Archivo de la categoría: Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional

Competencia desleal por confusión. STUE, en relación con la denominación «gin» en bebidas sin alcohol

Posted on por

El Tribunal de Justicia de la Unión Europea (TJUE dictó sentencia en el asunto C‑563/24, el 13 de noviembre de 2025.  Se trata de una resolución relativa a una petición de decisión prejudicial planteada por el Landgericht Potsdam (Tribunal Regional de lo Civil y Penal de Potsdam, Alemania) mediante resolución de 6 de agosto de 2024, recibida en el Tribunal de Justicia el 20 de agosto de 2024.

La remisión prejudicial se formuló en el contexto de un litigio entre la asociación alemana Verband Sozialer Wettbewerb eV (VSW), cuya finalidad principal es la lucha contra la competencia desleal, y la empresa PB Vi Goods GmbH (PB), que comercializaba y anunciaba una bebida no alcohólica bajo la denominación «Virgin Gin Alkoholfrei». La cuestión planteada versaba sobre la interpretación de los artículos 10, apartado 7, y 12, apartado 1, del Reglamento (UE) 2019/787 relativo a la definición, designación, presentación y etiquetado de bebidas espirituosas, así como sobre la validez del artículo 10, apartado 7, a la luz del artículo 16 de la Carta de los Derechos Fundamentales de la Unión Europea, que garantiza la libertad de empresa. En esta ocasión, la Sala Séptima del Tribunal de Justicia, integrada por el Sr. F. Schalin como Ponente y Presidente, y los Sres. M. Gavalec y Z. Csehi como jueces, dictó la sentencia sin conclusiones del Abogado General, tras considerar los escritos y observaciones presentadas por las partes interesadas.

El procedimiento contó con la participación de los Gobiernos alemán, helénico, francés e italiano, el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea, todos representados por agentes y abogados, con el Abogado General M. Szpunar emitiendo su opinión no vinculante.

Garexo no verán

Garexo no verán

I Antecedentes

El litigio principal surgió cuando VSW ejercitó acción ante el Landgericht Potsdam solicitando que PB cesara la comercialización de la bebida «Virgin Gin Alkoholfrei». VSW alegaba que la denominación utilizada infringía el Reglamento 2019/787, que establece que el gin es una bebida espirituosa aromatizada con bayas de enebro, producida mediante alcohol etílico de origen agrícola, y con un grado alcohólico volumétrico mínimo de 37,5 %. PB, por su parte, sostenía que la indicación «sin alcohol» excluía cualquier riesgo de confusión para el consumidor y, por lo tanto, no infringía la normativa. Ante las dudas sobre la posible vulneración de la libertad de empresa, el tribunal remitente planteó dos cuestiones prejudiciales: primero, sobre la validez del artículo 10, apartado 7, a la luz del artículo 16 de la Carta; y, subsidiariamente, sobre la interpretación de los artículos 10, apartado 7, y 12, apartado 1, en relación con la denominación «gin sin alcohol» para bebidas no alcohólicas.

El marco jurídico aplicable se sustenta en los considerandos del Reglamento 2019/787, que destacan la necesidad de proteger a los consumidores, garantizar la transparencia del mercado y asegurar la competencia leal. En particular, el considerando 2 establece que las normas sobre bebidas espirituosas deben eliminar la asimetría de la información y evitar prácticas engañosas, mientras que el considerando 3 subraya la relevancia de estas bebidas para el sector agrícola y la importancia de preservar su reputación.

Asimismo, el considerando 10 enfatiza la necesidad de armonización de las denominaciones legales para garantizar información clara y coherente a los consumidores en toda la Unión. El artículo 10, apartado 7, prohíbe expresamente el uso de denominaciones legales de bebidas espirituosas, como «gin», en la presentación y etiquetado de bebidas que no cumplan los requisitos de la categoría correspondiente, incluso acompañadas de términos como «sin alcohol». Por su parte, el artículo 12, apartado 1, permite referencias a denominaciones de bebidas espirituosas únicamente cuando el alcohol empleado procede de la bebida referida, lo que no resulta aplicable a las bebidas no alcohólicas objeto del litigio.

II Admisión y cuestiones planteadas

Tambre

El Tribunal de Justicia consideró admisibles las cuestiones prejudiciales planteadas, señalando que el tribunal remitente había descrito de manera suficiente el contexto del litigio y la necesidad de interpretación de la normativa de la Unión para resolver el caso. Sobre el fondo, el Tribunal examinó primero la segunda cuestión prejudicial y concluyó que la utilización de la denominación «gin sin alcohol» en bebidas no alcohólicas está prohibida por el artículo 10, apartado 7, del Reglamento 2019/787.

La prohibición se fundamenta en el hecho de que la bebida no cumple los requisitos de producción y grado alcohólico mínimos establecidos en el anexo I, punto 20, letras a) y b), y que dicha denominación no puede aplicarse aunque se indique «sin alcohol», pues lo relevante es que la bebida no puede considerarse gin legalmente definido.

  • En relación con la primera cuestión prejudicial, relativa a la libertad de empresa, el Tribunal recordó que este derecho, reconocido por el artículo 16 de la Carta, no es absoluto y puede estar limitado para proteger objetivos de interés general, como la protección del consumidor, la transparencia del mercado y la prevención de la competencia desleal. La prohibición contemplada en el artículo 10, apartado 7, se establece por ley y únicamente restringe el uso de la denominación «gin», sin impedir la producción ni la comercialización de bebidas no alcohólicas, por lo que no vulnera la esencia del derecho a la libertad de empresa. El Tribunal subrayó la proporcionalidad de la medida: garantiza que los consumidores comprendan la composición de los productos, asegura la uniformidad de las bebidas espirituosas comercializadas bajo la misma denominación y protege la reputación de los productores de gin que cumplen los requisitos legales, evitando prácticas de competencia desleal.
  • El Tribunal fundamenta además su decisión en la doctrina consolidada relativa a la competencia desleal y la protección del consumidor, citando casos como SMW Winzersekt (C‑306/93), Deutsches Weintor (C‑544/10), TofuTown.com (C‑422/16) y Lidl (C‑134/15), que establecen que la protección de los consumidores frente a la confusión sobre la composición o calidad de un producto es un objetivo legítimo de interés general y que la libertad de empresa puede ser limitada de forma proporcionada para evitar la explotación indebida de la reputación de terceros y prácticas comerciales engañosas.

III Conclusión

Azaleas

La medida adoptada, al impedir el uso indebido de la denominación «gin», asegura la integridad del mercado, protege la reputación de las bebidas espirituosas y evita ventajas competitivas injustas derivadas del uso de denominaciones legales no permitidas.

Así, el Tribunal concluyó que la denominación «gin» no puede aplicarse a bebidas no alcohólicas, incluso acompañada de la indicación «sin alcohol», y que el artículo 10, apartado 7, del Reglamento 2019/787 es válido y compatible con la libertad de empresa.

 

 

Ciberseguridad europea y seguros D&O para riesgos cibernéticos

Posted on por

Los riesgos cibernéticos se han convertido en una prioridad para los consejos de administración y la alta dirección debido al incremento de brechas de datos, ataques de denegación de servicio (DDoS), ransomware y extorsión cibernética. Con la entrada en vigor del Reglamento (UE) 2016/679 (“GDPR”) en mayo de 2018 se intensificó la atención de los gestores de riesgos hacia la gestión de datos y notificaciones de incidentes. Y, a pesar de que la empresa sea consciente de los riesgos, la gestión no puede reducirse a “cumplimiento formal” o “tick‑box”: debe integrarse en la cultura de la organización a todos los niveles

  • Foca en granito.

    En este entorno, la póliza D&O tradicional puede no cubrir ciertos gastos derivados de un incidente de seguridad digital (por ejemplo, la restauración de sistemas, interrupción del negocio, costes reputacionales), de modo que es importante evaluar conjuntamente la póliza D&O y la póliza de responsabilidad cibernética (“cyber liability”).

  • Los responsables de riesgo y los asegurados  deben reflexionar  y analizar sobre cómo abordar la adquisición de seguros: identificar exposiciones, definir límites, comprender exclusiones, evaluar capacidad de respuesta del asegurador y diseñar programas aseguradores adaptados al riesgo cibernético

  • Los directores y altos cargos tienen una responsabilidad activa en la supervisión del riesgo digital. La omisión o la supervisión insuficiente no solo incrementa la exposición de la empresa, sino que también puede derivar en responsabilidad personal de los administradores. Esto refuerza la idea de que la gobernanza corporativa moderna debe integrar explícitamente la gestión de riesgos cibernéticos como elemento de control interno y estrategia empresarial. La exposición personal  de administradores, consejeros y altos cargos puede verse incrementada por la omisión de una adecuada supervisión del riesgo digital

La creciente complejidad del ecosistema digital europeo, reforzada por ENISA, la red CSIRTs, ECSO y ECCG, ha transformado la ciberseguridad en un componente esencial de la responsabilidad de los administradores. En este contexto, los seguros D&O de ciber riesgos son un instrumento complementario para gestionar la exposición legal y financiera derivada de incidentes de seguridad informática, fallos en la gobernanza o incumplimiento de obligaciones normativas europeas.

1. Riesgos cubiertos y vínculo con la gobernanza. Los seguros D&O de ciber riesgos protegen a los administradores frente a reclamaciones por

  • Falta de supervisión adecuada de la seguridad informática, incluyendo la omisión de implementar buenas prácticas recomendadas por ENISA.

  • Respuesta insuficiente ante incidentes coordinados por la red CSIRTs o por alertas de vulnerabilidad críticas en infraestructuras digitales.

  • Incumplimiento de obligaciones de gestión, reporte y certificación, especialmente en los sectores y entidades sometidos a DORA, DNIS2 y otros marcos regulados.

  • Decisiones empresariales que no integren recomendaciones de ECSO sobre innovación segura o gestión de riesgos tecnológicos, con consecuencias financieras o regulatorias.

2. D&O y cumplimiento normativo europeo

Los seguros D&O no reemplazan la diligencia del administrador, sino que la complementan, ofreciendo cobertura frente a riesgos residuales que puedan derivar en responsabilidades civiles o administrativas. La contratación de un seguro D&O para ciber riesgos debe entenderse dentro de un marco de compliance proactivo:

  • Una empresa que implementa medidas recomendadas por ENISA, sigue las alertas de CSIRTs, participa en iniciativas ECSO y certifica sus sistemas según ECCG reduce su exposición a incidentes.

  • En caso de un ciberataque que derive en pérdidas financieras o daño reputacional, el seguro D&O puede cubrir reclamaciones de accionistas, sanciones civiles o defensas legales, siempre que se demuestre que los administradores actuaron con diligencia y siguiendo los estándares europeos.

  • Desde la perspectiva del mercado asegurador, la existencia de certificaciones europeas y la adopción de buenas prácticas se traduce en menores primas, reflejando la menor probabilidad de reclamaciones por negligencia en ciberseguridad.

  • La gestión del riesgo cibernético no puede limitarse a un enfoque “tick‑box” o cumplimiento mínimo. Debe integrarse en la cultura organizativa, involucrando a todos los niveles: desde la alta dirección hasta los empleados que manejan datos sensibles. Esta integración cultural facilita la detección temprana de incidentes y la respuesta coordinada, elementos críticos para limitar daños y preservar la reputación corporativa (Marsh, más abajo).

3. Integración en la estrategia de gobernanza

Para los administradores, la relación entre las estructuras europeas de ciberseguridad y los seguros D&O implica:

  • Evaluar riesgos: identificar qué activos, procesos y sistemas críticos podrían generar responsabilidades en caso de fallo de seguridad.

  • Adoptar medidas preventivas: implementación de estándares y certificaciones europeas, participación en alertas y ejercicios de CSIRTs, seguimiento de recomendaciones de ENISA y ECSO.

  • Documentar decisiones: mantener evidencia de políticas, procedimientos y medidas adoptadas para demostrar diligencia ante reclamaciones potenciales.

  • Contratar cobertura D&O adecuada: asegurar que la póliza cubre riesgos cibernéticos emergentes, incluyendo brechas de datos, ataques de ransomware o fallos en la gestión de proveedores críticos.

4. Medias previas  a contratar el seguro.

Evaluación integral de riesgos.

Antes de contratar un seguro D&O o cibernético, la empresa debe identificar los riesgos críticos a los que están expuestos los administradores, incluyendo fallos en seguridad de la información, brechas de datos, ataques de ransomware y fallos de proveedores.   La evaluación debe integrar la normativa europea de ciberseguridad  y los estándares de certificación aplicables. También se deben analizar otras coberturas contratadas por la empresa, en particular si se cuenta con pólizas de ciber riesgos , por evitar duplicidades o solapamientos de cobertura, pero también para evitar incurrir en situaciones de infra seguro o de falta de cobertura

Selección de coberturas adecuadas

Las pólizas deben cubrir responsabilidades derivadas de decisiones negligentes o incumplimientos regulatorios relacionados con la ciberseguridad. Abundando en lo que se acaba de indicar, es fundamental revisar la interacción entre D&O y seguros cibernéticos y evitar superposiciones o lagunas de cobertura.

Integración con la gobernanza corporativa

Los administradores deben documentar políticas y procedimientos de ciberseguridad, evidenciando cumplimiento con estándares europeos y buenas prácticas. La existencia de certificaciones, adopción de estándares o buenas prácticas reconocidas y la participación en alertas CSIRTs reduce el riesgo de reclamaciones y, por tanto, el coste del seguro.

Gestión del siniestro

A nivel de empresa, conviene establecer protocolos claros de notificación de incidentes, asegurando coordinación entre la empresa, los administradores y la aseguradora. También, definir responsabilidades internas y externas, evitando conflictos entre la gestión del siniestro y la defensa de los administradores.

Formación y actualización continua

Los administradores deben recibir formación sobre ciberriesgos, obligaciones regulatorias y evolución tecnológica. Entre las buenas prácticas destacables está la de realizar simulacros de incidentes y revisiones periódicas de las coberturas de seguro D&O, alineadas con la estrategia de ciberseguridad de la empresa.

Diferencias entre las coberturas de las pólizas de responsabilidad de administradores y directivos (D&O) y las pólizas de responsabilidad cibernética (“cyber liability”) frente a incidentes de ciberseguridad, enfatizando la importancia de un programa de seguros combinado para cubrir riesgos de manera integral (Recomendaciones de  la aseguradora Aon, en el enlace que se facilita más abajo).

Las pólizas D&O protegen principalmente a directivos frente a reclamaciones por actos de gestión, incumplimientos  de los fiduciarios o mala gestión, pero no están diseñadas, en principio, para ciber riesgos. Por ello, por ejemplo, pueden contar con exclusiones de gastos generados por un ciberataque, como notificaciones a afectados o recuperación de sistemas (Aon).

Piedritas de la playa sobre fondo azul

Las pólizas cibernéticas cubren tanto daños “first‑party” (la propia organización: investigación forense, restauración, interrupción del negocio, reputación) como “third‑party” (terceros afectados: demandas, defensa, indemnizaciones) ante incidentes cibernéticos

La activación de cobertura D&O al uso tras un ciberincidente depende de la redacción de la póliza. Es habitual hoy encontrar exclusiones específicas para daños cibernéticos , por lo que tal eventualidad debe ser considerada y negociada antes de contratar .

Se recomienda un programa combinado de D&O y póliza cibernética, con redacción adecuada, para gestionar de manera completa los riesgos cibernéticos (Aon), teniendo en cuenta que:

  • En compañías cotizadas, la cobertura habitual D&O por eventos cibernéticos suele limitarse a reclamaciones de accionistas y no a demandas de clientes o terceros afectados (indicado por Aon).

  • En compañías no cotizadas, la cobertura D&O tiende a ser más amplia, pero los aseguradores están incorporando exclusiones explícitas para riesgos cibernéticos (indicado por Aon).

  • Dado el aumento de incidentes cibernéticos y su complejidad, los consejos de administración y equipos de dirección deben considerar la gestión del riesgo cibernético como una cuestión de gobernanza corporativa, revisando coberturas, documentación y procedimientos de respuesta

Ver También

Aon. “Responding to Cyber Attacks: How Directors and Officers and Cyber Policies Differ.” Aon Insights, 24 Jul. 2024. Disponible en: https://www.aon.com/en/insights/articles/responding-to-cyber-attacks-how-directors-and-officers-and-cyber-policies-differ

Duque, Ruth. “Las pólizas cibernéticas y su implicación para el órgano de Administración” (1 octubre 2024) (https://www.cuatrecasas.com/es/spain/servicios-financieros-seguros/art/seguros-proteccion-administradore)

Marsh. “Understanding cyber Directors & Officers liability risks and buying insurance.” White paper (UK), Marsh, 2018. Disponible en: https://www.marsh.com/content/dam/marsh/Documents/PDF/UK-en/Understanding%20Cyber%20Directors%20&%20Officers%20Liability%20Risks%20and%20Buying%20Insurance.pdf

 

 

Aprobada una nueva IA Factory en Galicia

Posted on por

La Comisión Europea ha seleccionado a España para albergar una segunda AI Factory en España. Esta vez, en el Centro de Supercomputación de Galicia (CESGA). La nueva instalación, denominada 1HealthAI, estará especializada en el desarrollo de inteligencia artificial aplicada a las ciencias de la vida. Contará con un superordenador específico y una plataforma avanzada de supercomputación, concebida para proyectos experimentales y colaborativos en biotecnología, investigación sanitaria y otras áreas vinculadas a la salud. Se ubicará en las inmediaciones del aeropuerto internacional de Rosalía de Castro.

Expo na Cidade da Cultura (Santiago, 2021)

Esta AI Factory supone una inversión total de 82 millones de euros, de los cuales 24 millones procederán del Ministerio de Ciencia, Innovación y Universidades.

  • Su diseño responde a un doble objetivo: ofrecer servicios gratuitos de apoyo a empresas, startups y centros de investigación,
  • Facilitar el acceso equitativo a herramientas de IA de última generación, reduciendo así la brecha tecnológica entre los distintos agentes del ecosistema innovador.

 

Seguridad, transparencia y responsabilidad de la IA en el marco europeo

La inversión se enmarca en el nuevo ecosistema normativo de la Unión Europea, que exige que los desarrollos de inteligencia artificial se ajusten a criterios de seguridad, transparencia y fiabilidad. Así se busca reforzar la confianza en el desarrollo y uso de la inteligencia artificial en Europa, integrando la innovación tecnológica con la exigencia de cumplimiento y responsabilidad.

  • Antes de comercializar un sistema de IA de alto riesgo en el mercado de la UE, los proveedores deberán someterlo a una evaluación de conformidad o, en su caso, a una autoevaluación que permita demostrar que el sistema cumple los requisitos de una inteligencia artificial de confianza.
    • Entre las obligaciones impuestas figuran la implantación de un sistema de gestión de calidad, el mantenimiento de la documentación técnica y de los registros de actividad, así como la colaboración activa con las autoridades competentes, notificando incumplimientos o riesgos detectados.
    • Los usuarios —o responsables del despliegue, según la terminología del Reglamento— deberán garantizar la supervisión humana, monitorizar los sistemas y conservar los registros de uso, mientras que los importadores y distribuidores deberán asegurar que los productos hayan superado la evaluación de conformidad, mantener la documentación técnica y colaborar igualmente con las autoridades.

En este contexto, las PYMEs adquieren un papel clave tanto como desarrolladoras como usuarias de sistemas de IA. Deberán evaluar si los sistemas que crean o utilizan pueden considerarse de alto riesgo según el Reglamento, ya que esta clasificación conlleva mayores obligaciones en materia de supervisión y control. Asimismo, deberán implantar mecanismos para garantizar un uso seguro y responsable de la tecnología, capacitar a su personal en el uso adecuado de la IA y sensibilizarlo sobre los riesgos y obligaciones legales. Resulta especialmente recomendable que las pequeñas y medianas empresas establezcan un Sistema de Gestión de Cumplimiento Legal en materia de IA, que permita identificar, evaluar y mitigar riesgos regulatorios en todas las áreas relevantes.

