Estás navegando por el archivo de Otros.

El Delegado de Protección y de Datos y el Responsable de Seguridad de la información  ¿figuras compatibles?

el 11 octubre, 2021 en Otros

El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD

El Delegado de Protección de Datos es una figura, ya corporativa (aunque cabe su externalización) a la que corresponden funciones fundamentales de información, asesoramiento y supervisión de las políticas, estrategias y actividades relativas a la protección de datos en las organizaciones.

 Sus funciones están especificadas en el artículo 39 del Reglamento Europeo de Protección de datos ( RGPD) y en los arts 34 y siguientes de la Ley Orgánica 3/2018 (LOPDGDD). Y, con más detalle en España en el documento de Directrices para los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.

El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo tendrá atribuidas:

    • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
    • Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
    • Cooperar con la autoridad de control.
    • Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

Además debe ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35RGPD. Y,  conforme al apartado 4 del artículo 36 de la LOPDGDD, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento

En concordancia con el RGPD, en España el artículo 36 de la LOPDGDD, especifica  que este DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

 

Debe subrayarse que el DPD está obligado a mantener el secreto, la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Y, desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, el artículo 37 de la LOPDGDD establece la función del DPD en relación con las reclamaciones presentadas por afectados.  En efecto, recuérdese que en el ámbito de la protección de datos, el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación directamente ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.

La amplitud de funciones que abarcan todo lo relativo a la política de datos, su diseño, puesta en práctica y consecuencias se acompaña de la prohibición por parte del RGPD de que se le impongan sanciones derivads del desempeño de tales funciones como DPD. Y, debe tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta , igualmente prohibidas, y que pueden consistir desde en no tenerle en cuenta a efectos de promoción profesional, denegarle prestaciones que otros empleados sí reciben, etc.  No sólo están prohibidas las sanciones pues la simple amenaza de penalizar al DPD por motivos relacionados con el desarrollo de sus actividades está prohibida. Únicamente podrá ser sancionado e incluso destituido legítimamente por motivos distintos del desempeño de tales  funciones.

El lugar del DPD dentro de la entidad responsable de datos.

Tal y como establece el artículo 38 del RGPD, el desempeño por parte del DPD de las funciones mencionadas en el Art. 39 será respaldado por el responsable y el por encargado del tratamiento, quienes deberán de facilitarle los recursos necesarios para el desempeño de dichas funciones, incluyendo el acceso a los datos personales y a las operaciones de tratamiento;  y para mantener sus conocimientos especializados. En especial vamos a detenernos en algunas cuestiones que, quizás no han sido objeto de suficiente atención:

  • Por una parte, que conforme al RGPD, la alta dirección deberá prestar apoyo activo a la labor del DPD; garantizar que el DPD cuenta con tiempo suficiente para cumplir sus funciones, así como con medios para mantenerse formado; y que se debe facilitar la puesta a disposición del DPD de apoyo desde los departamentos corporativos que gestionen recursos financieros, infraestructura, recursos y personal.
  • Por otra parte, en que desde la entidad debe hacerse saber a la plantilla, por medio de los canales oficiales de comunicación interna, la designación y funciones del DPD.
  • Además, que el DPD cuenta con un auténtico derecho, o incluso deber de formación continua.
  • También, que en función del tamaño y de la estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un equipo organizado bajo la responsabilidad de un contacto principal designado para el cliente, el responsable de datos o entidad a la que sirve el DPD.

El DPD en relación con las decisiones corporativas

Es destacable que el Delegado de Protección de Datos, o su equipo, deben ser partícipes, desde el principio y desde el diseño de los mecanismos y sistemas de datos del responsable, de todas las cuestiones relativas a la protección de datos. También en relación con las evaluaciones de impacto de la política de datos de la entidad responsable, el RGPD menciona que éste tendrá que recabar el asesoramiento del Delegado de Protección de Datos al redactar sus memorias de evaluación. Y que, el DPD actuará como interlocutor dentro de la empresa en todo lo relativo a la tutela de datos y que por ello deberá formar parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización. Por ello, tanto el responsable como el encargado del tratamiento, debe garantizar que el DPD participa, de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.

En muchas organizaciones ocurrirá que buena parte de las actividades  y decisiones corporativas tendrán impacto directo o indirecto en la política de datos, por ello, tal y como indica el GT29, Grupo de Trabajo compuesto por expertos independientes del Supervisor Europeo de Datos, la organización deberá garantizar que:

    • Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
    • Esté presente cuando se adoptan decisiones con implicaciones para la protección de datos, habiendo previamente recibido toda la información pertinente con el fin de que pueda prestar un asesoramiento adecuado.
    • La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el mencionado Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
    • Se consulte al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.

En todo caso, el hecho de que el  DPD pueda formar parte de la entidad (y no ser externalizado si así se decide en el seno de la entidad responsable de datos) no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97 RGPD, los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y, en este sentido, el apartado 3º del artículo 38;RGPD deja claro que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. En todo caso, el DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones como tal Delegado. Y,  ha de desempeñar sus funciones de manera independiente y con autonomía. No se le puede instruir sobre como abordar un asunto. Tampoco se podrá influir para que mantenga una u otra postura respecto a la normativa de protección de datos y su aplicación. Esta autonomía del DPD afecta exclusivamente al ámbito de sus propias funciones como DPD que son descritas en el artículo 39 del RGPD.

¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?

En principio parece que si, que el DPP puede desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses (GT29) .
Debe aclararse, de modo previo, que no existe una figura general de RS . Si existe, sin embargo en el marco del Esquema Nacional de seguridad (ENS), una figura obligatoria en ciertas entidades, y cuya determinación puede tener un papel orientativo en otras. En este sentido, remitimos a lo analizado sobre esta figura de RS del ENS, en la entrada titulada Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración. Y también con la Guía o Código de gestión de información personal  ISO/IEC 29151:2017 Information technology – Security techniques – Code of practice for personally identifiable information protection

En relación con la independencia. El artículo 38.3 RGPD determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones para poderlas desarrollar con independencia. En cuanto al RS, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza del mismo grado de independencia protegida. Esta circunstancia casa bien con sus respectivas funciones:

En relación con las funciones de cooperación y asesoría al responsable. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.

    • Más en particular, y en el plano de los conflictos de intereses el GT29 o Grupo de Trabajo sobre Protección de Datos del Artículo 29 del RGPD, en sus concluiones  adoptadas el 5 de abril de 2017 señala para el DPD:  3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”

En relación con la seguridad de la información y el análisis de riesgos. El RS debe velar por garantizar la seguridad de la información de la  organización en su conjunto incluyendo las . El DPD se centra en el análisis de riesgos sobre los derechos y libertades de las personas, el  RS realiza análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.

En cuanto a su posición jerárquica en el seno de una misma entidad. El DPD supervisa la labor que realiza el RS en sus tres vertientes: información, servicio y seguridad, funciones que veíamos en relación al ENS

Ponferrada. Castillo de templarios

Conclusión y recomendación:

Únicamente, y seguramente sólo en teoría,  cabría la posibilidad de centralizar ambas figuras  en una sola persona si se separan claramente las funciones que desempeña y se evitan conflictos de intereses. Precisamente es en el ámbito de los conflictos donde resulta difícil lograr la independencia que se exige al DPD. En términos prácticos la coincidencia de ambas figuras y funciones en una misma persona ni es fácil ni es recomendable.

Cuestión distinta es, en particular para las grandes organizaciones, la propuesta que desarrollamos en otro lugar para la creación de una red corporativa de seguridad que integre y sirva de cauce de comunicación entre ambos, con las debidas cautelas en términos de funciones y conflictos de intereses.

 

por ediag

El Tribunal General mantiene las multas impuestas por la Comisión a varias empresas por su participación en una práctica colusoria en el mercado de los condensadores electrolíticos de aluminio y de tantalio.

el 30 septiembre, 2021 en Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

Así se pronuncia el Tribunal General en las sentencias de 29 de septiembre de 2021, de las que dejamos constancia.
Para entender estas Sentencias, hay que remontarse a la Decisión de 21 de marzo de 2018, en la que la Comisión impuso una multa total de aproximadamente 254 millones de euros a nueve empresas o grupos de empresas japoneses por su participación, durante diversos períodos comprendidos entre 1998 y 2012, en una práctica colusoria en el mercado de los condensadores electrolíticos de aluminio y de tantalio. Tales multas recayeron en las empresas o grupos de empresas Elna, Hitachi AIC, Holy Stone, Matsuo, Nichicon, Nippon Chemi-Con, Rubycon, Sanyo, NEC y Tokin.

