trámite de identificación y verificación del secretario, así como su reflejo en acta y comunicación, son viables. Aún en ausencia de convocatoria formal en los términos de la LSC, convendrá realizar los preparativos previos para la reunión electrónica y entendemos que la JGU podrá celebrarse.

Más sobre este tema:

El potencial de blockchain en Gobierno Corporativo

Posted on por

Un reciente informe de la OCDE explora las posibilidades de aplicar al gobierno de las empresas, Corporate Governance, una tecnología moderna y disruptiva como es blockchain.

 

Catedral de León by M.A. Díaz

Catedral de León by M.A. Díaz

Acceso : The Potential for Blockchain Technology in Corporate Governance (OEDC ‘s Working Paper 21) (2019)

La crisis financiera de 2007 fue también una crisis de confianza en las instituciones y grandes corporaciones sistémicas. Puso de manifiesto los riesgos de la ocultación de información y ha generado toda una nueva agenda  centrada en la importancia de evitar y sancionar las violaciones de datos, piratería, uso abusivo de información privilegiada, instituciones financieras que ya no se perciben como infalibles.  Incluso hay quien ha afirmado que el éxito de bitcoin y la tecnología blockchain  se basa en buena medida en que son percibidos como disruptivos, desafiantes y contrarios al poder financiero anterior.

 

Actualmente las plataformas en las que se ofrecen productos y servicios se hacen obsoletas rápidamente y las empresas de tecnología ofrecen servicios financieros simples, disruptivos.Y se generan cooperaciones entre las entidades de tecnología y las financieras, incluidos los bancos para ofrecer servicios boutique, donde la calidad es más relevante que las economías de escala.

En este contexto se están produciendo grandes debates sobre el valor y las aplicaciones de los token. Por ejemplo, en relación con su valor como dinero. Los economistas atribuyen tres funciones básicas al dinero: medio de cambio, unidad de cuenta y almacenamiento de valor. Según este razonamiento, si un token en una cadena de bloques puede cumplir estas funciones, se pueden plantear  la pregunta de si nos encontramos ante dinero a pesar de que el creador del token no sea un banco central y de que no se intercambien  a través de bancos

También, y aunque  se trata de un aspecto más novedoso, se comienza también a estudiar el efecto de la tecnología en el ámbito del gobierno corporativo. En efecto, la tecnología blockchain es una herramienta poderosa para la participación de los interesados, stakeholders que a su vez constituye una aspiración de gobierno corporativo.  Además, las aplicaciones de blockchain contribuyen -en potencia- a una mayor transparencia en la propiedad y ofrece gran transparencia en relación con la titularidad y los cambios en la propiedad, en el sentido de que todos los usuarios de la red pueden ver las operaciones de directivos, activistas y terceros que pretenden tomar posiciones. Por lo tanto, las aplicaciones basadas en esta tecnología reducirían el ámbito de la ocultación de información y la manipulación de datos. Otros beneficios de la aplicación de blockchain se evidenciarían en la gestión de juntas generales y votaciones en las que la mayor transparencia facilitaría la adopción de decisiones evitando el conflicto. En el ámbito del a contabilidad y de la auditoría , dentro de la gobernanza empresarial, también se podrían dejar notar estos beneficios, hasta el punto de obligar a una redefinición de los roles de contables y auditores.

 

Ciberseguridad de infrastructuras energéticas. Situación en los países de la UE.

Posted on por
Damos noticia del Informe sectorial sobre  ciberseguridad en las infraestructuras de energía y más concretamente de las medidas nacionales que se han ido poniendo en marcha al amparo del  articulo 5 de la Directiva 1148/2018 o Directiva NIS en relación con los OPERADORES DE SERVICIOS ESENCIALES,  en energía: Sectorial implementation of the NIS Directive in the Energy sector ( Report -CG Publication 03/2019 ) Oct 2019

 

Cabanas, 2016

Se trata de un documento elaborado por la Autoridad de Energía de Austria, la Comisión Europea y ENISA, en el marco del GRUPO DE COOPERACIÓN NIS. Da repaso a la incorporación nacional al Régimen de Operadores de Servicios Esenciales conforme a NIS, en lo relativo a las entidades públicas o privadas  de uno de los tipos que figuran en el anexo II-1 de la Directiva (Operadores de Servicios Esenciales del sector de la energía). En esta primera etapa de aplicación de NIS, no es cuestión poco relevante la propia identificación de los sectores a los que debe aplicarse

 

a) Electricidad:

  • Empresas eléctricas, tal como se definen en el artículo 2,punto 35, de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo. Son empresas que efectúan la función de «suministro» definida en el artículo 2, punto 19, de dicha Directiva.
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/72/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/72/CE.

b) Crudo

  • Operadores de oleoductos de transporte de crudo.
  • Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.

c) Gas

  • Empresas suministradoras, tal como se definen en el artículo 2, punto 8, de la Directiva 2009/73/CE del Parlamento Europeo
    y del Consejo
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/73/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/73/CE.
  • Gestores de almacenamiento, tal como se definen en el artículo 2, punto 10, de la Directiva 2009/73/CE.
  • Gestores de la red de GNL, tal como se definen en el artículo 2, punto 12, de la Directiva 2009/73/CE.
  • Compañías de gas natural, tal como se definen en el artículo 2, punto 1, de la Directiva 2009/73/CE.
  • Gestores de las instalaciones de refinado y tratamiento de gas natural  que reúna los criterios establecidos en el artículo 5, apartado 2;

(recuérdese que en los relativo a los OSE la Directiva permite una ampliación nacional de su consideración. Así, en España se unen también los operadores de servicios esenciales que dependan de las redes de información en los sectores contemplados en la Ley 8/2011 de infraestructuras críticas)

Hamburgo. Ayuntamiento. Epc

El informe incluye información sobre los modelos de gobernanza elegidos en cada país y las mejores prácticas a nivel nacional. Presenta las capacidades de ciberseguridad de las asociaciones, organizaciones y organismos de la UE con un papel en el sector energético. Además, proporciona una visión general de los diferentes esquemas de colaboración público-privada en los países miembros de la UE.  De conformidad con la Recomendación de la Comisión de 3.4.2019 sobre ciberseguridad en el sector energético , el documento apoya a los Estados miembros a abordar las especificidades del sector energético en materia de ciberseguridad: requisitos de seguridad en tiempo real, efectos en cascada, estado de la técnica etc. Más específicamente, el informe aporta un interesante «mapeo» de los contenidos de la Recomendación de la Comisión en relación con los estándares internacionales (por ejemplo, ISO) y las buenas prácticas.

Dado que la Recomendación requiere que los Estados miembros comuniquen información sobre su aplicación a la Comisión, a través del Grupo de Cooperación NIS (dentro de los 12 meses de su adopción), este documento será útil como modelo o plantilla para los informes.

Junto a este informe del Grupo de Cooperación NIS cabe mencionar trabajos previos que también resultan de importancia como

Relacionado: