Ciberseguridad en la empresa. Master U en Ciberseguridad – Página 5

Prioridades de Supervisión de ESMA para el año 2019

ESMA hace públicas sus prioridades supervisorias para 2019, ejercicio durante el que la autoridad europea se centrará de modo particular en aspectos de la supervisión de las Agencia de Calificación de Crédito (CRAs) y los Repositorios de Comercio

El programa de prioridades en materia de Supervisión de ESMA fue hecho público el 19.02.2019, (ESMA80-199-273) detalla las principales áreas en las que se centrará ESMA en su labor de supervisión este año, en relación con los Repositorios de Comercio (TR), las Agencias de Calificación Crediticia (CRA) y con el seguimiento de ciertas Infraestructuras de mercado de terceros países, como las contrapartes centrales de compensación de terceros países (TC-CCP) y los Depósitos de valores centrales de terceros países (TC-CSD). Debe recordarse, en este sentido que ESMA actualmente supervisa directamente ocho TR y 27 CRA y que es responsable de cuatro CRAs certificadas y 32 TC-CCPs.

Iglesia de San Salvador de Palat del Rey, León (España). By M.A. Díaz.

Para las CRA y TR en la UE las prioridades de supervisión incluyen:

El almacenamiento en los TRs de datos de calidad y el acceso a los mismos por parte de las autoridades públicas;
La planificación de la continuidad del negocio de los TR, el carácter fiable de los procesos y sistemas de TI y la función de seguridad de la información;
Los riesgo de cartera de las CRAs y la calidad del proceso de calificación;
La Ciberseguridad de las CRA;
El Reconocimiento de Contrapartes centrales del Reino Unido en un escenario Brexit sin acuerdo; y
La evaluación de las solicitudes pendientes de reconocimiento de 19 TC-CCP y de TC-CSD, respecto de las cuales realizará un seguimiento de riesgos.

Además, hay áreas en las que existen problemas comunes entre los TR y los CRA en los que la AEVM realizará trabajos adicionales, como el Brexit, los precios que cobran por sus servicios, la eficacia de los sistemas de control interno y el uso de nuevas tecnologías.

Propuesta de la segunda edición del programa de financiación de proyectos clave en los ámbitos del transporte, la tecnología digital y la energía mediante el mecanismo «Conectar Europa» (MCE) para el periodo 2021 a 2027.

Como pone de manifiesto el Consejo de la UE en el Comunicado de prensa de 13 de marzo de 2019 (aquí) se prorroga el programa de financiación de proyectos clave en los ámbitos del transporte, la tecnología digital y la energía mediante el mecanismo «Conectar Europa» (MCE) para el periodo 2021 a 2027.

El Comité de Representantes Permanentes de los Gobiernos de los Estados miembros (COREPER), órgano interno del Consejo de la Unión Europea, ha confirmado que han llegado a una interpretación común con el Parlamento respecto a la prórroga del programa emblemático, el Mecanismo «Conectar Europa».

Como se recordará, el Comité de Representantes Permanentes o Coreper (artículo 240 del Tratado de Funcionamiento de la Unión Europea, TFUE) (aquí), se encarga de preparar los trabajos del Consejo de la Unión Europea. Está constituido por los representantes de los países de la UE ante la Unión Europea, que tienen rango de embajadores, y lo preside el país de la UE que ejerce la presidencia del Consejo de la Unión Europea.

La UE quiere asegurarse de que este programa estrella, el Mecanismo «Conectar Europa» (MCE), siga financiando proyectos clave en los ámbitos del transporte, la tecnología digital y la energía después de 2020. El Comité de Representantes Permanentes del Consejo confirma así la interpretación común alcanzada por la Presidencia rumana y el Parlamento Europeo sobre la propuesta de iniciar la segunda edición del programa, que comenzará en 2021 y finalizará en 2027.

Exponemos a continuación los extremos destacados en el mencionado Comunicado de prensa:

La interpretación común afecta a todas las disposiciones del Reglamento excepto las cuestiones financieras y horizontales, que se están abordando en otro contexto; a saber: de las negociaciones sobre el próximo marco financiero plurianual (MFP), que cubrirá el período 2021-2027.
En cuanto al transporte, el MCE persigue el fomento de la interoperabilidad y la multimodalidad de las redes para desarrollar y modernizar las infraestructuras ferroviarias, de carretera, de vías navegables interiores y marítimas, así como una movilidad segura y protegida. La prioridad se centra fundamentalmente en un mayor desarrollo de las redes transeuropeas de transporte (RTE-T), poniendo especial énfasis en los proyectos transfronterizos con valor añadido europeo. Conforme a estos objetivos se parte de que el MCE 2.0 va a garantizar que, una vez se haya adaptado la infraestructura para mejorar la movilidad militar dentro de la Unión, ésta sea compatible con el doble uso, atendiendo a las necesidades tanto civiles como militares.
En relación con el sector de la energía, se entiende que el programa va a coadyuvar a una mayor integración del mercado europeo de la energía, mejorando la interoperabilidad de las redes energéticas a través de las fronteras y los sectores, facilitando la descarbonización y garantizando la seguridad del suministro. Asimismo, con el programa se persigue financiar proyectos transfronterizos en el ámbito de las energías renovables. Los criterios de adjudicación especificados pasan por tener en cuenta la coherencia con los planes de energía y clima nacionales y de la UE, incluido el principio de «primero, la eficiencia energética». Se prevé que la Comisión evaluará de aquí a 2020 si la normativa en materia de redes transeuropeas de transporte (RTE-T) se ajusta a los objetivos climáticos y energéticos de la UE.
En cuanto a la conectividad digital, se amplía el alcance del programa en aras a lograr la transformación digital de la economía y la sociedad, que va a depender -en buena medida- del acceso universal a redes fiables y asequibles de alta o muy alta capacidad. Se tiene presente que la conectividad digital constituye un factor decisivo para colmar las diferencias económicas, sociales y territoriales. Se establece que para que un proyecto pueda optar a recibir ayuda del MCE, tendrá que contribuir al mercado único digital y a los objetivos de conectividad de la UE. Se consideran prioritarios los proyectos que creen cobertura geográfica adicional para los hogares.
Señaladamente, el programa concede particular relevancia a las sinergias entre los sectores del transporte, la energía y la tecnología digital, en orden a maximizar la eficacia de la acción de la UE y optimizar los costes de ejecución. En esta línea, contempla posibles programas de trabajo intersectoriales con el fin de intervenir en ámbitos como la movilidad conectada y automatizada o los combustibles alternativos.
Junto a lo anterior, la propuesta trata de integrar la acción por el clima, teniendo en cuenta los compromisos de descarbonización a largo plazo de la UE, como el Acuerdo de París.
Aunque habrá que esperar qué sucede en las etapas siguientes, del Comunicado de prensa se infiere que el Consejo confía en que las negociaciones con el próximo Parlamento Europeo se inicien lo antes posible, y prosigan en el sentido de continuar por los derroteros y avances que han quedado plasmados en la interpretación común.
Finalmente se señala que durante las negociaciones ha de tenerse presente el acuerdo global relativo al marco financiero plurianual para el período 2021-2027.

Para más detalles, véanse:

Proyecto de Reglamento por el que se establece el Mecanismo «Conectar Europa»: informe de situación

Marco financiero plurianual: determinación del gasto de la UE (información de referencia)

Identificación y autorización de inversores HFT

A propósito de la negociación algorítmica de alta frecuencia, HFT

Los mecanismos para identificar si se considera que una entidad está aplicando una técnica HFT se identifican en el artículo 19 del Reglamento (UE) 2017/565 de la Comisión: a) al menos dos mensajes por segundo con respecto a cualquier instrumento financiero negociado en un centro de negociación; y b) al menos cuatro mensajes por segundo con respecto a todos los instrumentos financieros negociados en un centro de negociación, parámetros que son completados en ese artículo, y así, se incluirán en el cálculo los mensajes relativos a instrumentos financieros para los que exista un mercado líquido en los términos del artículo 2, apartado 1, punto 17, del Reglamento (UE) n.o 600/2014 (MIFIR); y también los mensajes introducidos con fines de negociación que cumplan los criterios del artículo 17, apartado 4, de la Directiva 2014/65/UE (MIFID 2). En cambio, se excluirán se excluirán de los cálculos de la tasa de mensajes intradía en relación con los proveedores de acceso electrónico directo los mensajes que procedan de sus clientes que accedan usando ese AED (DEA).

Estos requisitos además se explican en el documento de ESMA (Q&A on Market Structure). Según la respuesta 5 actualizada en abril de 2017, las entidades deben revisar sus actividades de negociación al menos una vez al mes para autoevaluarse. Y, pueden, como miembros o como participante, pedir a los centros de negociación una estimación del número medio de mensajes por segundo que emitieron, dos semanas después del final de cada mes natural. Con este fin, los centros de negociación sólo deben incluir mensajes generados por algoritmos en el transcurso de la actividad del miembro o participe o cliente, aunque las entidades emisoras son las responsables de garantizar que las estimaciones reflejan con precisión su actividad comercial real (y, en particular, que sólo tiene en cuenta actividad comercial algorítmica propia de la cuenta sobre instrumentos líquidos, excluyendo, en el caso de Proveedores de DEA, mensajes enviados por clientes de DEA utilizando el código de la empresa, acceso esponsorizado). Cuando una empresa realiza actividades de HFT (como se ha descrito anteriormente) y no está autorizada a hacerlo en virtud de la MiFID II, está obligada a solicitar inmediatamente la autorización que se le exige en el marco de la Artículo 2, apartado 1, letra d), inciso iii), de la MiFID II. Y, ademas, como es común para las entidades que negocien algoritmicamente en general, debe notificarlo a la ANC de su Estado miembro de origen y a la ANC o AANNCC de los centros de negociación en los que opera como miembro o como participante.

En cuanto a aquellos inversores que acceden a los centros de negociación utilizando el código de un proveedor de acceso directo (DEA- esponsorizado), aclara la respuesta 6, también de abril de 2017, que si pueden considerarse operadores HFT. Como ya se establece en el considerando 20 del Reglamento (UE) 2017/565 de la Comisión, los usuarios de servicios de acceso directo a centros de negociación, DEA, pueden ser clasificados como HFT si cumplen las condiciones establecidas en el artículo 4, apartado 1, punto 40, de la MiFID II y artículo 19 del Reglamento delegado de la Comisión (UE) 2017/565. Y, para evaluar si un usuario de la DEA cumple los umbrales de mensajes aplicables, los inversores que utilicen acceso directo pueden contactar a su proveedor de acceso, quien está obligado a registrar los datos relativos a los pedidos presentados, incluidas las modificaciones y cancelaciones en virtud del artículo 21, apartado 5, de la RTS 610

Más en detalle:

Questions and Answers On MiFID II and MiFIR,s Market Structure Topics ESMA70-872942901-38

ICO y criptoactivos. Nuevo informe de ESMA

Los activos representados criptográficamente necesitan, cuando menos, ser abordados bajo un enfoque común a escala de la UE para garantizar la protección de los inversores**

La Autoridad Europea de Valores y Mercados (AEMV) publicó su dictamen dirigido a las Instituciones de la Unión Europea (UE) – Comisión, Consejo y Parlamento las emisiones iniciales de “criptoactivos” initial coin offering (ICO). La referencia del documento Advice Initial Coin Offerings and Crypto-Assets es : ESMA 50-157-1391, de 09.01.2019.,

El él se da repaso a las normas vigentes aplicables a los activos representados criptográficamente que pueden considerarse instrumentos financieros, y expone la posición de la AEVM sobre posibles lagunas relativas al actual marco reglamentario financiero de la UE para su consideración por parte de los responsables políticos de la UE.

La AEVM emite el informe tras trabajar con las Autoridades Nacionales Competentes (ANC) en el análisis de los diferentes modelos de negocio de los activos representados criptográficamente, los riesgos y beneficios potenciales que pueden presentar y sobre cómo encajan en el marco reglamentario existente. Este trabajo incluye una encuesta a las autoridades nacionales competentes (ANC) durante 2018, y la identificación de aspectos poco claros en el marco reglamentario financiero actual en relación con los activos representados criptográficamente.

El sector de los criptoactivos sigue siendo modesto en tamaño y la AEVM no considera que actualmente plantee problemas de estabilidad financiera. Sin embargo, la AEVM manifiesta que plantean ciertos riesgos que plantea para la protección del inversor y para la integridad del mercado. La AEVM identifica los más significativos riesgos como el fraude, los ciberataques, el blanqueo de capitales y la manipulación del mercado. Señala también que pueden traer consigo beneficios en las ICO, siempre y cuando existan las salvaguardias apropiadas. Llama también la atención sobre la circunstancia de que el desarrollo de la representación de los activos tradicionales en modo de cadenas de bloques (DLT) en los que se apoyan los criptoactivos todavía se encuentra en una fase muy temprana.

Otras cuestiones a resolver las divide en dos categorías:

Para los activos criptográficos que se califican como instrumentos financieros conforme a MiFID, hay áreas que exigen una posible interpretación o reconsideración de los requisitos específicos que permitan una aplicación efectiva de la normativa existente.
Cuando estos activos no califiquen como instrumentos financieros, la ausencia de normas financieras exponen a los inversores a riesgos considerables. Como mínimo, la AEVM considera que los requisitos contra el blanqueo de capitales deben aplicarse a todos los activos representados criptográficamente , así como a todas las actividades que los involucren. Además, el riesgo para consumidores debe valorarse y comunicarse para que los consumidores puedan ser conscientes de los riesgos potenciales antes de que se produzcan, y antes de comprometerse en su adquisición.

El informe toma su base, además de en las colaboraciones con las ANC antes expresadas en el anterior de ESMA, . ‘The Distributed Ledger Technology Applied to Securities Markets’, Febrero 2017.

Más:

Ver también ICO, tokens y aplicación de la Ley de Mercado de Valores. Criterios de la CNMV

Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

El AG matiza el ámbito territorial del derecho al olvido recomendando que la desreferenciación tenga alcance sólo en la UE

Conclusiones del Abogado General en el asunto C-507/17 Google v. Comisión Nacional de Informática y Libertades, CNIL (Francia)

Subyace en este asunto, la decisión de la CNIL de Francia por la que requirió a Google para que tras haber estimado una solicitud presentada por una persona física para que se suprimieran de la lista de resultados obtenida al efectuar una búsqueda a partir de su nombre, aplicase tal supresión en todas las extensiones de nombre de dominio de su motor de búsqueda.

Google no cumplió en el sentido de que los datos seguian siendo accesibles desde fuera de la UE, y la CNIL le impuso multa de 100.000€, alcanzando la cuestión, por la vía prejudicial de varias cuestiones formuladas por el Conseil D’Etat, al TJUE.

En su primera pregunta, el Conseil d’État pregunta al TJUE, en esencia, si el operador de un motor de búsqueda está obligado, al otorgar una solicitud de desreferencia (derecho de olvido), a realizarla en todos los nombres de dominio de su motor para que los enlaces polémicos ya no aparezcan independientemente del lugar desde donde se realice la búsqueda.

Mediante su segunda pregunta, el Consejo de Estado de Francia, órgano jurisdiccional nacional, trata de determinar si el operador del motor de búsqueda solo está obligado, al otorgar una solicitud de olvido, a eliminar los enlaces en disputa de los resultados mostrados en cada búsqueda realizada desde un nombre de dominio correspondiente al Estado donde se considera que se realizó la solicitud o, más generalmente, en los nombres de dominio de todos los Estados miembros de la UE.

La tercera pregunta, busca establecer si el operador de un motor de búsqueda que accede a una solicitud de olvido debe eliminar, mediante la llamada técnica «geo». -bloqueo «, de una dirección IP conocida ubicada en el estado de residencia del beneficiario del «derecho al olvido», los resultados polémicos de las búsquedas realizadas sobre ese beneficiario, o incluso, desde cualquier dirección IP ubicada en uno de los Estados miembros sujetos a la Directiva 95/46, independientemente del nombre de dominio utilizado en la búsqueda.