 

  • El mercado de producto en el que se enmarcan estas Sentencias es el de los condensadores
    By M.A. Díaz

    By M.A. Díaz

    electrolíticos empleados en casi todos los productos electrónicos, como ordenadores personales, tabletas, teléfonos, climatizadores, refrigeradores, lavadoras, productos de automóviles y aparatos industriales.

  • Según la Comisión la infracción se había producido en todo el territorio del Espacio Económico Europeo (EEE) y había consistido en acuerdos y/o prácticas concertadas que tenían por objeto la coordinación de las políticas de precios para estos productos. Constata que las empresas participaron en numerosas reuniones multilaterales y establecieron contactos para intercambiarse información comercial sensible, especialmente, sobre sus precios futuros y sobre sus intenciones tarifarias, así como sobre la oferta y la demanda esperada con el afán de coordinar su comportamiento futuro y evitar acometer una competencia basada en precios.

Algunas empresas ―NEC, Nichicon, Tokin, Rubycon y Nippon Chemi-Con ― interpusieron recursos ante el Tribunal General solicitando la anulación de la Decisión de la Comisión o la reducción de sus respectivas multas.

En las sentencias de 29 de septiembre de 2021, el Tribunal desestima todas las alegaciones formuladas por las empresas y mantiene las multas impuestas por la Comisión.

 

– En el asunto T-341/18, la Comisión consideró responsable a NEC, como sociedad matriz que poseía la totalidad del capital de Tokin, en el período comprendido entre el 1 de agosto de 2009 y el 23 de abril de 2012. Respecto al importe de la multa, la Comisión estimó que el importe de base de la multa debía incrementarse al aplicarse la circunstancia agravante de reincidencia, al haber declarado a NEC responsable de un comportamiento contrario a la competencia en la Decisión «DRAMs» de la Comisión de 19 de mayo 2010, por una infracción cometida entre el 1 de julio de 1998 y el 15 de junio de 2002.

  • La Comisión declaró que, aunque esa primera infracción fue sancionada cuando la infracción constatada por la Decisión impugnada se estaba llevando a cabo, procedía aplicar el incremento por reincidencia al importe de base de la multa y, por tanto, tener en cuenta la totalidad del período de la responsabilidad de NEC por la infracción, incluido el período de casi nueve meses anterior a la adopción de la Decisión DRAMs.
  • Para el Tribunal General la Comisión no incurrió en error de Derecho al considerar que el hecho de que NEC ya hubiese sido objeto de una declaración de infracción y de que, a pesar de esta declaración y de la sanción impuesta, hubiese seguido participando durante casi dos años en otra infracción similar constituía una reincidencia.

 

By M.A. Díaz

By M.A. Díaz

– En el asunto T-344/18, el Tribunal General recuerda los requisitos exigidos para que una empresa pueda ser beneficiaria de una reducción de la multa que se le ha impuesto en virtud de una dispensa parcial de la multa, en particular, consistentes en que la empresa aporte pruebas que permitan a la Comisión demostrar hechos adicionales que redunden en un incremento de la gravedad o de la duración de la infracción.

  • Al respecto, el Tribunal General confirma la conclusión de la Comisión de que las pruebas aportadas por Rubycon, acerca de un grupo de reuniones, no habían tenido incidencia en la gravedad de la infracción. Según el Tribunal General, aunque esas pruebas demuestran que, durante ese grupo de reuniones, las empresas celebraron acuerdos sobre los precios acompañados de un mecanismo de supervisión para garantizar su aplicación, no se trata de componentes autónomos de la infracción susceptibles de tener un impacto en su gravedad. Y ello porque, de un lado, dichos acuerdos formaban parte de una infracción compleja, que abarcaba, sin necesidad de calificación específica, tanto los acuerdos como las prácticas concertadas. Y, de otro, porque el mecanismo de supervisión no era una particularidad de la infracción, al realizarse la supervisión también al margen de ese mecanismo.
  • En el asunto T-344/18, las partes demandantes aducen también que la Comisión, respecto a algunos participantes en la práctica colusoria, les concedió un trato más favorable, al efectuarles una reducción del importe de la multa del 3 % al no quedar acreditada su participación en determinadas reuniones, privando de dicha reducción a Rubycon, que divulgó la existencia de algunas de esas reuniones.
  • A juicio del Tribunal General, esa alegación parte de una comparación errónea entre el concepto de «dispensa parcial de la multa», recogido en la Comunicación sobre la cooperación de 2006, y las circunstancias atenuantes que la Comisión debe tener en cuenta, enumeradas en las Directrices de 2006, al no ser las dos situaciones comparables ni fáctica ni jurídicamente.

– En los asuntos T-342/18 y T-363/18, las partes demandantes cuestionaron la competencia territorial de la Comisión toda vez que el comportamiento contrario a la competencia se centraba en Asia, sin que se haya ejecutado en el EEE ni haya tenido en este último un efecto significativo.

  • A este propósito, el Tribunal General recuerda que los requisitos para la aplicación territorial del artículo 101 TFUE concurren en dos supuestos: 1º) cuando las prácticas referidas en dicho precepto se llevan a cabo en el territorio del mercado interior independientemente del lugar donde se decidan, de modo que para que se cumpla el criterio de ejecución de la práctica colusoria basta con que se produzca la venta en la Unión del producto objeto de cártel, al margen de dónde se encuentren las fuentes de abastecimiento y las instalaciones de producción; 2º) cuando es previsible que las citadas prácticas produzcan un efecto inmediato y sustancial en el mercado interior. En el caso presente, los participantes en la práctica colusoria intercambiaban, en particular, información relativa a clientes que tuvieran su domicilio social en el EEE o a clientes que tuvieran fábricas en el EEE y, al mismo tiempo, coordinaban su política comercial, en función de las fluctuaciones de los tipos de cambio de divisas, incluido el euro. De esta forma, si bien los participantes en el cártel eran empresas con domicilio social en Japón y los contactos contrarios a la competencia se produjeron en Japón, puede afirmarse que estos tenían un alcance mundial, incluyendo el EEE.
  • En esta dirección, el l Tribunal General concluye que el criterio de la ejecución de la práctica colusoria como punto de conexión de esta con el territorio de la Unión se cumple en el caso de autos y que la Comisión consideró acertadamente que era competente.

– En el asunto T-342/18, la parte demandante argumenta que, dado que ya se habían impuesto a los participantes en la práctica colusoria multas en países terceros, la Comisión infringió el principio ne bis in idem y el principio de proporcionalidad, al imponer multas adicionales.

  • Para el Tribunal General el principio ne bis in idem no puede aplicarse en un caso como el presente, en el que los procedimientos tramitados y las sanciones impuestas por la Comisión, por un lado, y por las autoridades de Estados terceros, por otro, no pretenden los mismos objetivos. Así, mientras en el primer caso se trata de preservar una competencia no falseada en el EEE, la protección perseguida, en el segundo caso, atañe al mercado de países terceros. Desde esta perspectiva, y partiendo de que no existe  identidad de interés jurídico protegido, concluye el Tribunal que no puede aplicarse el principio ne bis in idem.
  • Por lo demás, en lo concerniente a la supuesta violación del principio de proporcionalidad, que se invoca, el Tribunal General manifiesta que cualquier consideración basada en la existencia de multas impuestas por las autoridades de un tercer Estado únicamente puede ser tenida en cuenta dentro de la facultad de apreciación de que goza la Comisión al fijar las multas por infracciones del Derecho de la competencia de la Unión. Ello significa que, si bien es cierto que no cabe excluir que la Comisión tenga en cuenta multas anteriormente impuestas por las autoridades de Estados terceros, no lo es menos que no está obligada a hacerlo.

Finalmente, respecto a estas sentencias, es menester recordar, como lo hacen las sentencias, que contra las resoluciones del Tribunal General puede interponerse recurso de casación ante el Tribunal de Justicia, limitado a las cuestiones de Derecho, en un plazo de dos meses y diez días a partir de la notificación de la resolución.

Más información sobre estas sentencias aquí.

 

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

el 20 septiembre, 2021 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

La gestión de la seguridad cibernética  se percibe, cada vez más, como parte integrante de las medidas de buen gobierno exigidas a las empresas.

Venimos dando cuenta en este Blog, y en algunos otros foros, de la creciente relevancia de los riesgos cibernéticos en el diseño, valoración y en su caso, sanciones (ver esta entrada), en materia de gobierno corporativo. Los asuntos que aquí se presentan brevemente son objeto de atención en modo más amplio en el contexto del Congreso Latinoamericano INTELIGENCIA ARTIFICIAL Y ECONOMÍA DIGITAL: desafíos jurídicos y económicos  (13 al 15 octubre 2021) y  en una publicación ya en imprenta de la que se dará cuenta.

Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad 
Regulación prevista

Conforme a la Agenda Regulatoria de primavera de 2021 de la SEC,  el Supervisor de Valores de EEUU está en vías de formular nuevas reglas que afectarán de lleno a las obligaciones de gobierno corporativo de las empresas y en concreto, a la divulgación de riesgos de seguridad cibernética. Se prevé que las mencionadas propuestas vean formalmente la luz en octubre de 2021. Estos trabajos toman base en las Orientaciones sobre Ciberseguridad  de la SEC (febrero 2018) en las que ya se vinculaba el cumplimiento de distintas obligaciones de transparencia sobre riesgos de ciberseguridad con el buen gobierno. Incluso antes,  en 2011 la División de Finanzas Corporativas de la SEC había publicado una Guía preliminarsobre estas cuestiones.

La Agenda ReEgFlez mencionada,  ya apunta a octubre de 2021 como la fecha límite para la emisión de una propuesta. (Vea esta publicación de PubCo  de 14.06.2021). En el actual entorno en el que se conoce la abundancia y dureza de  ataques cibernéticos y la posibilidad de infección por ransomware,  es más que posible que la SEC pueda proponer enmiendas a sus Rules  de transparencia para mejorar las divulgaciones de los emisores con respecto a la gobernanza del riesgo de ciberseguridad.

 

Sanabria

Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética

Con anterioridad, la  Guía de la SEC de 2018  sobre divulgación de seguridad cibernética abordó las obligaciones de divulgación al amparo del ordenamiento vigente, que incluía procedimientos, políticas y estrategias para el control de la seguridad, entendida en un sentido amplio, prohibiciones de aprovechar información privilegiada, o de difundir datos selectivamente, entre otros.

 

Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos

Sanciones  de la SEC por falta de transparencia de riesgos de ciberseguridad en  EEUU

el 15 septiembre, 2021 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense  de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.

En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en  la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.

A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en  First American Financial Corporation, que se salda con una sanción de $487,616:

  • El 15 de junio de 2021, la SEC anunciaba una sanción  de $487,616  contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
    • Como antecedentes de hecho,  el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
      • En el curso de sus investigaciones, la SEC averiguó que  el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
        • Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
        • Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
        • Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
          • En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo  podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
          • Por otra parte,  un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
          • También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.

La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó  en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.

Palencia. San Antonio

Con anterioridad, en el año 2018 Yahoo!., Inc.  fue sancionada en otro expediente de la SEC que le obligó a satisfacer  $ 35 millones. La SEC resolvió  que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.

  • En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
  • Fundamentando su resolución sancionadora, la SEC  consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia,  valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
  • La Resolución de la SEC en este caso estableció que  «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención… 
  • Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi  $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada  durante dos años) sobre los inversores. Más sobre este asunto aquí 

Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.

 

Más sobre estas cuestiones:

  • Nota de prensa de SEC 2021-169
  • Nota de prensa de SEC 2011-86
  • Comentario, Lederer aqui

 

Sanción de 225 M€ a WhatsApp por violación del Reglamento General de Protección de Datos. Irlanda /UE/SEPD

el 6 septiembre, 2021 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

La Comisión de Protección de Datos de Irlanda (Ireland’s Data Protection Commission) (IDPC) impuso recientemente una sanción de 225 millones de euros a WhatsApp Ireland Ltd (“WhatsApp”)  por  falta de transparencia en  sus prácticas de tratamiento de datos de usuarios, que no cumplirían las exigencias de los artículos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).

 

Las investigaciones iniciales

Lariño

El IDPC había iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, así cómo una solicitud de asistencia mutua de la Autoridad Federal de Protección de Datos de Alemania (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) a efectos  del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abrió «a iniciativa propia» por parte del IDPC. La investigación del supervisor irlandés se centró en averiguar si WhatsApp había cumplido con sus obligaciones de transparencia conforme al RGPD,  particularmente en lo que respecta al  tratamiento de datos personales de los usuarios de la aplicación de mensajería (e incluso de titulares no usuarios ya que WhatsApp permite cargar números de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recuérdese que Facebook adquirió WhatsApp en 2014). Como  consecuencia de esta investigación del IDPC, este organismo hizo público un borrador de decisión sancionadora que notificó a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el artículo del 60RGPD.

En su propuesta de sanción, el IDPC había identificado infracciones de los artículos 12-14 del RGPD por parte  WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les había proporcionado información suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consideró que WhatsApp no había identificado con suficiente detalle la base jurídica para cada actividad de tratamiento, como lo requiere el Artículo 13 (1) (c) del RGPD. Y,  con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el Artículo 13 (1) (f) del RGPD. En este último aspecto, según la propuesta de resolución sancionadora WhatsApp debería haber identificado con concreción si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos, y  determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el artículo 13 (1) (f) del RGPD: WhatsApp debería haber identificado si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos y no limitarse a una afirmación vaga.

Previamente a la notificación a otras CSAs, en diciembre de 2020, el IDPC había propuesto una multa de (30-50 millones €). Pero, fue objetada por ocho de las CSAs que recibieron la notificación, el asunto alcanzó al Supervisor Europeo de Protección de Datos, y la sanción finalmente impuesta  por el IDPC es de 225 millones €.

La intervención del Supervisor Europeo de Protección de Datos (SEPD)

Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisión de la IDPC fue revisado por otras autoridades de supervisión relevantes, conforme al mecanismo de cooperación y coherencia del Capítulo VII del RGPD. Y , las objeciones formuladas  se remitieron al  Supervisor Europeo de Protección de Datos («SEPD»), de acuerdo con el procedimiento de resolución de disputas establecido en el artículo 65 (1) (a) del RGPD. Este último organismo ha adoptado una posición más estricta que el IDPC

El SEPD se opuso a la propuesta del IDPC. Frente a la opinión inicial de éste, que consideraba que WhatsApp había cumplido el ordenamiento sobre tratamiento de datos ( Artículo 13 (1) (d) del RGPD), el SEPD recordó, por el contrario, que el operador de mensajería instantánea debería haber identificado el interés específico para cada actividad de tratamiento relevante, para así garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD también señaló que el efecto acumulativo de los incumplimientos por parte de WhatsApp tenía como consecuencia la violación del principio de transparencia contemplado en el Artículo 5 (1) (a) del RGPD, debido «a la “gravedad , la reiteración y el impacto de las infracciones». Y, en virtud de ello consideró que se había producido un incumplimiento adicional a lo establecido por la IDPC.

Por otra parte y con respecto a la cuantía de la multa inicialmente propuesta por la IDPC, la SEPD determinó que debería haberse tenido en cuenta  la facturación consolidada de Facebook Inc., matriz de WhatsApp. Además, si bien el IDPC había propuesto un compromiso único y conjunto a Facebook y WhatsApp en su proyecto de decisión, el SEPD recordó que según la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracción (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es éste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD también consideró que el volumen de negocios consolidado era relevante para el cálculo de la multa en sí, no solo para garantizar que la multa no excediera los límites establecidos en el artículo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean  efectivas, proporcionadas y tengan efecto disuasorio.

Además, el SEPD aclaró que cuando se hayan cometido múltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el cálculo de la multa correspondiente a los efectos del artículo 83, apartado 3, del RGPD. Con el límite de que la sanción total no debe exceder la cantidad especificada para la infracción más grave.

Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del período de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el  RGPD. WhatsApp también debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la información requerida en virtud de los artículos 13 y 14 del RGPD, incluso para aclarar cómo estos pueden  presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.

La Decisión vinculante del SEPD y la Resolución sancionadora del IDPC

El 28 de julio de 2021, el SEPD adoptó una Decisión vinculante que fue notificada al IDPC. La Decisión del SEPD contenía instrucciones exigiendo al IDPC que procediese a una nueva valoración y que incrementase la sanción. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones € .

Junto con la sanción, el supervisor irlandés ha advertido a WhattsApp sobre la importancia de  reformar sus mecanismos de tratamiento de texto.

Aunque en su resolución, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD, WhatsApp ha manifestado su intención de recurrir judicialmente

Pólizas D&O y defensa de los administradores frente a demandas interpuestas por el administrador concursal. La problemática «cobertura de entidad» a la luz de un reciente asunto en el Massachusetts Bankruptcy Court

el 13 agosto, 2021 en DM3- Contratos mercantiles. Grado en Derecho, Otros

Una reciente decisión judicial en materia concursal en EEUU aborda la problemática del acceso de los administradores sociales a la indemnización del seguro D&O para hacer frente a su defensa en un litigio de responsabilidad civil interpuesto contra ellos por un administrador concursal.