  • Para facilitar esta adaptación, el Reglamento incluye medidas específicas de apoyo a las PYMEs, como formación adaptada, canales de comunicación directa y difusión de buenas prácticas. Además, las microempresas quedan exentas de mantener un sistema de gestión de calidad formal, aunque sí deberán gestionar los riesgos asociados a los sistemas que empleen o desarrollen.
  • Ante las dificultades que enfrentan las pequeñas y medianas empresas para cumplir con los requisitos técnicos y regulatorios derivados del nuevo marco de inteligencia artificial,  el Reglamento de IA se acompaña de una estrategia de apoyo específica para las PYMEs, que combina financiación europea con asistencia práctica.
    • Programas como Digital Europe y Horizonte Europa, junto con los Fondos de Cohesión, facilitan recursos económicos y técnicos para la adopción de soluciones de IA. A nivel operativo, los Digital Innovation Hubs (EDIHs) y las AI Factories europeas ofrecen a las PYMEs espacios para experimentar y probar sistemas de IA en entornos controlados, con asesoramiento especializado en cumplimiento normativo, seguridad y buenas prácticas.
    • Además, las Testing and Experimentation Facilities (TEFs) permiten a las empresas evaluar sus prototipos de manera segura antes de su despliegue comercial. Este ecosistema de apoyo integral pretende que las PYMEs puedan desarrollar e integrar soluciones de IA de manera segura y conforme a la ley, sin perder competitividad frente a grandes plataformas tecnológicas, y que accedan a oportunidades de innovación que antes solo estaban al alcance de grandes corporaciones

La creación de la nueva AI Factory 1HealthAI en Galicia debe interpretarse en este marco más amplio en el que  la UE avanza hacia un modelo que combina la inversión en capacidades críticas —como la supercomputación, los centros de datos o la IA aplicada a la salud y la sostenibilidad— con una regulación exigente que garantice el respeto a los derechos fundamentales y la seguridad de los sistemas.

No se trata de oponer innovación y regulación, sino de hacerlas converger: la competitividad digital europea dependerá, precisamente, de la capacidad para integrar la confianza como activo estratégico. En este sentido, las AI Factories no son solo infraestructuras científicas, sino instrumentos de soberanía tecnológica y de cohesión territorial, llamados a reforzar la posición de Europa —y de España— en la nueva economía de la inteligencia artificial.

 

Antecedentes

Actualmente existen 13 AI Factories con sede en 12 países europeos —Alemania, Austria, Bulgaria, Eslovenia, España (en Barcelona), Finlandia, Francia, Grecia, Italia, Luxemburgo, Polonia y Suecia—, a las que se suman ahora seis nuevas fábricas concedidas en toda Europa, entre ellas la de Galicia. La factoría gallega, liderada por el CESGA y coliderada por el CSIC, cuenta con la participación y firme compromiso de socios clave, incluyendo las tres universidades públicas gallegas, varios de sus centros de investigación integrados en la Red CIGUS, el Hub Europeo de Innovación Dixital DATAlife y el centro tecnológico Gradiant, entre otros agentes del sistema gallego de I+D+i. Cabe recordar que el CESGA es una fundación participada al 70% por la Xunta de Galicia y al 30% por el CSIC, con carácter mixto y papel estratégico en la política científica y tecnológica autonómica.

International Business Law (International Trade Degree-ULE). Lesson 2 Section 2(Notes IBL 2025-26)

Posted on por

LESSON 2 IBL:  INTERNATIONAL COMPANY LAW – EUROPEAN UNION FRAMEWORK

2. Companies within the European Internal Market: Harmonised and Unified aspects.

 

The European Union has competencies related to Company Law, mostly in the realm of achieving a fully integrated Internal Market. The EU Freedoms involved in Company Law are mainly the freedom to provide services (both cross-border and with a permanent establishment) and the Free Movement of  Capital.  Free movement of Workers/Persons and Free movement of Goods are also involved to a lesser degree).

The purpose of EU rules in the area of Company Law is to enable businesses to be set up anywhere in the EU, enjoying the freedom of movement of persons, services and capital, to provide protection for shareholders and other parties with a particular interest in companies, to make businesses more competitive, and to encourage business to cooperate over borders.

 

The EU Company Law is  embodied in Treaties, Directives and Regulations

    • TFUE to create the basic framework for legal persons in the UE ( as regulated in Articles 49, 50(1) and (2)(g), and 54, second paragraph) :
          • Article 49, second paragraph TFEU guarantees the right to take up and pursue activities in a self-employed capacity and to set up and manage undertakings, in particular companies or firms
    • Directives to harmonise EU Company Law
      • The first/older harmonisation Directives  developed the main aspects of EU Company Law (publicity, branches, accounts, among others)
      • Following earlier legislative works, the Consolidation Directive unifies older harmonisation Directives. The Consolidation Directive is Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies. Thus, it repealed some older Directives and replaced them without changing their content. Specifically, it deals with specific issues related to the protection of members (such as shareholders) and creditors
        • The Consolidation Directive has already been modified, as with Directive (EU) 2019/1151 of the European Parliament and of the Council of 20 June 2019 amending Directive (EU) 2017/1132 as regards the use of digital tools and processes in Company law. See also this 2025 modification: Directive (EU) 2025/25 of the European Parliament and of the Council of 19 December 2024, Amending Directives 2009/102/EC and (EU) 2017/1132 as regards further expanding and upgrading the use of digital tools and processes in company law. This Directive introduces a new step in the digital transformation of EU company law. By amending Directives 2009/102/EC and (EU) 2017/1132, it aims to further promote the use of digital tools and online procedures throughout the entire life cycle of companies — from their formation to their ongoing operations and cross-border activities. The reform strengthens legal certainty and transparency by enabling more efficient access to company information and facilitating online interactions with business registers and public authorities. It also reduces administrative burdens, particularly for SMEs, by allowing greater use of digital identities, electronic signatures, and interoperable platforms. In addition, the Directive enhances cross-border cooperation between national registers and improves data quality and accessibility across the EU, contributing to a more integrated and competitive Single Market.
      •  Furthermore, and harmonising specific Company law issues, Directive (EU) 2019/2121 of 27 November 2019 lays down new rules on cross-border conversions and divisions and amends the rules on cross-border mergers.
    • Regulations unify specific aspects of Company law in the EU. They are especially relevant in the field of accounts and in the creation of instruments and new types of companies (such as the Societas Europae, and the EU Cooperative).

Some EU Directives and Regulations create specific EU rules in many fields of Company Law.

2.1 Incorporation, Registries and official transparency, shareholders and third parties (creditors) protection, and branches.

 

  • Incorporation or formation (now regulated by Directive 2017/1132, «the Consolidation Directive»).
    • The statutes or instrument of incorporation of a public limited liability company PLC, (in Spain S.A.) must make it possible for any interested person to acquaint themselves with 1) the type, name, and objects of the company. 2) the basic particulars of the company, including the exact composition of its capital, 3 )the rules to appoint its Directors and Board Members 4) the number of shares 5) the nominal value of its issued shares 6) Its registered office (domicilio social) 7) any special conditions for the transfer of shares 8) Paid-up capital upon incorporation 9) Procedure to convert bearer shares into nominal shares and vice versa 10)etc
  • Registries
    • The incorporation and other acts of companies must be filed within a National Public Registry ( in Spain, Registro Mercantil).
    • National Registries are now interconnected as  Directive 2012/17/EU and Commission Implementing Regulation (EU) 2015/884 set out rules on the system of interconnection of business registers (‘BRIS’). t
      • BRIS has been operational since 8 June 2017, although some of its desired features are still to be completed.
      • The BRIS allows EU-wide electronic access to company information and documents stored in Member States’ business registers via the European e-Justice Portal. BRIS also enables EU Commercial Registers to exchange information between themselves (including but not limited to notifications on cross-border operations and on branches).
  • Digital incorporation of SL-type companies
    • Since  2019, Member States must ensure that at least some companies (limited companies such as, in Spain, the SL) can be fully incorporated by digital means and that their incorporation documents can be electronically filled (in the National Registry) online
  • Official transparency
    • Filling incorporation and other documents into the Commercial Registry is a means of official transparency, as it serves to disclose information.
    • The duty to draw up annual accounts and to deposit them in the commercial register, where they can be consulted, is also an instrument of transparency
    • There are also other instruments.
      • For example, certain entities (such as the SAE or the European Economic Interest Grouping) have their incorporation and dissolution published in the OJEU.
      • And there are special transparency measures for listed companies that must report data to their market supervisor (in Spain, the CNMV):  Under EU rules, issuers of securities on regulated markets must disclose (to the market supervisor and to the public) certain key information to ensure transparency for investors. The Transparency Directive (2004/109/EC) requires issuers of securities listed on EU-regulated markets to make their activities transparent by regularly publishing certain information, which includes:
        • Yearly and half-yearly financial reports
        • Major changes in the holding of voting rights
        • ad hoc inside information, which could affect the price of securities

        This information must be disclosed in a way that benefits all investors equally across Europe.

        The EU Commission launched a pilot project to evaluate distributed general ledger technologies as a back-up solution to implement the EU’s central access point to regulated information of listed companies (EEAP) (European Financial Transparency Portal; EFTG).