El Abogado general, analiza las aportaciones de las partes a la luz de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (vigente en el momento de los hechos valorados) si bien también se apoya en el Reglamento (UE) 2016/679 que la deroga y que constituye el régimen vigente actualmente; de los derechos fundamentales, y de la STJUE Google v Spain (C‑131/12, EU:C:2014:317). Considera que tales fundamentos jurídicos no imponen la territorialidad en la desreferenciación. Y, sobre esa base el Abogado General señala que a diferencia de otros ámbitos como puede ser el derecho de marcas donde si se admiten los efectos extraterritoriales de la legislación de la UE, el tratamiento de la información en Internet debe ser distinto. Añade que de admitirse una desreferenciación a escala mundial, las autoridades de la Unión no estarían en condiciones de definir y determinar el derecho a recibir información y aún menos de ponderarlo con otros derechos fundamentales como la protección de datos y la vida privada, sobre todo, porque el interés del público en acceder a la información variará obligatoriamente, según su localización geográfica, de un tercer Estado a otro.

Opina el AG que de procederse a una desreferenciación a escala mundial, se correría el riesgo de impedir acceder a la información a personas de terceros países y de que, recíprocamente, terceros Estados impidiesen acceder a la información a las personas de los Estados de la Unión. Y, si bien no excluye que puedan darse casos en los que se imponga la desreferenciación total, el asunto analizado no estaría entre ellos.

A la espera de la sentencia, el Abogado General recomienda que, una vez establecido el derecho a la desreferenciación en la Unión, el gestor de un motor de búsqueda debe tomar todas las medidas a su disposición, incluida la del «bloqueo geográfico», para garantizar una desreferenciación eficaz y completa en todo el territorio de la Unión Europea desde una dirección IP que se presuma que esté localizada en uno de los Estados miembros, con independencia del nombre de dominio empleado por el internauta que efectúa la búsqueda.

Estas conclusiones se pueden leerse aqui

Más:

El economista
Blog Cuatrecasas, sobre límites de derecho al olvido en estas conclusiones del AG y en otra de la misma fecha
Conclusiones AG en el asunto C – 136/17,

Derecho al olvido, datos sensibles especialmente protegidos, y los gestores de búsqueda. Conclusiones del Abogado General del TJUE

En el asunto Caso C – 136/17, el Abogado General Szpunar propone al Tribunal de Justicia que declare que los gestores de motores de búsqueda deben aceptar sistemáticamente las solicitudes de desreferenciación de datos sensibles, si bien, dichos gestores deben garantizar la protección del derecho de acceso a la información y del derecho a la libertad de expresión.

En los hechos subyacentes encontramos el conflicto entre varios particulares y la Commission nationale de l’informatique et des libertés (Francia) (CNIL) en relación con cuatro decisiones adoptadas por ésta que se negó a requerir a Google Inc. para que procediera a la desreferenciación de diversos vínculos incluidos en la lista de resultados obtenida a raíz de una búsqueda efectuada a partir de sus apellidos, y que llevan a páginas de Internet publicadas por terceros.

Las páginas de Internet en cuestión contenían un fotomontaje satírico contra una política, publicado usando un pseudónimo; un artículo sobre el responsable de relaciones públicas de la Iglesia de la Cienciología (uno de los interesados); la investigación de la que fue objeto un político y la condena de otro interesado por hechos constitutivos de un delito de agresión sexual a un menor.

Habiendo interpuesto los interesados sendos recursos ante el Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia) mediante los que impugnan las decisiones de la CNIL de negarse a requerir a Google para que proceda a la desrefererenciación solicitada, dicho órgano jurisdiccional plantea varias cuestiones al Tribunal de Justicia en relación con la interpretación de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en vigor a la sazón).