En el asunto  re National Fish & Seafood, Inc., No. 19-11824, 2021 (Bankr. D. Mass. 26 de febrero de 2021), el Tribunal Concursal Federal de los Estados Unidos para el Distrito de Massachusetts (Massachusetts Bankruptcy Court) ) abordó la impugnación por parte del administrador concursal a los intentos de los directores y altos ejecutivos de acceder a la indemnización de la póliza D&O. En esta decisión se autorizó que los asegurados percibiesen la indemnización del seguro para su defensa en el litigio de responsabilidad interpuesto por el administrador concursal. La lectura conjunta de esta resolución, junto con otros comentarios sobre estas pólizas que se referencian en este post, permite identificar la complejidad añadida  que supone el aseguramiento conjunto de los administradores y de la sociedad administrada y tomadora en una misma póliza D&O. 

By M.A. Díaz

Planteamiento

En mayo de 2019, National Fish and Seafood, Inc. («Deudor») solicitó concurso (procedimiento del llamado «Capítulo 7») dando lugar al nombramiento de una administrador concursal «el administrador». En abril de 2020, éste presentó una demanda de Responsabilidad Civil (RC)  contra tres de los antiguos consejeros y ejecutivos del Deudor, alegando que incumplieron sus deberes fiduciarios al autorizar una serie de transacciones en virtud de las cuales se pagaron 31 millones de dólares en activos del Deudor. A principios de 2021, los consejeros solicitaron una exención de la prohibición de la Sección 362 del Título 11 del Código Concursal de los Estados Unidos, para permitirles recibir la indemnización de seguro D&O para hacer frente por adelantado a los costes de defensa de la Póliza D&O que el Deudor había contratado y en los que tales consejeros y ejecutivos eran asegurados. El administrador concursal se opuso a esa petición.

Los consejeros y ejecutivos solicitaban a la aseguradora el adelanto de sus gastos de defensa en el Litigio RC, al amparo de la cobertura A, cuyo contenido se explica más abajo en esta entradilla. La aseguradora aceptó en principio cubrir los gastos de defensa, pero  exigía para ello que se dictase una orden en el proceso concursal que autorizara dicho abono, con determinación expresa de que no constituía una violación de la suspensión automática de la Sección 362 del Título 11 del Código Concursal.

Cuestiones preliminares sobre las modernas pólizas D&O (recogiendo la estructura de la propia decisión judicial comentada, apartado 3)

Si bien las pólizas D&O se redactan de modo , hoy en día, bastante estandarizado, no cabe obviar que también han conocido una evolución considerable. Por ello, corresponde especificar aquí los datos de este contrato en particular, extraídos del asunto concreto

  • Todas las pólizas de D&O proporcionan una «cobertura A » frente a las pérdidas sufridas directamente por los directores y funcionarios por sus presuntos actos ilícitos en la medida en que  no sean reembolsadas por la empresa. Esta cobertura se conoce como cobertura «Side A», y en las modernas redacciones de esos condicionados incluyen cobertura de defensa.  En cuanto al tratamiento de los gastos de defensa incurridos por los administradores, consejeros y  ejecutivos para defenderse de demandas interpuestas por un administrador concursal por incumplimiento de las obligaciones fiduciarias de tales administradores, consejeros y altos ejecutivos (asegurados), la jurisprudencia estadounidense no es unánime. No está cerrado el debate sobre si la indemnización derivada de este Side A debe considerarse integrante de la masa activa de la entidad tomadora o, si puede abonarse a los asegurados incluso en caso de concurso. Para decidir sobre tal cuestión, los tribunales efectúan análisis concretos del clausulado específico de las pólizas, así como de otras circunstancias concurrentes, como precisamente sucede en el asunto que nos ocupa.
  • También, la práctica totalidad de los seguros D&O al menos en Estados Unidos, incluyen una cobertura Side B o de reembolso. Se refiere a las pérdidas en las que incurre la empresa, la sociedad tomadora, al indemnizar a sus consejeros y directivos por las pérdidas en las que éstos incurren por actos de los que sean declarados responsables, pero que realizasen de acuerdo con las disposiciones de gobierno corporativo de la tomadora. En el supuesto de que se haya declarado un concurso, la tomadora (y en su nombre el administrador concursal) puede beneficiarse de la indemnización aseguradora de esta cobertura para reembolsarse de sus obligaciones de indemnización, por ejemplo si al declararse el concurso ya se hubiesen reembolsado gastos indemnizables a los consejeros, o si incluso en el proceso concursal se derivasen obligaciones de indemnización de la tomadora a sus administradores, consejeros y altos ejecutivos.
  • Algunas pólizas modernas contienen además la llamada cobertura Side C  «cobertura de entidad» . El objeto de esta cobertura ha conocido evoluciones en el diseño de las pólizas desde los años 80 del siglo pasado, advertencia necesaria aquí, pero en la que ya profundizamos en otros textos y en la que no nos detendremos. En el asunto concreto que se analiza, la Side C estaba prevista, como ocurre en muchas pólizas americanas en la actualidad, para situaciones en las que una empresa es demandada junto con sus administradores y ejecutivos.
    • Recuérdese que ésta es una cobertura actual, pero que no se ofrecía en las pólizas clásicas que han sido objeto de comentario en  varias ocasiones en este mismo blog y otros , además de en abundantes publicaciones. Ciertas decisiones de los tribunales estadounidenses más antiguas como In Louisiana World Exposition v. Federal Ins. Co. (In re Louisiana World Exposition), 832 F.2d 1391 (5th Cir. 1987), del  Quinto Circuito Federal  dictaminaron que la indemnización del seguro D&O no se puede considerar como activo en la masa activa del concurso de la tomadora, pero debe subrayarse que en re Louisiana World Exposition la póliza no contenía la «entity coverage» que si se localiza en el asunto aquí comentado. En cambio, otras decisiones como In re Adelphia Communications Corp., 298 B.R. at 57; In re Pasquinelli Homebuilding, LLC, 463 B.R. 468 (Bankr. N.D. Ill.
      2012); In re Cybermedica, Inc., 280 B.R. 12 (Bankr. D. Mass. 2002) ,  citados en la decisión aquí comentada, bloquearon el acceso, en presencia de «entity coverage» y atendiendo a que el valor de la cobertura incrementaba en términos globales el valor de los activos del concurso
    • La cobertura C, en muchos casos, como en el aquí comentado, se formula con carácter residual en relación con la suma asegurada, para evitar que una póliza ideada para cubrir responsabilidades de directivos acabe siendo «vaciada» para hacer frente a responsabilidades de la propia empresa. Nótese, que en la cobertura C, la indemnización beneficiaría tanto a la empresa tomadora como a sus administradores, consejeros y ejecutivos, por lo que en una situación concursal será casi imposible que se permita a los administradores beneficiarse, al menos ilimitadamente de esta cobertura
Sobre la póliza en este asunto concreto

La póliza de D&O en re National Fish & Seafood, Inc., No. 19-11824, 2021  preveía una cobertura con suma total asegurada de 3 millones de dólares, junto con coberturas parciales incluyendo 500.000 dólares que permitía el  adelanto de los gastos de defensa incurridos en relación con una reclamación cubierta. Incluía los tipos de coberturas al uso en este tipo de seguro.  Además, ésta póliza D&O establecía que, en caso de concurrencia de reclamaciones, la indemnización derivada de la cobertura A se abonaría en primer lugar, la cobertura B en segundo lugar y la cobertura C en último lugar. En el marco del procedimiento concursal, los asegurados y el administrador concursal acordaron que las reclamaciones presentadas en el litigio de RC constituían reclamaciones cubiertas la cobertura A, que no se habían presentado, ni se esperaban reclamaciones por la B (reembolso) o la  C (cobertura de «entidad)

Lincoln, Ox

En este asunto se autorizó que los consejeros y ejecutivos recibiesen la indemnización de la cobertura A para sus gastos de defensa
  • El administrador concursal había alegado que esa indemnización formaba parte de la masa activa del Deudor  y por lo tanto su pago o adelanto a los asegurados violaría la Sección 362(a)(3) del Código Concursal. 
  • Sin embargo, en este asunto el Tribunal admitió la exención sobre la base del  artículo 362(d)(1) del Código Concursal, aceptando ciertos razonamientos de los consejeros que incluyen el que la póliza de D&O prevé el pago de los gastos de defensa; que en sus actuaciones como consejeros y dentro de su propio proceso de adopción de decisiones la existencia de la póliza formaba parte del cúmulo de cuestiones que se tuvieron en consideración; que no se preveían reclamaciones en las coberturas B y C; que la intención real del administrador concursal era preservar la cobertura A para financiar la reclamación concursal contra los consejeros en el litigio de RC, pero que en ésta los asegurados eran únicamente los consejeros y ejecutivos
Más:

Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

el 9 agosto, 2021 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

Se comenta en esta entrada  un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado  y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

  • En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA  debe tener como referente   los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
    • Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
    • Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
  • Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente,  recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas,  recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

 

  • En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una  obligación de notificación  directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
      • Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
        72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
  • En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia  la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas  por la Comisión Europea. Las consideraciones del fallo  impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
    • Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con  Estados Unidos de América  resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen  regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,  un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,  el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
      • Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que  el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el  Safe Harbor.
      • El  TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a  un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
      • La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en  un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que  dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos  certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir  principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios  establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades  responsables de la trasferencia internacional de dato a EEUU a  establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

  • Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.