 

  • Shareholders’ and creditors protection
    • Today, the Consolidation Directive unifies older harmonisation Directives that include several aspects for the protection of shareholders and creditors.  For instance, it deals with transparency measures, as above, as well as with rules on capital.
    • Please note that this Consolidation Directive, Directive (EU) 2017/1132 which codifies certain aspects of Company Law concerning limited liability companies, repeals some older Directives and replaces them. Here are some of its contents that are useful for the protection of shareholders and creditors
      • It defines a public liability company(PLC)  as one which has offered shares to the general public and whose shareholders have limited liability, usually only concerning the amount paid for their shares and securities. (SA in Spain).
        • Please note that Securities are transferable shares which give the owner voting rights in a company, Sometimes those shares are «quoted», or admitted to a Regulated Market, for example, The London Stock Exchange, la Bolsa de Valores de Madrid, and similar marketplaces. Not all PLCs are listed companies. But PLC-listed companies are subject to some special rules and Directives as we are studying in this lesson.
      • It also coordinates national rules for creating and running companies and increasing or reducing their capital: It mandates that the minimum capital required in the EU to register a public limited company (PLC) is of 25 000EUR. (in Spain, our Ley de Sociedades de Capital raises such minimum as it requires 60,000€ of issued capital for the formation of a Spanish PLC: a Sociedad Anónima or SA)
      • It further sets minimum information requirements for companies upon their incorporation and whenever the incorporation documents are modified.
        • The instrument of incorporation (constitución) and the statutes (estatutos) or bye-laws (reglamentos internos) of EU PLCs must contain (at least) the following information:
        • the type and name of the company; the objectives of the company; the rules governing appointing Directors responsible for managing, running and supervising the company; and the duration of the company.
        • the registered office; the value, number and form of the subscribed (company-issued) shares;
        • the amount of subscribed (company-issued) capital; the identity of those who sign the instrument of incorporation or the bylaws.
        • The mandatory disclosure of the information is implemented by filling it in the national business registers (for example Registro Mercantil in Spain,  Companies House in UK, etc).;
        • Concerning the validity of the obligations entered into by the company, and regarding liabilities derived thereof the Consolidation Directive makes mandatory that, if an action has been carried out on behalf of a Company before it has acquired legal personality, the persons who acted shall be deemed liable therefor and not the company itself. However, once a company has acquired legal personality, acts performed by the organs of the company shall be binding upon itits members and third parties, including such acts that go beyond the limitations of the objects of the company (ultra vires).
        • Regarding the nullity of the company (very important for creditors, for shareholders, and other parties), the Member States shall provide for the nullity of companies only by decision of a court of law. The nullity of a company may only be ordered in the cases established in the Directive
  • Branches
    • Such Branches of Companies from other Member States must be registered in the Host Country Commercial Registry . They must make publicly available, through the interconnection system of central, commercial and company registers, at least the following information:
      • Address, activity, name (if different from the Company), particulars, appointment and discharge of the person or persons representing and managing the Branch.
      • Company’s place of registration and registration number; name and legal form of the company; winding-up of the company, appointment and particulars of liquidators; accounting documents;
      • Closing of the branch.
      • The Directive allows the Member States to require additional disclosures.

2.2 Specialities of single-member limited liability companies

(Now codified in Directive 2009/102/EC — company law on single-member private limited liability companies:)

  • A company may have a single member by its being formed, or by all its shares/non-share participations coming to be held, by a single person (single-member company).
  • Member States must allow the incorporation of single-member companies of the SL type.
  • Member States must allow the that SL or SA become single-member companies after their incorporation as a multiple-member company
  • Member States can allow for PLC (SA) to be incorporated as single-member company
  • Where a company becomes a single-member company because all its shares have come to be held by a single person, that fact, together with the identity of the single member, must either be entered in a register kept by the company and accessible to the public or be recorded in the file or entered in the central national commercial register or the register of companies.
  • The single-member exercises the powers of a general meeting of the company.
  • All decisions taken by the single member and contracts between that person and the company as represented by him or her must be recorded in the minutes or drawn up in writing.

    Cantábrico (Asturias)

2.3 Specialities to promote shareholders’ long-time involvement in listed companies

EU company law has enacted some measures to promote the long-term involvement of shareholders in the projects of the companies in which they have invested, even if they are located in another EU Member State. To such aims, the cross-border exercise of shareholders’ rights is of utmost relevance: Directive 2007/36/EC (amended by Directives 2014/59/EU and (EU) 2017/828) on the exercise of certain rights of shareholders in listed companies abolishes the main obstacles to a cross-border vote in listed companies that have their registered office in a Member State. Here are some issues regulated in these Directives:

  • Identification of shareholders. The 2007 and 2017 Directives made it mandatory that adequate instruments (and intermediaries) exist so that listed companies («cotizadas») can identify their shareholders. The end aim is to facilitate the exercise of shareholders’ rights and their involvement in the company. (Member States may stipulate that companies located within their territory are only authorised to request identification regarding shareholders holding more than a certain percentage of shares or voting rights, not exceeding 0.5%).
  • Rights of shareholders to monitor Director’s remunerations. It establishes shareholders’ right to vote on the remuneration of directors and it mandates that the remuneration policy must be published. Also, it regulates the performance of directors, which should be evaluated using financial and non-financial performance criteria, including, where appropriate, environmental, social, and management factors.
  • Transparency of institutional investors, asset managers and voting advisors in particular to facilitate the exercise of shareholders’ voting rights:
    • Intermediaries will have to facilitate the exercise of shareholders’ rights, including the right to participate and vote at general meetings.
    • They will also have an obligation to provide shareholders, in a standardised format and in due time, with all company information that enables them to exercise their rights properly.
    • In addition, they will have to publish all costs related to the new rules.
  • Transactions with related parties
    • Transactions with related parties may be detrimental to companies and their shareholders, as they may give the related party the possibility of appropriating value belonging to the company. For this reason, the new Directive provides that:
      • a) significant transactions with related parties have to be submitted for approval by the shareholders or the administrative or supervisory body to protect adequately the interests of the company.
      • b) and, Companies will have to publicly disclose (to the market supervisors (ie, in Spain the CNMV) relevant transactions with all information necessary to assess the fairness of the transaction.
2.4 Take over bids, mergers, acquisitions, divisions

Santiago de Compostela. Vista desde la Alameda

This Directive applies to companies whose shares are admitted to a regulated market (listed companies, that is, listed PLC or «cotizadas») in relation with takeover bids

A takeover bid is a public offer to acquire all or part of a company’s securities.

  • To protect minority shareholders of listed companies in a takeover bid, Directive 2004/25/EC, mandates that anyone gaining control of a company (30/-35% of its securities) must make a bid at an equitable price at the earliest opportunity to all holders of securities.
    • The control situation must be notified to the marketplace and to the supervision authority
    • The equitable price is the highest price the offeror paid for the securities during a 6- to 12-month period before the bid. In specific circumstances, national supervisory authorities may adjust this price.
    • The Board of Directors of the bidding Company is competent to approve the decision to launch the bid and is responsible for the documents and procedures involved therein.
    • The decision to launch a bid should be made public as soon as possible to ensure market transparency and integrity of the offeree company securities.
    • Employee representatives must be informed of any takeover bid.
    • National authorities determine the time for the shareholders of the offeree/target company to accept a bid. This runs between 2 and 10 weeks.
    • National rules exist for issues such as the lapsing or revision of bids or disclosure of the result of a planned takeover.

In case the Board of the offeree/target does not wish for the bid to be successful, before engaging in actions that could block the bid, the Board of the offeree/target company must (subject to an EU country opt-out) obtain prior authorisation from a general shareholders’ meeting.

Please note that this EU regime for taking control over a Stock market-listed Company (Mandatory Bid Rule) is different to the USA system, where the bid is not mandated and where controls take place, mainly, after the deal.

      • A merger is an operation whereby:
        • Merger by acquisition. One or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to another existing company, the acquiring company, in exchange for the issue to their members of securities or shares representing the capital of that other company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by the creation of a «newco». Two or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to a company that they form, the “new company”, in exchange for the issue to their members of securities or shares representing the capital of that new company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by transferring shares to the parent co. The shareholders of  one or more companies transfer their shares to a company that will be holding all the securities or shares representing its capital, that is, to its parent company
      • In all 3 cases, the draft terms of the merger must be drawn up by the administrative or management board and must contain specific information, including:
            • the type, name and registered office of the companies;
            • the share exchange ratio (that is, the relative number of new shares that will be given to existing shareholders of a company that has been acquired or merged with another);
            • terms relating to the allotment of shares in the acquiring company (and or in the new company to be formed);
            • the rights granted by the acquiring (or the new) company.
      • In all 3 cases, workers councils of the merging companies must be informed. And the final deal is approved by the shareholders of both companies. Please note that M&A operations as well as takeovers may in some cases fall within the realm of Free Competition legislation. Therefore,  companies must also make sure that they follow Free Competition procedures. In this course, we analyse such procedures in lesson 3, «concentrations«.
  • Divisions of public limited liability companies
    • Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies (the consolidation Directive)  addresses also Divisions
      •  ‘division by acquisition’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the companies receiving contributions as a result of the division (‘recipient companies’) and possibly a cash payment. The directive sets a maximum cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions

      •  ‘division by the formation of new companies’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one newly-formed company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the recipient companies, and possibly a cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions

      • There are also provisions for divisions with cash payment  exceeding 10% and divisions where the company does not cease to exist
2.5 Special legal forms for cross-border business in the UE

Gatín

      •  Regulation 2157/2001 establishes a statute for a European Company (Societas Europea or European Company ‘SE’), i.e., an EU legal form for public limited liability companies, and allows companies from different Member States to conduct their business in the EU under a single European brand name.
        • Societas Europea / Sociedad Anónima Europea , here
      • Regulation 2137/85 sets out a statute for a European Economic Interest Grouping (EEIG), i.e. an EU legal form for a grouping formed by companies or legal bodies and/or natural persons carrying out economic activity coming from different Member States; the purpose of such a grouping is to facilitate or develop the cross-border economic activities of its members.
      • Regulation (EC) No 1435/2003  on the Statute for a European Cooperative Society (SCE). It aims to facilitate cooperatives’ cross-border and trans-national activities. The members of an SCE cannot all be based in one country. The regulation of the Statute for a European Cooperative Society (2003) aims to facilitate cooperatives‘ cross-border and trans-national activities. The statute also provides a legal instrument for other companies wishing to group together to access markets, achieve economies of scale, or undertake research and development activities. The Statute also enables 5 or more European citizens from more than one EU country to create a European Cooperative Society. This is the first and only form of a European company that can be established from the beginning and with limited liability (ie: it does not need to be formed by companies of different Member States or as a subsidiary as it is the case with the SE. The SCE allows its members to carry out common activities while preserving their independence;  its principal object is to satisfy its members’ needs and not the return on capital investment; its members benefit proportionally to their profit and not to their capital contribution.