Mediante su primera cuestión prejudicial, el Conseil d’État desea saber si los gestores de motores de búsqueda se hallan sometidos a la prohibición de tratar datos pertenecientes a ciertas categorías especiales (como son las opiniones políticas, las convicciones religiosas o filosóficas, o la sexualidad), que como es sabido se someten a especialidades en el ámbito del tratamiento de datos. En sus conclusiones el Abogado General Maciej Szpunar interpreta las disposiciones de la Directiva 95/46 de modo que se tengan en cuenta las responsabilidades, competencias, y posibilidades de los motores de búsqueda. Así, subraya, que las prohibiciones y restricciones establecidas en la Directiva 95/46 no pueden aplicarse a los gestores de motores de búsqueda como si ellos mismos hubieran incluido los datos sensibles en las páginas de Internet referenciadas. Dado que los motores de búsqueda no intervienen hasta después de la publicación en línea de los datos (sensibles), tales prohibiciones y restricciones solo pueden aplicárseles en razón de esa referenciación, realizando una verificación a posteriori cuando la persona afectada presente una solicitud de olvido. El AG propone al TJUE que la prohibición de tratar datos pertenecientes a ciertas categorías especiales impuesta a los demás responsables del tratamiento si se aplica a las actividades de los gestores de motores de búsqueda.
La segunda cuestión planteada por el Conseil d’État al Tribunal de Justicia versa sobre la existencia de una obligación sistemática de desreferenciación a cargo de los gestores de motores de búsqueda. El Abogado General recuerda que la Directiva 95/46 prohíbe el tratamiento de datos sensibles. En consecuencia, afirma que la prohibición impuesta a los gestores de motores de búsqueda de tratar datos sensibles les obliga a aceptar sistemáticamente las solicitudes de desreferenciación relativas a vínculos que lleven a páginas de Internet en las que figuren tales datos sensibles, sin perjuicio de las excepciones previstas en la Directiva 95/46. El Abogado General considera, en efecto, que resultan aplicables las excepciones a la prohibición de tratamiento de datos sensibles previstas en la Directiva 95/46, si bien es cierto que algunas de esas excepciones parecen teóricas en lo que concierne a su aplicación a los motores de búsqueda.
Después, el Abogado General aborda la cuestión de las excepciones autorizadas en virtud de la libertad de expresión y de su conciliación con el derecho al respeto de la vida privada. Propone al Tribunal de Justicia que responda que, cuando el gestor de un motor de búsqueda recibe una solicitud de desreferenciación relativa a datos sensibles, este debe llevar a cabo una ponderación entre, por un lado, el derecho al respeto de la vida privada y el derecho a la protección de datos; y por otro lado, el derecho del público al acceso a la información de que se trate y el derecho a la libertad de expresión de aquel de quien emana la información.
Riaño, by Ricardo Castellanos Blanco
Por último, el Abogado General aborda la cuestión de las solicitudes de desreferenciación relativas a datos personales que resulten incompletos, inexactos u obsoletos, como, por ejemplo, artículos de prensa relativos a una etapa anterior a la finalización de un procedimiento judicial. El Abogado General propone al Tribunal de Justicia que declare que, en tales circunstancias, el gestor de un motor de búsqueda ha de proceder, caso por caso, a una ponderación entre, por unlado, el derecho al respeto de la vida privada y el derecho a la protección de datos en virtud de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea y, por otro lado, el derecho del público al acceso a la información de que se trate, tomando asimismo en consideración el hecho de que dicha información entre dentro del ámbito periodístico o constituya una expresión artística o literaria.

Más:

Blog Cuatrecasas, sobre límites de derecho al olvido en estas conclusiones del AG y en otra de la misma fecha
Límites al derecho al olvido de datos relativos a personas «públicas». Comentario al TS del blog Cuatrecasas
Conclusiones AG en asunto C-507/17 Google v. Comisión Nacional de Informática y Libertades, CNIL (Francia)

ICO, tokens y aplicación de la Ley de Mercado de Valores. Criterios de la CNMV

La CNMV ha publicado los criterios iniciales de actuación que está llevando a cabo frente a las Initial Coin Offering (ICO).

Reconoce el supervisor español que la complejidad de la materia hace que los criterios estén sometidos a una revisión constante, pero aún así, avanza en la determinación de los de aplicación en España para este tipo de mecanismos de financiación empresarial.

**Calificación de los Tokens como valores negociables.**

El documento del que se da noticia mantiene la consideración de los tokens como valores negociables, como ya habría adelantado la CNMV en su comunicado de febrero de 2018 (“Consideraciones de la CNMV sobre “criptomonedas” e “ICOs” dirigidas a los profesionales del sector financiero”).
Ahora, la CNMV clarifica que excluye de esa consideración aquellos en los que no se puede establecer una correlación razonable entre las expectativas de revalorización o de rentabilidad del token y la evolución del negocio o proyecto subyacente.

Supervisión de las entidades autorizadas a emitir y comercializar ICOs.

El texto se ocupa también de la necesidad y alcance de la intervención de entidades autorizadas para prestar servicios de inversión, cuestión en la que remite al art. 35.3 de la Ley del Mercado de Valores (LMV), y a sus “Preguntas y Respuestas dirigidas a empresas FinTech sobre actividades y servicios que pueden tener relación con la CNMV”

Mínimamente, la entidad autorizada para prestar servicios de inversión a efectos de la comercialización debe realizar una supervisión general del proceso y validar la información a entregar a los inversores, que deberá ser clara, imparcial y no engañosa y referirse a las características y riesgos de los valores emitidos, así como a la situación jurídica y económico-financiera del emisor de una manera suficientemente detallada como para permitir que el inversor pueda tomar una decisión de inversión fundada.
En este momento se permite que la entidad autorizada a la ICO no valide la información que remite a los inversores, salvo incluir advertencias destacadas acerca de la naturaleza novedosa de la tecnología de registro y que la custodia de los instrumentos no se realiza por una entidad autorizada para prestar servicios de inversión.

Intermediación y custodia.

No se considera necesaria la intervención generalizada de entidades autorizadas para colocar valores porque las ICO se consideran actividades normalmente ocasionales. En cambio, la reserva de actividad a las entidades autorizadas prevista del artículo 144.1 LMV (en relación con el artículo 140 e) y f) del mismo cuerpo legal) requiere que la actividad se realice “con carácter profesional o habitual”.
Similarmente, no se exigirá la intervención de entidades de custodia de valores, pues su intervención sólo es necesaria conforme al 44.1 LMV (en relación con el artículo 141 a) LMV ) cuando la actividad se realice “con carácter profesional o habitual”.

Representación de las ICO y negociación.

El texto establece la diferencia entre los requisitos de representación (así como de supervisión e intermediación) cuando la ICO se comercializa en España o en otra jurisdicción.