Congreso de Derecho de Sociedades y Gobierno Corporativo Los Deberes de los Administradores de las Sociedades de Capital

el 30 julio, 2021 en Otros

El Congreso Nacional de Derecho de Sociedades y Gobierno Corporativo abordará en esta edición 2021 el tema de «Los Deberes de los Administradores».

11 y 12 noviembre 2021. Presencial y online

 

Dirigido por los Magistrados especialistas en lo Mercantil por el CGPJ, la Profesora Asociada de Derecho Mercantil de la Universidad de Alcalá Amanda Cohen Benchetrit y  D Alfonso Muñoz Paredes.

La edición 2021 de éste Congreso Nacional  cuenta en su Comité Científico con juristas de primerísimo nivel, tanto en la academia como en la judicatura y notariado, entre los que se que incluyen  los catedráticos de Derecho Mercantil, Carmen  Alonso, Cándido Paz-Ares, Ángel Rojo, José Massaguer,  José Miguel Embid, Andrés Recalde, Juan Sánchez-Calero, Javier García De Enterría, Antonio Roncero,  Reyes Palá, Javier Juste, Fernando Cerdá o Santiago Hierro.  La relevancia de la temática escogida en las ponencias ya anunciadas en el programa, la participación de los principales Despachos Jurídicos especializados en Derecho Societario  y el apoyo editorial de Revista de Derecho de Sociedades, Revista de Derecho Mercantil y Revista de Derecho Bancario y Bursátil son algunos rasgos destacables que incitan, cuando menos a consultar el sitio Web (aquí) , para esta edición

    • Sin ánimo de exhaustividad,  corresponde poner el valor que la temática objeto de análisis en este Congreso Nacional incide en el núcleo de

      NYC

      problemas de Gobierno Corporativo y administración societaria: Deber de lealtad, interés social y retribución de administradores; Interés social y de la Empresa; Tutela de acreedores; responsabilidad de administradores en sus distintas perspectivas (sin olvidar la procesal) son sólo algunas de las cuestiones que serán objeto de debate.

  • Destacamos también, que con la inscripción se facilitará el acceso electrónico  a dos obras fundamentales de nuestra doctrina en materia de Derecho Societario y de Grupos; y Retribución de Consejeros; y  también el acceso con precio reducido a todo el catálogo de e-learning de la casa editorial Aranzadi.
  • La actual edición del Congreso Nacional de Derecho De Sociedades y Gobierno Corporativo está abierto ya abierta a inscripciones (con cuota especial para Profesores universitarios).
  • En breve se dará la información relativa a la presentación  de Comunicaciones y su edición.

 

Felicitamos a los organizadores por esta iniciativa que promete ser un hito en las actividades del mercantilismo y derecho societario patrio.

Medidas para mejorar la ciberseguridad en las empresas

el 21 junio, 2021 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son más graves, la reflexión relativa a los ciber-incidentes es más intensa. Van surgiendo sugerencias y recomendaciones expertas relativas prácticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM

  • Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisión de sus prácticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas prácticas son especialmente relevantes en sectores como el  del transporte de viajeros. ;   o en las empresas de transporte y distribución energética, por mencionar algunos de los que recientemente han sufrido grandes pérdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y  los eventos de 6 de mayo de 2021). También son importantes para la gestión pública de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibernéticos (véase los que afectaron a varias ciudades de Texas en 2019).

 

  • Otro conjunto de prácticas recomendadas para la prevención de riesgos cibernéticos consiste  en la contratación, mantenimiento y actualización de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos físicos susceptibles de recibir daños materiales fruto de una intervención ilícita en los sistemas digitales de la empresa; daños derivados de pérdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contratación de expertos que van desde la recuperación de datos electrónicos hasta el análisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado después de un ciberataque, o que éste decida interponerlos.  Hoy, las prácticas comerciales prudentes hacen que la contratación de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

 

NYC_by Jara IPM. One Trade Center Tower

  • Continuando en esta enumeración, la contratación de expertos externos especializados en la prevención y control de los ciberataques se considera una buena práctica. Los especialistas en ciberseguridad desempeñan un papel importante para minimizar la exposición, para detectar y supervisar los riesgos así como para establecer protocolos de seguridad de la infraestructura de información de una empresa. Como buena práctica, la contratación de estos expertos es también interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

 

  • No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la práctica, en los estándares de seguridad como NIST o ISO, y van penetrando el ámbito normativo positivo.  En este sentido, recordamos algunas entradas anteriores en este blog,  como la relativa al Responsable de Información (exigido a las administraciones conforme al Esquema Nacional de Seguridad y también a ciertas empresas que contratan con la administración), que debe ser una figura distinta del Responsable de Seguridad y también del Responsable del Servicio en los términos del Real Decreto 3/2010. O el Responsable de Seguridad de la Información en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunciábamos, estas figuras de altos ejecutivos se van haciendo habituales en la práctica  y han sido reforzadas mediante su inclusión en estándares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.

 

 

 

por ediag

Es conforme con el Derecho de la Unión el Fondo de apoyo a la solvencia de empresas estratégicas españolas con dificultades temporales debidas a la pandemia de Covid-19

el 1 junio, 2021 en Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

Para el Tribunal General la medida controvertida, destinada a realizar operaciones de recapitalización y dotada con un presupuesto de 10 000 millones de euros, representa un régimen de ayudas de Estado, pero de carácter proporcionado y no discriminatorio.

 

Así se ha pronunciado el Tribunal General en su Sentencia de 19 de mayo de 2021, al resolver  el asunto T-628/20 Ryanair DAC/Comisión(España –Covid-19)  , en relación con el régimen de ayudas por el que se creó un Fondo de apoyo a la solvencia de empresas estratégicas españolas con dificultades temporales a raíz de la pandemia de Covid-19. (vid. Comunicado de prensa y texto íntegro).

 

By M.A. Díaz

By M.A. Díaz

  • Para entender adecuadamente el asunto, es menester recordar que en julio de 2020, España notificó a la Comisión Europea un régimen de ayudas por el que se creó un Fondo de apoyo a la solvencia de empresas estratégicas españolas que atraviesen dificultades temporales a raíz de la pandemia de Covid-19. Este Fondo de apoyo habilitaba para adoptar diferentes medidas de recapitalización a favor de las empresas no financieras domiciliadas y con los principales centros de trabajo en España y que se consideren sistémicas o estratégicas para la economía española. El presupuesto de ese régimen de ayudas, financiado con cargo a los presupuestos del Estado, se fijó en 10 000 millones de euros hasta el 30 de junio de 2021.

 

  • Considerando que el régimen notificado constituía una ayuda de Estado ex artículo 107, apartado 1, el TFUE, la Comisión procedió a valorar su compatibilidad con el mercado interior, con apoyo en su Comunicación de 19 de marzo de 2020, titulada «Marco Temporal relativo a las medidas de ayuda estatal destinadas a respaldar la economía en el contexto del actual brote de COVID-19». La Comisión, en su Decisión de 31 de julio de 2020, declaró el régimen notificado compatible con el mercado interior. Y ello, según la Comisión, porque de conformidad con el artículo 107 TFUE, apartado 3, letra b), las ayudas destinadas a poner remedio a una grave perturbación en la economía de un Estado miembro podrán considerarse, en ciertas condiciones, compatibles con el mercado interior.
  • La compañía aérea Ryanair interpuso un recurso por el que solicitaba la anulación de dicha Decisión, que fue desestimado por el Tribunal General. Ryanair invoca cinco motivos, basados, el primero, en la violación de los principios de no discriminación, de libre prestación de servicios y de libertad de establecimiento; el segundo, en el incumplimiento de la obligación de ponderar los efectos positivos de la ayuda con sus efectos negativos sobre las condiciones de los intercambios y el mantenimiento de una competencia no falseada; el tercero, en la calificación errónea de la medida en cuestión como régimen de ayudas; el cuarto, en una vulneración de sus derechos procedimentales, y el quinto, en un incumplimiento de la obligación de motivación.
  • La Sala correspondiente del Tribunal General examina la compatibilidad con el mercado interior del régimen de ayudas de Estado teniendo en cuenta que se adoptan en respuesta a las consecuencias de la pandemia de Covid-19 y bajo el paraguas del artículo 107 TFUE, apartado 3, letra b). Por lo demás, el Tribunal General se ocupa de clarificar cómo se combinan las normas sobre ayudas de Estado con el principio de no discriminación por razón de la nacionalidad, previsto en el artículo 18 TFUE, párrafo primero, así como el concepto de «régimen de ayudas» ex artículo 1, letra d), del Reglamento 2015/1589.