Lesson 2 Companies and other legal forms to develop IBL. (Notes 2025-26- Section 1)

Posted on por

LESSON 2 IBL: INTERNATIONAL DIMENSION OF COMPANY LAW: THE EUROPEAN UNION LEGAL FRAMEWORK

1. Companies and other legal forms of business organisation in International Business Law.

Companies and other organisations are central actors in international business law. Alongside natural persons, they serve as instruments that give legal form to business activity.

In particular, companies (also called corporations) and other business entities provide the legal framework for collective business ventures—those in which ownership and control are exercised by groups of individuals who must be organised according to law. These forms differ from individual business activity, where the legal holder is a single trader or entrepreneur.

Such organisations are recognised in law as legal persons. Unlike natural persons, they do not exist by nature but as intellectual constructs, or legal fictions created to allow groups of individuals to cooperate.

  • The notion of legal personality has deep historical roots: already in medieval law and in early mercantile practice, jurists developed the idea of the universitas or collegium to explain how associations, guilds, and cities could act as a single entity in law.
  • Through the fiction of  legal personality, the law grants organisations a distinct legal «existence», enabling them to own property, to enter into contracts, to appear in litigation, and to exercise governance functions regardless of the individuals who compose them.
  • A fully incorporated company or organisation maintains its legal identity independently of the specific individuals who make up its membership or management. In other words, it continues to exist and operate according to the law regardless of changes in shareholders, directors, or other members. This principle is essential in business law, as it ensures that the company can enter into contracts, hold property, and be subject to legal obligations and rights stably and predictably, separate from the personal circumstances of its participants.

 

 Different types of legal persons that are important in IBL

Building on the general concept of legal personality, international business law recognises a variety of organisational forms. Each of these entities embodies the legal fiction of personhood in its own way, shaped by its purpose, governance structure, and capital arrangements.

  • Partnerships, or sociedades de personas (sociedades colectivas), are usually classified as personalist entities. Their legal personality is closely tied to the identity of their members, who often assume unlimited liability and participate directly in management. This makes them suitable for professions or activities where personal trust among partners is decisive.
  • Corporations represent the opposite model: they are capitalist entities, in which the legal personality is detached from the individuals who provide the capital. Shareholders contribute funds but are not personally liable beyond their investment. This separation between ownership and management, reinforced by limited liability, makes corporations the predominant form for large-scale business.
  • Cooperatives occupy an intermediate ground. Their legal personality is designed to serve the collective interests of members, often balancing economic participation with social or community goals.
  • Foundations are distinct because they are not based on members but on a dedicated pool of assets organised for a specific purpose. In civil law systems, they enjoy legal personality as autonomous entities and (in the Spanish legal system) they must serve a general interest.
  • An institution that is related to Foundations  in common law is the trust, which, though not a legal person in the strict sense, performs similar functions by separating legal ownership (trustee) from the beneficial interest (beneficiaries).
  • Associations represent voluntary groupings of individuals that acquire legal personality when recognised by law (ie, when they are registered in a public registry for associations). Unlike partnerships, their aim is often non-profit, but in some jurisdictions, such as in Spain, associations may also engage in economic activity.

Another important distinction is between incorporated and non-incorporated entities and companies.

  • Incorporated entities, such as corporations (Public Limited Companies – in Spain, Sociedad Anónima-, limited liability companies -in Spain, Sociedad Limitada- and Foundations acquire legal personality through a formal act of incorporation and registration. They are registered in a public registry, enjoy separate patrimony, and can act as autonomous subjects of rights and obligations. Their existence does not depend on the continuity of their members, since the legal person persists even if ownership or management changes.
  • Non-incorporated entities, on the contrary, lack full legal personality or enjoy only a limited degree of recognition. IE: Sociedades de personas (sociedades colectivas) and unregistered associations fall within this category. They may act collectively to some extent, but their legal standing is often derived from the direct responsibility of their members. In many systems (such as in Spain), the partners are personally liable for the obligations of the entity, and the organisation may dissolve when a member withdraws.

The divide between incorporated and non-incorporated forms is fundamental in international business law. It reflects the balance between flexibility and formality, between personal responsibility and autonomous legal existence, and it explains why incorporated structures dominate in large-scale, capital-intensive activities, while non-incorporated ones remain common in small or trust-based ventures.

Let’s look at these figures one by one:

Foundations (incorporated entity)

  • They have no members.
  • They have no shareholding.
  • They do not have issued capital, although they do have assets.
  • Foundations are legal persons, composed of assets whose objectives are determined by their founder.
  • Article 34.1 of the Spanish Constitution states: «The right of Foundation is recognized for purposes of general interest, in accordance with the law.» Therefore, in Spain, foundations are created to serve the general interest and not solely the interest of the founder or their family. Some countries, however, recognize private-purpose foundations.

Trusts (English law trusts) (non-incorporated)

  • They are not legal persons in the strict sense, although they perform similar functions.
  • They separate legal ownership of assets (held by the trustee) from the rights of the beneficiaries.
  • Trusts allow the organisation of assets for specific purposes, protecting property and controlling its use according to the settlor’s instructions.
  • They are widely used in estate planning, investment management, and asset protection.
  • Even without their own legal personality, trusts can sue and be sued through the trustee, and their existence is recognised by English law and other common law systems.

Associations (incorporated or non-incorporated)

  • They voluntarily group individuals for collective purposes, usually non-profit.
  • They acquire legal personality when formally recognised by law or registered in an official registry (this latter case implies that the Association is incorporated).
  • The members of the association  participate in management according to the statutes and internal rules of the association.
  • In some jurisdictions, associations may carry out economic activities, although their main purpose is usually social, cultural, or community-oriented.
  • The association’s legal liability varies from country to country and from one tyme of association to other. Often, members are subsidiarily liable for the obligations of the association if it is not incorporated.

Companies 

  • Companies are legal persons created to organise collective business activity.
  • Commercial Companies are usually classified into main types: personalist entities and capitalist entities, mutual organisations (such as cooperatives).
  • Companies operate under specific legal frameworks that define their rights, obligations, and governance structures.
  • They can own property, enter into contracts, borrow funds, and engage in litigation independently of their members.
  • Governance is often structured through boards of directors or managers, separating decision-making from ownership in capitalist entities.
  • Personalist entities, by contrast, usually involve direct participation of members in management and decision-making.
  • The flexibility of company forms allows adaptation to different economic activities, from small partnerships to multinational corporations.
  • In cross-border business, understanding the type of company is essential because liability, capital requirements, and recognition of legal personality vary between jurisdictions.

Personalist companies (partnerships / sociedades de personas / sociedades colectivas)

  • Members often assume unlimited liability and participate directly in management.
  • They are suitable for businesses where personal trust and professional reputation are central.
  • In many jurisdictions, these entities can be non-incorporated, meaning they lack full legal personality and that partners are directly responsible for the obligations of the entity.

Capitalist companies (corporations / sociedades capitalistas)

  • Corporations are usually incorporated, registered in public registries, and enjoy perpetual existence regardless of changes in ownership.
  • These companies acquire full legal personality through incorporation (a formal agreement or constitution filed in a public registry)
  • Their legal personality is independent from their shareholders.
  • Shareholders contribute capital but are not personally liable beyond their investment.
  • Management and ownership are separate, allowing companies to scale and attract investors.
  • They are created by founding members who contribute money or assets to form the company’s capital.
  • Examples: Sociedad Anónima (S.A.), Sociedad Limitada (S.L.), and Sociedad Anónima Europea (SAE).

Minimum Capital Requirements in capital companies in Spain:

  • Sociedad Anónima (S.A.): Requires a minimum capital of €60,000, with at least 25% paid up at the time of incorporation.
  • Sociedad Limitada (S.L.): The minimum capital is, since 2022, of €1. (Until the capital reaches €3,000, the company must allocate 20% of its annual profits to a legal reserve until the total capital and reserve amount to €3,000).

  • Registration: Registration in the Companies House (Registro Mercantil) is a requisite for these entities to acquire full legal personality.

Incorporated vs. Non-incorporated entities

  • Incorporated entities, such as corporations, limited liability companies, and foundations, acquire legal personality through the formal process of incorporation. They can enter into contracts, own property, sue and be sued.
  • Non-incorporated entities, such as unregistered partnerships and associations, have limited legal recognition. Their capacity to act collectively often depends on the direct responsibility of their members, and the entity may dissolve if a member leaves.

This classification helps understand why incorporated capitalist entities dominate large-scale and capital-intensive businesses, while personalist and non-incorporated forms remain common in smaller, trust-based, or professional ventures.

 

More (about  incorporated «capital» companies)

  • Nationality and Domicile of Companies. Companies have a nationality and a domicile, defined differently across legal systems:
    • Real Seat Theory: Nationality is linked to where the company is managed (e.g., Germany).
    • Incorporation Theory: Nationality is determined by the place of incorporation (e.g., UK).
    • Spanish System: A hybrid. According to Arts. 8–10 LSC, a Spanish company, has its registered office in Spain and must indicate its administrative or main operational centre. Third parties may consider either domicile. Nationality and domicile determine the applicable legal system, legal capacity, and jurisdiction.

Foreign companies’ legal capacity to act and trade in Spain (capacidad de obrar). Foreign companies (and individuals) can trade in Spain.

  • Art. 15 Código de Comercio establishes that foreign entities follow their own nationality laws for legal capacity but must comply with Spanish law regarding establishments and operations within Spain, subject to Spanish courts.
  • Exceptions arise in international business contexts.

Groups. A group of companies arises when several legally independent entities are brought together under the economic control and strategic direction of a single parent company . Despite maintaining their separate legal personalities, these companies operate as an integrated whole, coordinated to pursue shared business objectives. The defining characteristics of a corporate group include:

  • Dependence relationships: Subsidiaries rely on the parent company for strategic decisions, financing, or operational direction, even though they retain legal independence.