Por lo que respecta a España:
- El artículo 6.1 de la LMV permite interpretar que es posible que ciertos valores no se representen por medio de anotaciones en cuenta o títulos. Por tanto, no puede excluirse la posibilidad del registro de derechos a través de la tecnología DLT (blockchain).
- La negociación en mercados regulados, SMN o SOC españoles el artículo 6.2 LMV exigiría que estuviesen representados por medio de anotaciones en cuenta. Y el artículo 8.3 LMV sobre entidades encargadas de la llevanza de registros contables que responden frente a los perjudicados por la falta de las inscripciones, por las inexactitudes y retrasos en las mismas y, en general, por el incumplimiento culposo o doloso de sus obligaciones legales, obligaría a que la llevanza del registro se realizara por un depositario central de valores. La gestión del centro de negociación debería realizarse por una ESI o por una entidad rectora de un mercado, y estarían sujetas en general a la normativa del mercado y al ámbito de supervisión de la CNMV. Adicionalmente, las ICO estarían sometidas a la necesidad de representación mediante anotaciones en cuenta y a la participación de un depositario central de valores.
- En caso de preferir generar un mercado interno en una plataforma privada no regulada o la negociación en una plataforma (exchange) localizada en España, la ICO encontraría otros problemas pues los tokens considerados valores negociables darían lugar a la obligación de que estas plataformas contasen con las autorizaciones exigibles para ejercer su actividad como centro de negociación (como mercado regulado, SMN o SOC); o bien como empresa de servicios de inversión (ESI) o entidad de crédito que opere como internalizador sistemático (IS), con sus respectivos requisitos.
- Con todo, el artículo 6.2 sólo es aplicable a los tokens que se negocien en un mercado español.
Ahora bien, si los tokens se van a negociar en mercados no españoles, la CNMV no es competente para exigir que estén representados mediante anotaciones en cuenta. Por el contrario, será la ley (y la autoridad competente) del país en el que se encuentre el mercado en el que vayan a negociarse los tokens, la que determine en qué medida es exigible una forma concreta de representación para su negociación en un mercado organizado, así como otros requisitos cuales que la llevanza del registro se realice por un depositario central de valores.

Sobre el folleto informativo.

Dado que la mayoría de las operaciones que se están planteando pueden ampararse en el artículo 35.2 LMV (relativo a las situaciones en las que no existe obligación de publicar un folleto), en el texto del que se da noticia se aconseja a los emisores que se atengan a los criterios del artículo 35.3 LMV, porque la elaboración de un folleto para una ICO puede encontrarse con dificultades debido a la ausencia de un modelo armonizado a nivel europeo, que a su vez, puede generar disfunciones con otras autoridades europeas respecto del pasaporte del folleto aprobado por la CNMV.
Cuando resulte necesario un folleto por las características de la operación, la CNMV adelanta que realizará la adaptación y tendrá en cuenta el principio de proporcionalidad (máxime cuando es previsible que las operaciones no sean de gran tamaño) a efectos de reducir en lo posible la complejidad y extensión del documento.

Más

Sobre las ICO en España, ver:

Más allá:

Blockchain. Utilidades y confianza a debate en la Unión Europea

Resolución del Parlamento Europeo, de 3 de octubre de 2018, sobre las tecnologías de registros distribuidos y las cadenas de bloques: fomentar la confianza con la desintermediación**

El Parlamento Europeo adoptó una resolución presentada por la Comisión de Industria, Investigación y Energía de esa Institución europea en relación con las Tecnologías de Cadenas de Bloques (TDR) y Registros Distribuidos (DRR). Esta Resolución forma parte de un debate más amplio en el seno de la UE

Sobre la premisa de que los DRR reducen los costos de intermediación y pueden contribuir a la mejora de los servicios, el Parlamento plantea la necesidad de adoptar iniciativas estratégicas :

En relación con las aplicaciones energéticamente eficientes y respetuosas con el medio ambiente, la TRD podría transformar y democratizar los mercados energéticos al permitir que los hogares produzcan energía ecológica que pueda ser intercambiada entre ellos. Por eso solicitan a la Comisión Europea que introduzca una dimensión de eficiencia energética en sus trabajos sobre TRD, es decir, que analice el impacto energético y de los nuevos mecanismos y que evalúe los posibles modelos de gobernanza.

Con respecto al transporte, cadenas de suministro, atención médica y educación: el Parlamento destacó el potencial de la TRD en la movilidad, la mejora de las cadenas de suministro y el transporte, así como en el sector sanitario, en la educación y en la gestión de la propiedad intelectual.
Sobre el sector financiero: el Parlamento pidió a la Comisión ya las autoridades financieras que supervisen las tendencias y usos de la TDR y los DRR en el sector financiero .Destacó la volatilidad e incertidumbre que rodea a las criptomonedas, solicitando un seguimiento de las fuentes de esta volatilidad para identificar sus principales riesgos.
Por lo que se refiere a la identificación y datos personales, la resolución señaló que la TRD permitía a los usuarios identificarse y tener la posibilidad de controlar los datos personales que desean compartir. Pero, también muestra preocupación por el uso incorrecto de sus propios datos y sobre la vulnerabilidad de los sistemas. El Parlamento sugiere que los Estados miembros intercambien mejores prácticas para garantizar la seguridad de estos datos. Los usos de TRD deben cumplir con la legislación de protección de datos de la UE, incluido el Reglamento general de protección de datos (GDPR).
En el ámbito de los contratos inteligentes: el Parlamento pidió a la Comisión que promueva el desarrollo de normas técnicas con las organizaciones internacionales pertinentes y que realice un análisis en profundidad del marco legal existente en los distintos Estados miembros en lo que respecta a la exigibilidad de los contratos inteligentes. Concretamente, pide analizar si el uso de contratos inteligentes crea barreras potenciales en el mercado único digital, y solicita reforzar la seguridad jurídica por ejemplo a través de medidas de coordinación y reconocimiento mutuo.
Alude también a la seguridad de la infraestructura. Eel Parlamento pidió a la Comisión que supervise los desarrollos tecnológicos (por ejemplo, los ordenadores cuánticos), evalúe los riesgos tecnológicos, apoye los proyectos de resistencia frente a ataques cibernéticos y promueva proyectos de protección de datos. En este sentido insiste en la necesidad de garantizar la sostenibilidad de las plataformas TRD en el marco del Programa del Observatorio Blockchain de la UE .
Siguiendo con las infraestructuras, pero ya en el campo del sector público , el Parlamento enfatizó la importancia de una TRD segura para mejorar los servicios y la gestión del sector público. En particular, y de modo vinculado al plan Acción para el gobierno electrónico
Finalmente, en relación con las pymes, con la transferencia de tecnología y con la financiación pide al BEI y al FEI que creen instrumentos de financiación para apoyar Iniciativas empresariales centradas en TRD para acelerar la transferencia de tecnología. También destacó el potencial de las ofertas iniciales de tokens como herramienta de inversión alternativa para financiar pymes y empresas innovadoras, y solicita a la Comisión que identifique mecanismos para proteger a los inversores, comenzando por un posible observatorio de estas ICO, así como de una base de datos sobre sus características.