Veamos qué dice la Sentencia:

  • En primer lugar, el Tribunal General procede a realizar un control de la Decisión de la Comisión al efecto de comprobar si respeta el principio de no discriminación, verificando si la diferencia de trato instituida mediante el régimen de ayudas controvertido, al establecer que solo pueden acceder a él las empresas con domicilio social en España y cuyos principales centros de trabajo estén en España, está justificada por un objetivo legítimo y si es necesaria, adecuada y proporcionada para alcanzarlo. Se ocupa asimismo el Tribunal General de verificar la incidencia del artículo 18 TFUE, párrafo primero, que prohíbe toda discriminación por razón de la nacionalidad en el ámbito de aplicación de los Tratados, sin perjuicio de las disposiciones particulares previstas en los mismos. Teniendo presente que el artículo 107 TFUE, apartado 3, letra b), forma parte de las disposiciones particulares previstas por los Tratados, el Tribunal General examina si el régimen controvertido puede ser declarado compatible con el mercado interior conforme a esta norma.

En relación con esta cuestión, el Tribunal General confirma, por un lado, que el objetivo perseguido con el régimen controvertido cumple los requisitos del artículo 107 TFUE, apartado 3, letra b), en cuanto está dirigido a remediar la grave perturbación producida en la economía española por la pandemia de Covid-19. Señala, además, el Tribunal General que el criterio de la importancia estratégica y sistémica de los beneficiarios de la ayuda pone de manifiesto, con toda claridad, el objetivo al que se dirige la ayuda.

Por otro lado, el Tribunal General entiende, que el hecho de que se limite el régimen controvertido exclusivamente a las empresas no financieras que revistan una importancia sistémica o estratégica para la economía española y que tengan su domicilio social y sus principales centros de trabajo en territorio español es adecuada y, a la vez, necesaria para lograr el objetivo de poner remedio a la grave perturbación causada a la economía de España. El Tribunal General aclara, que tanto los criterios de elegibilidad de los beneficiarios del régimen como las modalidades de concesión de las ayudas, consistentes en la entrada temporal del Estado español en el capital de las empresas afectadas, como las restricciones ex post establecidas por dicho régimen frente a los beneficiarios de las ayudas ponen de relieve la voluntad de España de apoyar a las empresas que estén verdadera y permanentemente implantadas en la economía española. Y esto para el Tribunal es coherente con el objetivo del régimen, cifrado en poner remedio a la grave perturbación de la economía española desde una perspectiva de desarrollo económico a medio y largo plazo.

Respecto al carácter proporcionado de régimen de ayudas concluye el Tribunal General que, al establecer modalidades de acceso a la ayuda de alcance general y de carácter multisectorial, sin distinción del sector económico de que se trate, España podía basarse legítimamente en criterios de elegibilidad dirigidos a identificar a las empresas que presentan una importancia sistémica o estratégica para su economía y a la vez un nexo duradero y estable con esta última. En efecto, un criterio de elegibilidad diferente, que incluyera a las empresas que operen en territorio español en concepto de meros prestadores de servicios, no habría podido garantizar la necesidad de una implantación estable y duradera de los beneficiarios de la ayuda en la economía española, subyacente al régimen de ayudas controvertido.

Teniendo en cuenta lo anterior, el Tribunal General confirma que el objetivo del régimen controvertido cumple los requisitos de la excepción del artículo 107 TFUE, apartado 3, letra b), y que las modalidades de concesión de esta ayuda no exceden de lo necesario para alcanzar ese objetivo. Consiguientemente, declara que el régimen en cuestión ni viola el principio de no discriminación ni infringe el artículo 18 TFUE, párrafo primero.

  • By M.A. Díaz

    En segundo lugar, el Tribunal General examina la Decisión de la Comisión a la luz de la libre prestación de servicios y de la libertad de establecimiento consagradas en el artículo 56 TFUE y en el 58 TFUE, respectivamente. Parte, eso sí, el Tribunal General de que, como es sabido, la libre prestación de servicios no se aplica como tal en el sector de los transportes, al estar sujeto a un régimen jurídico particular, en el que se incluye el Reglamento n.º 1008/2008; Reglamento éste destinado a definir las condiciones de aplicación del principio de libre prestación de servicios en el sector del transporte aéreo. Así las cosas, Ryanair no había demostrado, de qué modo la exclusión del acceso a las medidas de recapitalización establecidas mediante el régimen controvertido podía disuadirla de establecerse en España o de efectuar prestaciones de servicios desde España y con destino a este país.

 

  • En tercer lugar, el Tribunal General desestima el motivo según el cual la Comisión incumplió su obligación de ponderar los efectos positivos de la ayuda con sus efectos negativos sobre las condiciones de los intercambios y sobre el mantenimiento de una competencia no falseada. Como recuerda el Tribunal General dicha ponderación no viene exigida por el artículo 107 TFUE, apartado 3, letra b), a diferencia de lo que preceptúa el artículo 107 T FUE, apartado 3, letra c), señalando que en las circunstancias del presente asunto, tal ponderación carecería de sentido, al presumirse que su resultado es positivo.

 

  • En cuarto lugar, se pronuncia el Tribunal General sobre la alegación de la demandante de que la Comisión incurrió en error de Derecho al calificar la medida controvertida de régimen de ayudas. Según la demandante los criterios de elegibilidad son vagos y abstractos, disponiendo las autoridades españolas encargadas de la posterior selección de los beneficiarios de de un amplio margen de apreciación. Invoca, al respecto la demandante que, según la jurisprudencia del Tribunal General, una medida se califica de régimen de ayudas cuando las autoridades nacionales encargadas de su aplicación no puedan disponer de un margen de apreciación en cuanto a la determinación de los elementos esenciales de la ayuda en cuestión y en cuanto a la oportunidad de su concesión, cosa que, a su juicio, no ocurre en este caso. La Comisión y el Reino de España rebaten las alegaciones formuladas por la demandante.

Al respecto, el Tribunal General -acerca de la calificación supuestamente errónea de la medida controvertida como «régimen de ayudas»-, declara que las disposiciones del Derecho español, que constituyen el fundamento jurídico de la medida controvertida, son actos de alcance general que regulan todas las características de la ayuda cuestionada. Y estas disposiciones permiten, por sí solas, sin necesidad de medidas de aplicación adicionales, no sólo otorgar ayudas individuales a empresas que lo soliciten, sino también definir, de forma genérica y abstracta, a los beneficiarios de la ayuda. Por consiguiente, el Tribunal General llega a la conclusión de que la Comisión pudo calificar la ayuda en cuestión de régimen de ayudas sin incurrir en error de Derecho, con arreglo al artículo 1, letra d), del Reglamento 2015/1589.

 

  • Por último, el Tribunal General desestima por infundados los motivos basados en un supuesto incumplimiento de la obligación de motivación y declara que no es necesario examinar la fundamentación jurídica del motivo basado en la violación de los derechos procedimentales derivados del artículo 108TFUE, apartado 2.

Como recuerda la Sentencia del Tribunal General, contra las resoluciones del Tribunal General puede interponerse recurso de casación ante el Tribunal de Justicia, limitado a las cuestiones de Derecho, en un plazo de dos meses y diez días a partir de la notificación de la resolución.

por ediag

Funespaña, sociedad funeraria del Grupo Mapfre sancionada por la CNMC con 100.000 euros

el 25 mayo, 2021 en DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

Cabe destacar, en un tema relevante para la defensa de la competencia, que en nota de prensa de 21 de mayo de 2021 la Comisión Nacional de los Mercados y la Competencia (CNMC) da cuenta de que ha impuesto una multa de 100.000 euros a Funespaña, sociedad perteneciente al grupo asegurador Mapfre, dedicada a la prestación integral de servicios funerarios por la falta de notificación a la CNMC de que compraba la totalidad de Funeraria Alianza Canaria. (SNC/DC/014/21). Y es que, en efecto, Funespaña compró en el año 2019 la totalidad de Funeraria Alianza Canaria incumpliendo la obligación de notificar la operación a la CNMC antes de ejecutarla. Y es sabido que tal actuación conforme a la Ley 15/2007, de 3 de julio, de Defensa de la Competencia constituye una una infracción grave de la misma.

By M.A. Díaz

Como pone de relieve la CNMC, en su nota de prensa, el incumplimiento del deber de notificación previa en este tipo de adquisiciones que viene designándose en el argot de competencia como “gun jumping”, se considera una infracción grave, de las contempladas en el artículo 62.3.b) de la Ley de Defensa de la Competencia.