  • Centralised economic governance: Key policies, resource allocation, and overall business strategy are determined at the group level, ensuring coherence and coordinated action across all entities.

Art. 42 of Spanish Commercial Code defines a group via majority voting rights or control over boards. Vertical groups must file consolidated accounts, non-vertical groups do not.

Comparative Company (and Securities Law) in relation with capital «formation». USA vs. EU

  • USA: Popular capitalism, state-regulated company law, federal securities law (SEC), soft law governance.

  • EU: Bank-centred funding, blockholders, variable board structures (single vs. dual), corporate governance influenced by soft law (Cadbury Code, Código Unificado de Buen Gobierno), harmonisation via MIFID2, MIFIR, and supervision by ESMA, EBA, EIOPA.

Lesson 1 : INTERNATIONAL BUSINESS IN THE CONTEXT OF INTERNATIONAL TRADE Notes 2025_26 L1, (1y2)

Posted on por

Block I: INTERNATIONAL BUSINESS LAW


Lesson 1: INTERNATIONAL BUSINESS IN THE CONTEXT OF INTERNATIONAL TRADE

1. Introduction

Law is the science that studies facts, acts, and relationships between different subjects in a structured manner, analysing them according to legal systems.

International Trade is a discipline concerned with international transactions—businesses, contracts, and related activities—whose nature is broadly economic, including finance, the exchange of goods, and services.

This course focuses on International Business Law (IBL) from the perspective of Business Law (Derecho Mercantil / Business and Commercial Law), a branch of law that deals with three key areas: (i) commercial acts, such as contracts and business negotiations; (ii) the organization of entrepreneurs, including companies, sole proprietorships, and foundations engaged in trade; and (iii) market activity, including unfair competition, free trade, monopolies, and exchanges. Accordingly, IBL emphasises Business Law with a cross-border dimension, focusing on commercial transactions (primarily contracts), markets (particularly from a commercial perspective), and the organisation of entrepreneurs (especially companies).

  • Excluded from IBL are certain aspects of international trade, such as tax and customs law or the regulation of cross-border workers; these topics are addressed in other subjects.

International Business Law governs relationships between private entities with cross-border implications. It regulates interactions among actors—individuals, companies, and other entities—typically carried out through structured “commercial acts” such as contracts, the formation of companies or associations, or the establishment of secure payment systems. Some consequences in IBL are incidental: they may be unplanned and non-contractual, such as an accident during the transport of goods in an import-export operation. IBL provides tools to address these non-contractual events as well.

Business and trade occur within markets, and thus they must operate under laws governing free competition, intellectual property, financial stability, and related areas. IBL plays a critical role in these domains.

Given the cross-border nature of IBL and its impact on international business relations, it is essential to determine the applicable legal system(s) for each operation. Equally important is identifying which national courts have jurisdiction over IBL disputes, as well as understanding available out-of-court conflict resolution mechanisms.

2.Subjective, objective, and territorial aspects

International Business actors include both natural persons and legal entities: citizens, traders, entrepreneurs, companies, and groups of companies. It is therefore important to identify their legal capacity, nationality, and other relevant attributes.

The main actors in International Business Law (IBL) are: States, International Organizations, Private Sector Organizations, and Hybrid Organizations. (Lesson 2 addresses companies and other private entities in detail.)

2.1 States
Sovereign States are institutional actors in International Law. They participate in International Trade and IBL primarily by:

  • Enacting laws and regulations
  • Negotiating international treaties and conventions (some of which create International Organizations)
  • Exercising judicial powers through courts and judges

Example: In Spain, under Article 149-1, the State has exclusive competence over:
      3. International Relations
      6. Commercial Law
      9. Legislation on Intellectual Property
     10. Customs, tariffs, and foreign trade

2.2 International Organisations (and State Arrangements) Members of these organisations are primarily States. They vary in powers:

  • Legislative Powers: Some organizations, e.g., the European Union, have legislative authority granted by member States.
  • Drafting Powers: Others can draft agreements and treaties (e.g., WIPO), which only become legally binding after ratification by States.
  • Soft Law Issuance: Most publish recommendations, model laws, and guides.
  • Membership and Treaty Participation: Some organizations may join other IOs or sign treaties (e.g., the EU).

There are different types of these International Organisations and State Arrangements (Treaties/Conventions/Agreements/Conferences), and they can be classified Iin different manners, such as this:

  • Following their scope and geographical area of activity:
    • Regional organisations through bilateral agreements: e.g., Commonwealth, Francophonie
    • Multilateral/plurilateral Free Trade Areas: e.g., ASEAN, NAFTA/TLCAN, EFTA
    • Internal Market Organisations: e.g., EU, MERCOSUR (to a lesser degree of supranational integration)
    • Global Trade Organisations:
      • WTO: International Organization that administers treaties on goods, services, intellectual property, and dispute settlement
      • GATT: State Arrangement related to Trade in goods. It operates since (1948) – , it operates with principles like Free Trade, National Treatment, Most Favored Nation. Since 1995 it is administered by WTO
      • GATS: State Arrangement related to Trade in services within WTO
      • TRIPS: State Arrangement related to Trade-Related Aspects of Intellectual Property within WTO
      • Dispute Settlement System within WTO
  • Following the main type of work they do:
    • Drafting Treaties, Principles:

      • The Hague Conference on Private International Law: drafts conventions ratified by States; influential even when such conventions are not ratified

      • UNIDROIT: Issues principles and resolutions (e.g., Principles of International Commercial Contracts 2010)

      • OECD: Guidelines for multinational companies

      • UN Bodies: UNCITRAL, UNCTAD, UNIDO, WIPO

    • Operations and soft law in the Financial Sector :

      • World Bank (WB),

      • IMF,

      • Financial Stability Board (FSB)

  • Other Arrangements/Conferences:
    • G20, BRICS, Shanghai Cooperation Group

2.3 Private Sector Organisations with International Impact
Their Members are private entities (companies, consultants, etc.). They cannot legislate but issue influential Soft Law, especially in contracts and dispute resolution.

Examples:

  • ICC (International Chamber of Commerce): drafts INCOTERMS, arbitration center
  • ISO: develops voluntary international standards
  • IFRS Foundation: accounting and sustainability disclosure standards
  • WFEO, BAFT, IBF, FIDIC, and others: technical standards, market best practices

 

2.4 Hybrid Organizations (Public-Private)


Organisations with both public and private members.

Example: IOSCO (International Organisation of Securities Commissions). About its members:

  • Ordinary members (130): national securities commissions/governmental bodies
  • Associate members (34): supranational, subnational regulators, international standard-setting bodies
  • Affiliate members (69): self-regulatory organisations, exchanges, investor protection funds, other international bodies

DSA y gobernanza digital de la ciberseguridad de la empresa

Posted on por

El DSA es, en esencia, la actualización del viejo modelo de “puertos seguros” de la Directiva de comercio electrónico, con mucha más atención a cómo las plataformas gestionan la información que alojan.

Teverga

1. Antecedentes: Directiva de comercio electrónico y safe harbours

La Directiva 2000/31/CE sobre comercio electrónico creó un sistema de exención de responsabilidad para determinados intermediarios (conduit, caché, hosting). En el caso del alojamiento de datos (art. 14 DCE), el prestador no responde por la información que almacena para sus usuarios si:

  • No tiene conocimiento efectivo de que el contenido es ilícito, ni de hechos que revelen claramente esa ilicitud.

  • Y, cuando obtiene ese conocimiento, actúa con rapidez para retirar el contenido o bloquear el acceso.

El TJUE interpretó que esta exención solo vale para prestadores que actúan de forma “técnica, automática y pasiva”, es decir, que no tienen conocimiento ni control sobre la información: es la famosa distinción entre rol neutral y rol activo. Si el host interviene de forma activa en la optimización, promoción o presentación de contenidos, puede perder el safe harbour porque ya no es un mero intermediario neutral. Este modelo generó inseguridad: muchas plataformas temían que investigar o filtrar contenidos les hiciera perder la exención, lo que desincentivaba medidas proactivas contra contenidos ilícitos (incluyendo productos falsificados).

En paralelo, la Comisión impulsó autorregulación, especialmente frente a falsificados, mediante el Memorandum of Understanding on the sale of counterfeit goods on the internet, un acuerdo voluntario entre grandes plataformas y titulares de derechos para adoptar medidas técnicas y organizativas que previnieran ofertas de falsificados en marketplaces.

2. El salto al Digital Services Act (DSA)

El Reglamento (UE) 2022/2065, Digital Services Act, sustituye a la DCE en materia de responsabilidad de intermediarios y crea un marco general, escalonado, para todos los servicios de intermediación, incluida la plataforma de comercio electrónico.

  • Mantiene el esquema de safe harbours, pero lo reescribe, incorporando la jurisprudencia del TJUE.

  • Regula en capas: obligaciones básicas para todos los intermediarios,                    obligaciones adicionales para hosting providers, reglas específicas para plataformas en línea y, aún más, para plataformas de muy gran tamaño.

En materia de responsabilidad, el art. 6 DSA replica en esencia el modelo del antiguo art. 14 DCE:

  • El hosting sigue exento si no tiene conocimiento efectivo ni es consciente de circunstancias que revelen la ilicitud, y si, al adquirir ese conocimiento, retira o bloquea con prontitud el contenido ilícito.

  • El Reglamento precisa que ese conocimiento debe ser específico, no basta ser consciente en abstracto de que el servicio también se usa para contenidos ilegales.

Al mismo tiempo, el DSA reafirma la prohibición de imponer una obligación general de monitorización o de búsqueda activa de contenidos ilícitos (art. 7, que retoma el art. 15 DCE). Pero introduce la llamada “cláusula del buen samaritano”: la plataforma no pierde automáticamente el safe harbour por realizar, de buena fe y con diligencia, investigaciones o filtrados voluntarios para detectar y retirar contenidos ilícitos. Se corrige así el incentivo a “no mirar” que había creado la interpretación estricta del papel activo.