El Parlamento Europeo apunta en una dirección que no implicaría, por el momento regular los nuevos fenómenos, sino más bien eliminar las barreras para su desarrollo.

Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

Proyecto LOPD (2). Prácticas desleales, por agresivas, en el ámbito de la protección de datos

El 21 de noviembre de 2018, el Senado aprobó el Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, con el que se adapta el ordenamiento español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación. (ver tramitación del proyecto en web del Congreso)

El nuevo texto incorpora novedades reseñables en el ámbito del competencia desleal.

La Disposición adicional decimosexta “Prácticas agresivas en materia de protección de datos”, viene a modificar el artículo 8 de la Ley 3/1991, de 10 de enero, de competencia desleal . Incorpora así nuevos supuestos de prácticas comerciales agresivas relacionadas con la protección de datos personales:

Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.
Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.
Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.
San Martín de Frómista, Palencia
Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.
Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.

Recuérdese que antes de la reforma anunciada, el artículo 8 LDC establece la prohibición –por deslealtad- de realizar prácticas agresivas, que define como comportamientos, que teniendo en cuenta sus características las circunstancias concurrentes, es susceptible de mermar de manera significativa la libertad de elección o conducta del destinatario en relación al bien o servicio y, por consiguiente, afecta o puede afectar a su comportamiento económico. Los medios para desplegar tal agresividad son, actualmente acoso, coacción, incluido el uso de la fuerza, o influencia indebida.

Las prácticas comerciales desleales agresivas se encuentran contempladas también en otros artículos de la propia Ley, que incorporan la lista negra de la Directiva 25/2009/UE sobre Prácticas Comerciales Desleales.

el 22.6 (prácticas señuelo y promociones engañosas como 22. Crear la impresión falsa, incluso mediante el uso de prácticas agresivas, de que el consumidor o usuario ya ha ganado, ganará o conseguirá un premio o cualquier otra ventaja equivalente si realiza un acto determinado, cuando en realidad: a) No existe tal premio o ventaja equivalente. b) O la realización del acto relacionado con la obtención del premio o ventaja equivalente está sujeto a la obligación, por parte del consumidor o usuario, de efectuar un pago o incurrir en un gasto.
El 28 (prácticas agresivas por coacción) Se reputan desleales por agresivas las prácticas comerciales que hagan creer al consumidor o usuario que no puede abandonar el establecimiento del empresario o profesional o el local en el que se realice la práctica comercial, hasta haber contratado, salvo que dicha conducta sea constitutiva de infracción penal.
El 29 (prácticas agresivas por acoso)
El 30 (prácticas agresivas en relación con los menores)
El 31 (otras prácticas agresivas)

Ver sobre el mismo proyecto de ley, en relación con la defensa de la competencia aqui

Actualizado Reforma de la LEC para la intervención de autoridades de defensa de la competencia en procesos de protección de datos y competencia

El Senado aprobó el Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, con el que se adapta el ordenamiento español al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a su libre circulación. (ver tramitación del proyecto en web del Congreso).

Actualización.- Texto aprobado: BOE Núm: 294 de 06/12/2018
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Antecedentes:

El nuevo texto incorpora novedades reseñables en el ámbito del derecho de la competencia en relación con la intervención de las autoridades de la competencia en procesos de defensa de la competencia y de protección de datos. De esta manera, el reconocimiento explícito de la relación entre protección de datos y defensa de la libre competencia se hace evidente y gana terreno en nuestro ordenamiento

Reproduzco:

DEFENSA DE LA COMPETENCIA. Disposición final séptima. Se modifica el artículo 15 bis de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que queda redactado como sigue: «Artículo 15 bis. Intervención en procesos de defensa de la competencia y de protección de datos.