No hay que ignorar que el control de concentraciones se efectúa con carácter previo a que las empresas ejecuten sus operaciones para evitar problemas y perjuicios para el interés general y evitar  a tiempo situaciones que más tarde serían difíciles de solucionar.

Como recuerda la CNMC, de acuerdo con la normativa vigente, cuando la empresa adquirida no supere los 10 millones de euros, es obligatorio notificar la operación a la CNMC cuando la cuota de mercado individual o conjunta de las empresas que participan en la operación sea igual o superior al 50% en cualquiera de los mercados afectados, en el ámbito nacional o en un mercado geográfico definido dentro del mismo.

El 19 de noviembre de 2020, la CNMC requirió de oficio a Funespaña que notificara la adquisición de Alianza Canaria, entendiendo que, de acuerdo con los precedentes sobre la definición de los mercados afectados, se trataba de una operación que sobrepasaba los umbrales previstos en la Ley de Defensa de la Competencia.

El expediente determina que esa circunstancia se cumple, al menos, en el mercado minorista de servicios de tanatorio en San Bartolomé de Tirajana (Las Palmas), en el Funeraria Canaria disponía una cuota del 59,9%.

Así las cosas, para la CNMC Funespaña actuó negligentemente al realizar un análisis de mercado que se separaba de los precedentes relevantes, que le llevó de manera injustificada a  no notificar la concentración.

Como reconoce la CNMC, en caso de duda, Funespaña, lejos de optar por una definición novedosa, podría haber acudido a los mecanismos voluntarios previos a la notificación que la CNMC pone a disposición de las empresas y contrastar así su posición.

Por todo ello, , la CNMC resolvió imponer a Funespaña, S.A. una multa de 100.000 euros, siguiendo lo dispuesto en el artículo 63.1 b) de la Ley de Defensa de la Competencia.

Contra esta Resolución no cabe recurso alguno en vía administrativa, pudiendo interponer recurso contencioso-administrativo en la Audiencia Nacional, en plazo de dos meses desde el día siguiente al de su notificación. (SNC/DC/014/21)

 

 

 

International Business Law (International Trade Degree-ULE). Lesson 2(2) . Notes IBL

el 25 febrero, 2021 en Concursal, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

LESSON 2 IBL:  INTERNATIONAL COMPANY LAW – EUROPEAN UNION FRAMEWORK

2. Companies within the European Internal Market: Harmonized and Unified aspects.
  • The European Union has competences related to Company Law, mostly in the realm of achieving a fully integrated Internal Market. The EU Freedoms involved in Company Law are mainly the freedom to provide  services (both cross-border and with a permanent establishment) and the Free Movement of  Capital.  Free movement of Workers/Persons and Free movement of Goods are also involved to a lesser degree.
  • The purpose of EU rules in this area is to enable businesses to be set up anywhere in the EU enjoying the freedom of movement of persons, services and capital, to provide protection for shareholders and other parties with a particular interest in companies, to make businesses more competitive, and to encourage businesses to cooperate over borders.
  • The EU Company Law is  embodied in Treaties, Directives and Regulations
    • TFUE,  to create the basic framework for legal persons in the UE ( as regulated in Articles 49, 50(1) and (2)(g), and 54, second paragraph) :
          • Article 49, second paragraph TFEU guarantees the right to take up and pursue activities in a self-employed capacity and to set up and manage undertakings, in particular companies or firms
    • Directives to harmonize EU Company Law
    • Regulations to create new instruments and new types of companies.

2.1 Incorporation, Registries and official transparency, shareholders and third parties (creditors) protection, branches.
  • Incorporation of formation (Now regulated by Directive 2017/1132).
    • The statutes or instrument of incorporation of a public limited liability company PLC, in Spain S.A.) must make it possible for any interested person to acquaint oneself with 1) type, name, objects of the company. 2) the basic particulars of the company, including the exact composition of its capital, 3 )rules to appoint its directors and Board 4) number of shares 5) nominal value of its issued shares 6) Registered Office 7) Any special conditions for the transfer of shares 8) Paid-up capital upon incorporation 9) Procedure to convert bearer shares into nominal shares and vice versa 10)etc
  • Registries
    • The incorporation and other acts of companies are filled within a Public Registry ( in Spain, Registro Mercantil). National Registries are, now, interconnected as  Directive 2012/17/EU and Commission Implementing Regulation (EU) 2015/884 set out rules on the system of interconnection of business registers (‘BRIS’). BRIS is operational since 8 June 2017. It allows EU-wide electronic access to company information and documents stored in Member States’ business registers via the European e-Justice Portal. BRIS also enables business registers to exchange between themselves notifications on cross-border operations and on branches.
    • Since  2019, Member Stated must ensure that at least some companies (In Spain at least the SL) can be fully incorporated and its incorporation documents filled (in the National Registry) online
  • Official transparency
    • Filling incorporation and other documents into the Commercial Registry is a means of official transparency as it serves to disclose information.
    • The duty to draw up annual accounts and to deposit them in the commercial register, where they can be consulted, is also an instrument of transparency
    • There are also other instruments.
      • For example, certain entities (such as the SAE or the European Economic Interest Grouping) have their incorporation and dissolution published in the OJEU.
      • And there are special transparency measures for listed companies that must report data to their market supervisor (in Spain the CNMV):  Under EU rules, issuers of securities on regulated markets must disclose (to the market supervisor and to the public) certain key information to ensure transparency for investors. The Transparency Directive (2004/109/EC) requires issuers of securities listed on EU regulated markets to make their activities transparent by regularly publishing certain information, that includes:
        • yearly and half-yearly financial reports
        • major changes in the holding of voting rights
        • ad hoc inside information which could affect the price of securities

        This information must be disclosed in a way that benefits all investors equally across Europe.

        The EU Commission launched a pilot project to evaluate distributed general ledger technologies as a back-up solution to implement the EU’s central access point to regulated information of listed companies (EEAP) (European Financial Transparency Portal; EFTG).

 

  • Shareholders and creditors protection

The transparency measures above with its measures and rules on capital are already instruments to protect shareholders and creditors. FurthermoreAlso, following earlier legislative works the Consolidation Directive unifies older harmonization Directives. This consolidation Directive is Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies repealed some older Directives and replaced them without changing their content. Specifically, it deals with different questions for the protection of  members (such as shareholders) and third parties (mainly creditors): This consolidation Directive, now in force:

  • It defines a public liability company(PLC)  as one which has offered shares to the general public and whose shareholders have limited liability, usually only in relation to the amount paid for their shares and securities. (SA in Spain).
    • Please note that Securities are transferable shares which give the owner voting rights in a  company, Sometimes those shares are «quoted»,   admitted to a Regulated Market, for example, The London Stock Exchange, la Bolsa de Valores de Madrid, and similar marketplaces). Not all PLCs are listed companies. But PLC listed companies are subject to some special rules and Directives as we are studying in this lesson.
  • It also coordinates national rules for creating and running companies and increasing or reducing their capital: It mandates that the minimum capital required in the EU to register a public limited company (PLC) is of 25 000EUR. (in Spain, our Ley de Sociedades de Capital raises such minimum as it requires 60,000€ of issued capital for the formation of a Spanish PLC: a Sociedad Anónima or SA)
  • It further sets minimum information requirements for companies. The instrument of incorporation (constitución) and the statues (estatutos) or bye-laws (reglamentos internos) of one PLC must contain (at least) the following information:
    • the type and name of the company; the objectives of the company; the rules governing appointing Directors responsible for managing, running and supervising the company; the duration of the company.
      • the registered office; the value, number and form of the subscribed (company-issued) shares;
      • the amount of subscribed (company-issued) capital; the identity of those who sign the instrument of incorporation or the bye-laws. The mandatory disclosure of the information is implemented by filling it in the national business registers (for example Registro Mercantil in Spain,  Companies House in UK, etc).;
  • In relation with the validity of the obligations entered into by the company and liabilities derived thereof (which is extremelly important for 3rd parties) : this Directive makes mandatory that, if an action has been carried out on behalf of a Company before it has acquired legal personality, the persons who acted shall be deemed liable therefor and not the company itself. However, once a company has acquired legal personality, acts performed by the organs of the company shall be binding upon it , its members and third parties, including such acts that go beyond the limitations of the objects of the company (ultra vires).
  • Regarding nullity of the company (very important for creditors, for shareholders, and other parties), tThe Member States shall provide for the nullity of companies only by decision of a court of law. The nullity of a company may only be ordered in the cases established in the Directive
  • Branches
    • In relation with branches of Companies from other Member State, this Directive harmonizes compulsory disclosure requirements.
    • Such Branches must be registered in the Host Country business Registry and must make publicly available, through the interconnection system of central, commercial and companies registers, at least the following information:
      • Address, activity, name (if different from the Company), particulars, appointment and discharge of the person or persons representing and managing the Branch.
      • Company’s place of registration and registration number; name and legal form of the company; winding-up of the company, appointment and particulars of liquidators; accounting documents;
      • Closing of the branch.
      • The Directive allows the Member States to require additional disclosures.