3. Gestión de la información: conocimiento, notificación y actuación

El DSA convierte la gestión de la información en el eje práctico de la responsabilidad:

  • Obliga a los servicios de alojamiento (incluidas plataformas) a establecer mecanismos de “notice & action” electrónicos, fáciles de usar, que permitan a cualquier persona notificar contenidos ilícitos.

  • Las notificaciones suficientemente precisas y fundamentadas, que permitan a un prestador diligente apreciar sin análisis jurídico complejo la ilicitud, se consideran que confieren conocimiento efectivo (art. 16.3 DSA).

Además, crea la figura de los “alertadores fiables” (trusted flaggers): entidades especializadas, reconocidas por un Estado miembro, cuyas notificaciones deben ser tramitadas con prioridad por las plataformas en línea, sin dilación indebida. Esto afecta directamente a la lucha contra falsificados y otras infracciones de PI, porque asociaciones sectoriales u oficinas de PI pueden actuar como alertadores que alimentan el sistema de gestión de contenidos.

El Reglamento también insiste en que:

  • El host debe justificar de forma clara y motivada sus decisiones de retirada o bloqueo, incluyendo la base jurídica y, en su caso, si se ha utilizado filtrado automatizado.

  • Debe ofrecer sistemas internos de reclamación y, para plataformas, vías de resolución extrajudicial de disputas, con el objetivo de evitar el overblocking (retirada excesiva por miedo a la responsabilidad).

Para las plataformas de muy gran tamaño, la gestión de la información se refuerza todavía más: deben identificar y mitigar “riesgos sistémicos” ligados a la difusión de contenidos ilícitos, lo que implica análisis periódicos, ajustes algorítmicos y medidas de reducción de riesgos (por ejemplo, mejorar la velocidad y calidad del tratamiento de notificaciones).

4. Ciberseguridad y gestión informacional como deber regulatorio

El recorrido DCE → jurisprudencia TJUE → DSA muestra una evolución clara:

  • Del modelo inicial que protegía al intermediario siempre que se mantuviera neutral y reaccionara solo cuando se le notificaba,

  • a un marco en el que la plataforma debe disponer de sistemas internos estructurados de gestión de información ilícita (procedimientos de notificación, evaluación, retirada, registro, revisión), sin que ello le haga perder el puerto seguro.

En la práctica, esto aproxima la lógica de la responsabilidad de plataformas a la de un sistema de ciberseguridad y compliance digital: monitorizar de forma razonable, registrar eventos, responder a incidentes, documentar decisiones y cooperar con autoridades y titulares de derechos se convierte en condición para conservar la exención de responsabilidad y para poder seguir operando en el mercado interior digital de la UE.

Riesgos y buenas prácticas de los administradores en el Sector Renovable

Posted on por

La controversia sobre las primas a las energías renovables surge del sistema de incentivos que los Estados implementaron para fomentar la inversión en energías limpias, mediante la concesión de primas o tarifas reguladas a productores de energía renovable.

Estas primas, muchas veces diseñadas sin una proyección completa de sostenibilidad financiera a largo plazo, han dado lugar a numerosos arbitrajes internacionales por reclamaciones de inversores ante Estados que modificaron las condiciones iniciales de los incentivos. Señaladamente, contra España

Rododendros y azaleas

La incertidumbre regulatoria, los cambios legislativos y las decisiones administrativas que afectan la rentabilidad de las inversiones han generado conflictos complejos entre empresas, inversores y poderes públicos. Aunque los laudos recaen formalmente sobre el Estado, los administradores de sociedades vinculadas al sector energético también enfrentan implicaciones directas, pues su gestión puede verse cuestionada en términos legales, reputacionales y de gobernanza corporativa.

 

Los administradores tienen la obligación de anticipar y gestionar riesgos regulatorios, financieros y reputacionales vinculados a la operación de la empresa. Según la interpretación actual más al uso,  el deber de diligencia del administrador incorpora criterios ESG (medioambientales, sociales y de gobernanza), lo que implica que los riesgos de litigio y exposición arbitral deben integrarse en la estrategia corporativa.

Las inversiones realizadas antes de la entrada en vigor de marcos regulatorios más estrictos (por ejemplo, antes de 2013) sin una evaluación robusta de riesgos regulatorios y legales pueden ser objeto de análisis crítico. La ausencia de documentación interna, estudios de impacto o informes de compliance podría llegar a interpretarse como una falta de diligencia en la gestión- La estrategia adoptada para enfrentar arbitrajes y la gestión de laudos internacionales puede ser revisada de forma retrospectiva, aumentando la exposición a reproches internos, responsabilidad civil o incluso sanciones derivadas de incumplimientos corporativos.

También la existencia de arbitrajes internacionales no resueltos o conflictos prolongados puede afectar significativamente la reputación de los administradores, especialmente en empresas comprometidas con criterios ESG. La percepción de riesgo legal o de gestión inadecuada puede dificultar la atracción de financiación, la fidelización de inversores y la confianza de os stakeholders

El alineamiento con políticas ESG, la transparencia en la gestión de riesgos y la comunicación adecuada de la estrategia corporativa se convierten en elementos esenciales de gobernanza que influyen directamente en la valoración de la empresa y en la sostenibilidad de su modelo de negocio.

 

Ante este escenario, resulta esencial adoptar buenas prácticas de gobernanza por parte de los administradores.

En primer lugar, es recomendable realizar un análisis exhaustivo de riesgos regulatorios y arbitrales, incorporando escenarios adversos en la planificación estratégica y considerando los posibles impactos financieros y reputacionales derivados de laudos internacionales. Asimismo, debe garantizarse una documentación completa de todas las decisiones estratégicas, incluyendo su fundamentación, los estudios de riesgo efectuados y la información disponible en el momento de la toma de decisiones. Igualmente, la integración de criterios ESG en la gobernanza corporativa es clave para orientar la deliberación del consejo, estableciendo indicadores claros que permitan el seguimiento y la mitigación de riesgos. Finalmente, es aconsejable revisar periódicamente la estrategia legal y financiera, ajustando provisiones, seguros y mecanismos de defensa frente a cambios regulatorios, jurisprudenciales y litigios internacionales, con el objetivo de mantener un nivel adecuado de preparación ante contingencias.

Las principales autoridades y estructuras europeas de ciberseguridad

Posted on por

 

En el marco europeo de la ciberseguridad, se han ido articulando múltiples organismos y redes con funciones complementarias —regulación, coordinación, innovación, respuesta a incidentes— que permiten alcanzar un nivel más elevado de resiliencia digital, cooperar operativamente entre Estados miembros y generar un mercado interno más seguro.

1. Agencia de la Unión Europea para la Ciberseguridad (ENISA)

Teverga

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es la agencia comunitaria dedicada a alcanzar “un nivel elevado y común de ciberseguridad en la Unión” (UE) mediante asesoramiento técnico, intercambio de buenas prácticas, desarrollo de esquemas de certificación y colaboración estrecha con los Estados miembros, las instituciones de la UE y el sector privado.

Mandato y marco normativo

  • ENISA fue creada por el Reglamento (CE) n.º 460/2004, operativa desde 2005.
  • Su mandato se reforzó con el Reglamento (EU) 2019/881 —el llamado “Cybersecurity Act”—, que además creó un marco europeo de certificación de ciberseguridad y otorgó a ENISA un mandato permanente.

Funciones principales

  • Cooperación con los Estados miembros en materia de estrategias nacionales, preparación ante incidentes, fortalecimiento de capacidades (training, ejercicios, etc.).
  • Desarrollo de esquemas de certificación de productos, servicios y procesos TIC (en colaboración con otros órganos, con los Estados de la UE, y con organismos innternacionales).
  • Actuar como centro de conocimiento, generar informes sobre amenazas, vulnerabilidades, tendencias tecnológicas emergentes.
  • Más: Ver aqui

 

2. La red de CSIRTs Network de la UE

La Red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs Network) está compuesta por los equipos designados por los Estados miembros de la UE para la gestión de incidentes de ciberseguridad, junto con CERT‑EU. ENISA presta el secretariado de la Red y facilita la cooperación operativa.

Funciones principales: operativas y de coordinación

  • Intercambio de información sobre vulnerabilidades, amenazas, indicadores de compromiso entre CSIRTs nacionales y otros actores.
  • Coordinación de la respuesta a incidentes transfronterizos o que afectan múltiples Estados miembros, y asistencia en la divulgación coordinada de vulnerabilidades con impacto significativo en varios Estados.
  • Apoyo en el marco del Directiva NIS2 (y su antecesora) para asegurar una cooperación más sistemática entre los actores nacionales.

3. European Cyber Security Organisation (ECSO)

La European Cyber Security Organization (ECSO) es una asociación público‑privada (PPP) que reúne actores del sector empresarial, centros de investigación, autoridades públicas y otros stakeholders para fomentar la innovación, el mercado europeo de ciberseguridad y la cooperación público‑privada.

Ámbitos de actividad

  • Grupos de trabajo (Working Groups) que abarcan estandarización, certificación, cadena de suministro de ciberseguridad, inversiones y mercados, internacionalización.
  • Publicación de documentos de apoyo para la cadena de suministro europea de ciberseguridad, como listas de requisitos de “cyber ranges”, evaluación de mercado, etc.
  • Representación del sector privado en foros de la UE (por ejemplo, la participación en el Stakeholder Cybersecurity Certification Group – SCCG) para asesorar sobre certificación europea.

 

4. European Cybersecurity Certification Group (ECCG)

El European Cyber security group (ECCG) es un grupo integrado por representantes de los Estados miembros de la UE que asesora a la Comisión Europea y a ENISA en la implementación del marco de certificación de ciberseguridad en virtud del Reglamento (EU) 2019/881 (Cybersecurity Act).