1. La Comisión Europea, la Comisión Nacional de los Mercados y la Competencia y los órganos competentes de las comunidades autónomas en el ámbito de sus competencias podrán intervenir en los procesos de defensa de la competencia y de protección de datos, sin tener la condición de parte, por propia iniciativa o a instancia del órgano judicial, mediante la aportación de información o presentación de observaciones escritas sobre cuestiones relativas a la aplicación de los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea o los artículos 1 y 2 de la Ley 5/2007, de 3 de julio, de Defensa de la Competencia. Con la venia del correspondiente órgano judicial, podrán presentar también observaciones verbales. A estos efectos, podrán solicitar al órgano jurisdiccional competente que les remita o haga remitir todos los documentos necesarios para realizar una valoración del asunto de que se trate. La aportación de información no alcanzará a los datos o documentos obtenidos en el ámbito de las circunstancias de aplicación de la exención o reducción del importe de las multas previstas en los artículos 65 y 66 de la Ley 5/2007, de 3 de julio, de Defensa de la Competencia.

2. La Comisión Europea, la Comisión Nacional de los Mercados y la Competencia y los órganos competentes de las comunidades autónomas aportarán la información o presentarán las observaciones previstas en el número anterior diez días antes de la celebración del acto del juicio a que se refiere el artículo 433 o dentro del plazo de oposición o impugnación del recurso interpuesto.

3. Lo dispuesto en los anteriores apartados en materia de procedimiento será asimismo de aplicación cuando la Comisión Europea, la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, en el ámbito de sus competencias, consideren precisa su intervención en un proceso que afecte a cuestiones relativas a la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.»

Salvando las distancias, lo explicado en relación con la Sentencia en los asuntos acumulados C-54/17 Autorità Garante della Concorrenza e del Mercato/Wind Tre S.p.A., y C-55/17 Autorità Garante della Concorrenza e del Mercato/Vodafone Italia S.p.A., donde se cuestionó la competencia de las autoridades de competencia (en ese caso frente a la autoridad sectorial de telecomunicaciones), se va consolidando al abrirse paso la idea de que la defensa de la competencia presenta intereses tutelables, incluso en presencia de autoridades sectoriales, o, de protección de datos.

Comentarios desde el GID Noviembre 2018: RESPONSABILIDAD POR INFRACCIÓN DE DERECHOS DE AUTOR DEL TITULAR DE UNA CONEXIÓN A INTERNET Y POSIBILIDAD DE ACCESO A LA CONEXIÓN DE OTROS FAMILIARES

NO QUEDA EXIMIDO DE RESPONSABILIDAD EL TITULAR DE UNA CONEXIÓN A INTERNET, DESDE LA QUE SE INFRINGIERON DERECHOS DE AUTOR, SIMPLEMENTE POR ALEGAR QUE SUS PADRES TAMBIÉN TUVIERON LA POSIBILIDAD DE ACCEDER A DICHA CONEXIÓN

María Angustias Díaz Gómez

Catedrática de Derecho Mercantil. Coordinadora del Grupo de Innovación Docente de Derecho Mercantil de la Universidad de León (GID-DerMerUle)

Así se pronuncia el Tribunal de Justicia de la Unión Europea, para quien el titular de una conexión a Internet, desde la que se cometieron infracciones de derechos de autor mediante un intercambio de archivos, no puede quedar libre de responsabilidad por el sólo hecho de designar a un miembro de la familia que tenía la posibilidad de acceder a dicha conexión.

Además, señala el Tribunal que los titulares de los derechos deben disponer de un recurso eficaz o de medios que permitan a las autoridades judiciales competentes ordenar la comunicación de la información necesaria para desvelar las circunstancias y autoría de dichas infracciones.

Sigue leyendo Comentarios desde el GID Noviembre 2018: RESPONSABILIDAD POR INFRACCIÓN DE DERECHOS DE AUTOR DEL TITULAR DE UNA CONEXIÓN A INTERNET Y POSIBILIDAD DE ACCESO A LA CONEXIÓN DE OTROS FAMILIARES

Observatorio Nacional de 5G.

La Secretaría de Estado para el Avance Digital del Ministerio de Economía y Empresa, ; la entidad pública Red.es y la Fundación Mobile World Capital Barcelona (en adelante MWCapital) han firmado un convenio para la creación del Observatorio Nacional de 5G.

La tecnología 5G está llamada, según nos indican, a liderar los cambios tecnológicos en los próximos años. El objetivo de mantener a nuestro país en la cabeza de las trasformaciones, y de garantizar que la implantación tecnológica se basa en la colaboración público-privada y cala, se crea este Observatorio 5G que será presentado oficialmente el 29 de noviembre en Madrid, en el espacio ‘La Enredadera’ de Red.es.

Su objetivo principal es complementar y asistir las actividades público-privadas que se desarrolen con el apoyo o en el marco de la Oficina Técnica del Plan Nacional de 5G, en el despliegue de redes y servicios 5G. También para la estandarización y la innovación, la alineación de estrategias y ara compartir conocimiento en torno a la tecnología móvil

Elaborará estudios e informes relacionados con la tecnología 5G, sus nuevos usos y su impacto potencial en la sociedad y la economía, e incentivará la colaboración público-privada y del sector investigador. Desde este Observatorio se impulsará la formación y la capacitación en las tecnologías 5G .

El Observatorio 5G actuará en coordinación con el Plan Nacional 5G y complementará la estrategia España Nación Emprendedora Por ello, desde el observatorio se promoverá también el emprendimiento y la internacionalización entorno al nuevo paradigma de las telecomunicaciones.

El convenio que da título a esta entrada podrá ser firmado por otras instituciones, fundaciones o empresas, públicas o privadas, que compartan el objetivo de fomentar el despliegue 5G en España