2.2 Specialities of single-member limited liability companies

Those specialities are now codified in Directive 2009/102/EC — company law on single-member private limited liability companies:

  • A company may have a single member by virtue of its being formed, or by virtue of all its shares/non-share participations coming to be held, by a single person (single-member company). This is compulsory for some companies (in Spain for the SL which is the Spanish limited liability form whose capital is made up by non-share participations)
  • Where a company becomes a single-member company because all its shares have come to be held by a single person, that fact, together with the identity of the single member, must either be entered in a register kept by the company and accessible to the public or be recorded in the file or entered in the central national commercial register or the register of companies.
  • The single-member exercises the powers of a general meeting of the company.
  • All decisions taken by the single-member and contracts between that person and the company as represented by him or her must be recorded in the minutes or drawn up in writing.
  • Where an EU country allows single-member companies in the case of public limited companies as well, the rules in this directive apply. This is the situation in Spain where SA can be single-member companies by incorporation or at a later stage (derivative single-member company).

    Cantábrico (Asturias)

2.3 Specialities in the protection of shareholders in listed companies in the EU

We now look  at measures that promote the long-term involvement of shareholders in the project of the companies in which they have invested, even if they are located in another EU Member State. To such aims, the cross-border exercise of shareholders’ rights is utmost relevance: Directive 2007/36/EC (amended by Directives 2014/59/EU and (EU) 2017/828) on the exercise of certain rights of shareholders in listed companies abolishes the main obstacles to a cross-border vote in listed companies that have their registered office in a Member State. Also, it deals with:

  • Identification of shareholders. This Directive mandates that companies are able to identify their shareholders and obtain information on the identity of shareholders from any intermediary in the chain who holds that information. The aim is to facilitate the exercise of shareholders’ rights and their involvement in the company. (Member States may stipulate that companies located within their territory are only authorised to request identification in respect of shareholders holding more than a certain percentage of shares or voting rights, not exceeding 0.5%).
  • Rights of shareholders to monitor Directors remunerations. It establishes shareholders right to vote the remuneration of directors and it mandates that the remuneration policy must be published. Also, it regulates that the performance of directors should be evaluated using financial and non-financial performance criteria, including, where appropriate, environmental, social and management factors.
  • Transparency of institutional investors, asset managers and voting advisors in particular to facilitate the exercise of shareholders voting rights:
    • Intermediaries will have to facilitate the exercise of shareholders’ rights, including the right to participate and vote at general meetings.
    • They will also have the obligation to provide shareholders, in a standardised format and in due time, with all company information that enables them to exercise their rights properly.
    • In addition, they will have to publish all costs related to the new rules.
  • Transactions with related parties
    • Transactions with related parties may be detrimental to companies and their shareholders, as they may give the related party the possibility of appropriating value belonging to the company. For this reason, the new Directive provides that:
      • a) significant transactions with related parties have to be submitted for approval by the shareholders or the administrative or supervisory body in order to protect adequately the interests of the company.
      • b) and, Companies will have to publicly disclose (to the market supervisors (ie, in Spain the CNMV) relevant transactions with all information necessary to assess the fairness of the transaction.
2.4 Take over bids, mergers, acquisitions, divisions

Santiago de Compostela. Vista desde la Alameda

  • Take Over Bids, Directive 2004/25/EC.
    • It applies to companies whose shares are admitted to a regulated market (listed companies, this is: listed PLC)
    • A take over bid is a public offer to acquire all or part of the securities of a company.
    • to protect minority shareholders of listed companies, the legal regime in the EU following Directive 2004/25/EC, mandates that anyone gaining control of a company (30/-35% of its securities) must make a bid at an equitable price at the earliest opportunity to all holders of securities.
    • The equitable price is the highest price the offeror paid for the securities during a 6- to 12-month period prior to the bid. In specific circumstances, national supervisory authorities may adjust this price.
    • A decision to launch a bid should be made public as soon as possible and ensure market transparency and integrity of offeree company securities.
      • The Board of Directors of the bidding Company is competent to approve the decision to launch the bid and is responsible for the documents and procedures involved therein.
    • National authorities determine the time allowed to accept a bid. This runs between 2 and 10 weeks.
    • Before engaging in actions that could block the bid, the board of the offeree company must (subject to an EU country opt-out) obtain prior authorisation from a general shareholders’ meeting.
    • Employee representatives must be informed of any takeover bid.
    • National rules exist for issues such as the lapsing or revision of bids or disclosure of the result of a planned takeover.
    • Please note that this EU regime for taking control over a Stock market  listed Company (Mandatory Bid Rule) is different to the USA sytem where such bis is not mandated and where controls take place, mainly, after the deal.
      • A merger is an operation whereby:
        • Merger by acquisition. One or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to another existing company, the acquiring company, in exchange for the issue to their members of securities or shares representing the capital of that other company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by creation of a «newco». Two or more companies, being dissolved without going into liquidation, transfer all their assets and liabilities to a company that they form, the “new company”, in exchange for the issue to their members of securities or shares representing the capital of that new company and, if applicable, a cash payment (within the limits of the Directive)
        • Merger by transferring shares to the parent co. A company, on being dissolved without going into liquidation, transfers all its assets and liabilities to the company holding all the securities or shares representing its capital, this is, to its parent company
      • In all 3 cases, the draft terms of merger must be drawn up by the administrative or management board and must contain specific information including:
            • the type, name and registered office of the companies;
            • the share exchange ratio (that is, the relative number of new shares that will be given to existing shareholders of a company that has been acquired or merged with another);
            • terms relating to the allotment of shares in the acquiring company (and or in the new company to be formed);
            • the rights granted by the acquiring (or the new) company.
      • In all 3 cases, workers councils of the merging companies must be informed. And the final deal is approved by the shareholders of both companies. Please note that M&A operations may as well as take overs may in some cases fall within the realm of Free Competition legislation. Therefore,  companies must also make sure that the follow Free Competition procedures. In this course we analyse such procedures in lesson 3, «concentrations«.
  • Divisions of public limited liability companies
    • Directive (EU) 2017/1132  that codifies certain aspects of Company Law concerning limited liability companies (the consolidation Directive)  addresses also Divisions
      •  ‘division by acquisition’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the companies receiving contributions as a result of the division (‘recipient companies’) and possibly a cash payment. The directive sets a maximum cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions
      •  ‘division by the formation of new companies’ is the operation whereby, after being wound up without going into liquidation, a company transfers to more than one newly-formed company all its assets and liabilities in exchange for the allocation to the shareholders of the company being divided of shares in the recipient companies, and possibly a cash payment not exceeding 10 % of the nominal value of the shares allocated or, where they have no nominal value, of their accounting par value. This 10% limit relates to the directive main regime for divisions but it admits exceptions

      • There are also provisions for divisions with cash payment  exceeding 10% and divisions where the company does not cease to exist
2.5 Special legal forms for cross border business in the UE

Gatín

      •  Regulation 2157/2001 sets out a statute for a European Company (Societas Europea or ‘SE’), i.e. an EU legal form for public limited liability companies, and allows companies coming from different Member States to run their business in the EU under a single European brand name.
        • Societas Europea / Sociedad Anónima Europea , see here
      • Regulation 2137/85 sets out a statute for a European Economic Interest Grouping (EEIG), i.e. an EU legal form for a grouping formed by companies or legal bodies and/or natural persons carrying out economic activity coming from different Member States; the purpose of such a grouping is to facilitate or develop the cross-border economic activities of its members.
      • Regulation (EC) No 1435/2003  on the Statute for a European Cooperative Society (SCE). It aims to facilitate cooperatives’ cross-border and trans-national activities. The members of an SCE cannot all be based in one country. The regulation of the Statute for a European Cooperative Society (2003) aims to facilitate cooperatives‘ cross-border and trans-national activities. The statute also provides a legal instrument for other companies wishing to group together to access markets, achieve economies of scale, or undertake research and development activities. The Statute also enables 5 or more European citizens from more than one EU country to create a European Cooperative Society. This is the first and only form of a European company that can be established from the beginning and with limited liability (ie: it does not need to be formed by companies of different Member States or as a subsidiary as it is the case with the SE. The SCE allows its members to carry out common activities while preserving their independence;  its principal object is to satisfy its members’ needs and not the return of capital investment; its members benefit proportionally to their profit and not to their capital contribution.

Trad B Valle

Ir a la barra de herramientas