Existen centros nacionales activos en el trabajo de este grupo

Funciones y estructura

  • Su misión es garantizar la aplicación coherente del marco de certificación de la UE, evitando la fragmentación de los esquemas nacionales y promoviendo la mutua aceptación de certificados.
  • Colabora con ENISA en el desarrollo de esquemas europeos como el EUCC (European Common Criteria) y otros futuros (servicios en la nube, IoT, etc.).

 

Sinergias y consideraciones de gobernanza

Estas cuatro estructuras no actúan de forma aislada, sino que presentan una arquitectura interconectada:

  • ENISA opera como nodo central de la estrategia, la normativa y la capacidad técnica.
  • La CSIRTs Network permite la dimensión operativa y de respuesta a incidentes en tiempo real, interrelacionada con ENISA y con los equipos de los Estados miembros.
  • ECSO representa la dimensión de mercado, innovación, industria y gobernanza colaborativa público‑privada.
  • ECCG asegura que el marco de certificación europeo sea coherente, homogéneo y reconocido en toda la UE, reduciendo la fragmentación y fortaleciendo el mercado interno.

La arquitectura europea de ciberseguridad —representada por ENISA, la red de CSIRTs de la UE, ECSO y el ECCG— constituye un mosaico integrado de regulación, operación, mercado e innovación. Para la empresa que opera en el entorno europeo y para los administradores que deben gobernarla, esta arquitectura ofrece tanto obligaciones como oportunidades: obligaciones de diligencia, reporte y adopción de estándares certificados; oportunidades de competitividad, confianza de mercado e integración en un ecosistema digital europeo seguro.

Directiva de enforcement (Directiva 2004/48/CE)

Posted on por

La Directiva 2004/48/CE (IPR Enforcement Directive) no regula el contenido de los derechos de PI, sino su tutela procesal y remedios civiles frente a las infracciones (marcas, patentes, diseños, copyright, etc.). Establece un catálogo armonizado de medidas: obtención y conservación de pruebas, información sobre las redes de distribución, medidas cautelares, retirada y destrucción de productos infractores, indemnización de daños, publicación de sentencias, etc.

Esta Directiva de enforcement no formula obligaciones de seguridad de forma directa como la de secretos, pero su adopción s tiene consecuencias prácticas para la organización interna de las empresas titulares:

  1. Preservación y presentación de pruebas
    • Para beneficiarse de medidas como el aseguramiento de pruebas (art. 7) o la indemnización de daños, el titular debe disponer de sistemas que generen y conserven evidencias fiables: registros de ventas, trazabilidad, documentación técnica, logs de sistemas, etc.
    • Subraya la importancia de disponer de medios efectivos para presentar, obtener y preservar evidencias, incluyendo documentación comercial y financiera en manos del infractor. Esto incentiva a los titulares a implantar sistemas de registro y trazabilidad que, de facto, son medidas de seguridad y gobernanza de la PI.
  2. Protección de información confidencial en el proceso
    • La Directiva exige que las medidas probatorias y de acceso a documentos respeten la confidencialidad de la información sensible.
    • Ello presupone que el titular tenga identificada qué información es confidencial y cómo debe compartirse de forma controlada con tribunales, peritos o contrapartes.En la práctica, obliga a organizar la información de PI de forma que pueda ser selectivamente revelada en juicio sin exponer el resto del know‑how.
  3. Gestión del riesgo de infracción y de daños
    • Las reglas sobre indemnización (art. 13) tienen en cuenta, entre otros elementos, el impacto económico y el carácter intencional o negligente de la conducta.
    • Desde el punto de vista del titular, esto empuja a contar con sistemas de control interno y de detección temprana de infracciones (propias y de terceros), lo que enlaza con funciones de compliance y ciberseguridad.

En suma, la Directiva 2004/48 no “manda” instalar firewalls o SGSI, pero presupone que el titular es capaz de acreditar y gestionar su PI con trazabilidad y confidencialidad, lo que, en la práctica, se apoya en medidas técnicas y organizativas de seguridad de la información.

Directiva de secretos comerciales (Directiva 2016/943/UE)

Posted on por

La Directiva 2016/943 armoniza en la UE la protección del know‑how y la información empresarial no divulgada frente a su obtención, uso y divulgación ilícitos. No crea un registro, sino un marco común para que los Estados protejan el secreto empresarial como un activo clave de competitividad e innovación. No impone una lista cerrada de medidas, pero condiciona la protección jurídica a que el titular integre sus secretos en un sistema de seguridad y compliance verificable.

La definición de “secreto comercial” exige tres elementos acumulativos (art. 2.1):

  • Que la información sea secreta (no generalmente conocida ni fácilmente accesible en los círculos que normalmente la manejan).
  • Que tenga valor comercial por ser secreta.
  • Que haya sido objeto de “medidas razonables” por parte de quien la controla para mantenerla en secreto.(en ese tercer requisito se concentran las obligaciones de seguridad )

Obligaciones de seguridad para el titular

La Directiva no enumera taxativamente las medidas, pero deja claro que el titular solo se beneficia del régimen reforzado si puede probar que adoptó medidas razonables de protección. De ahí se derivan, en la práctica, al menos cuatro bloques de obligaciones:

  1. Gobernanza y clasificación de la información
    • Identificar qué informaciones constituyen secreto (know‑how técnico, fórmulas, procesos, planes de negocio, datos de I+D, etc.).
    • Documentar esa condición (políticas internas, clasificaciones, inventarios).
    • Asegurarse de que la información secreta no se mezcla de forma indiscriminada con información pública.
  2. Medidas técnicas de seguridad de la información
    • Controles de acceso físico y lógico, autenticación, segmentación de redes, registro de accesos.
    • Cifrado y protección de copias, backups y soportes donde residen los secretos.
    • Monitorización y detección de accesos o exfiltraciones sospechosas.
      La doctrina y la práctica consideran que estos controles de ciberseguridad formen parte del estándar de “medidas razonables”, en función del tamaño y del riesgo de la empresa.
  3. Medidas organizativas y contractuales
    • NDA y cláusulas de confidencialidad con empleados, directivos, consultores, proveedores, socios, etc.
    • Políticas claras de “need‑to‑know” y formación específica sobre confidencialidad.
    • Procedimientos para la salida de empleados (devolución de soportes, revocación de accesos, recordatorio de confidencialidad).
  4. Capacidad probatoria
    • La empresa debe poder demostrar ex post que aplicó medidas razonables: políticas escritas, logs, planes de seguridad, auditorías, etc.
    • Si no se acredita este estándar, la información puede no ser tratada como secreto comercial y perder la protección reforzada.

 

IA y la interpretación de la Comisión Europea del concepto de Sistema de Inteligencia Artificial y del concepto de prácticas prohibidas

Posted on por

La Comisión Europea aclara el concepto de “sistema de inteligencia artificial” y detalla las prácticas prohibidas en el marco de la Ley de IA

El pasado 6 de febrero de 2025, la Comisión Europea publicó unas directrices interpretativas destinadas a clarificar el concepto de “sistema de inteligencia artificial” conforme al Reglamento (UE) 2024/1689, conocido como Ley de IA.  Completan, además, sus previas «directrices sobre practicas de IA prohibidas«.  Aunque no tienen carácter vinculante, estas directrices ofrecen una orientación valiosa tanto para proveedores y usuarios de sistemas de IA como para las autoridades competentes, ayudando a interpretar el artículo 3.1 del Reglamento, que define qué debe entenderse por un sistema de inteligencia artificial.

Amanece o atardece-

Según la Comisión, los elementos clave que permiten identificar un sistema como IA son:

  • Autonomía funcional: capacidad para operar sin supervisión humana constante.

  • Capacidad de inferencia: uso de modelos computacionales para generar resultados a partir de datos.

  • Adaptabilidad: posibilidad de ajustar su comportamiento con el tiempo.

  • Objetivo definido: el sistema persigue una finalidad concreta.

  • Procesamiento de datos: capacidad para utilizar datos estructurados o no estructurados.

  • Interacción con el entorno: recepción de entradas y producción de salidas.

  • Capacidad de aprendizaje: aunque no es imprescindible, se valora si el sistema puede aprender de la experiencia.

Estas características no se exigen de forma acumulativa, pero sirven como guía para determinar si un sistema encaja dentro del ámbito de aplicación del Reglamento.

Asimismo, el 4 de febrero, la Comisión publicó unas directrices específicas sobre las prácticas de IA consideradas de “riesgo inaceptable”, cuya prohibición se establece en el artículo 5 del Reglamento. Estas restricciones son de aplicación universal e inmediata, con independencia de la fecha de comercialización del sistema. Las prácticas prohibidas son las siguientes:

  1. Manipulación subliminal susceptible de causar daño físico o psicológico.
  2. Explotación de vulnerabilidades de personas por razón de edad, discapacidad o situación social.
  3. Clasificación social basada en el comportamiento, el estatus o características personales.
  4. Identificación biométrica remota en tiempo real en espacios públicos (con excepciones judiciales muy restringidas).
  5. Identificación biométrica remota posterior sin autorización judicial previa.
  6. Sistemas de puntuación de comportamiento aplicados por autoridades públicas.
  7. IA orientada a manipular el comportamiento humano de manera que cause perjuicio.
  8. Inferencia emocional en el contexto laboral o educativo.

El incumplimiento de estas prohibiciones puede dar lugar a sanciones administrativas significativas, conforme al régimen sancionador previsto por el Reglamento.

Las directrices se completan con un anexo de 136 páginas que incluye ejemplos prácticos, fundamentos jurídicos y criterios interpretativos para facilitar la aplicación de la norma por parte de los operadores jurídicos, empresas desarrolladoras y autoridades de supervisión.

Ver las Directrices y material complementario:

  • Directrices sobre la definición de “sistema de inteligencia artificial” emitidas el 6 de febrero de 2025, que ayudan a interpretar el concepto jurídico del artículo 3.1 del Reglamento (UE) 2024/1689 (Ley de IA)
  • Directrices sobre las prácticas prohibidas de IA (riesgo inaceptable), publicadas el 4 de febrero de 2025, que precisan las prohibiciones establecidas en el artículo 5 del mismo Reglamento
  • Ley para el impulso de la UE en Galicia