Bonos vinculados a la sostenibilidad (o rentabilidad por incumplimiento).

Posted on por

El 11 de mayo de 2021, la Autoridad de Mercados Financieros de Francia, AMF, aprobó un folleto de admisión en Euronext Paris de Sustainable Linked Bonds (SLB), (fondos vinculados a criterios de sostenibilidad) al amparo del ordenamiento francés.

 

A raíz de esta noticia dedicamos esta entrada de blog a los SLB

Palloza, Sobrarriba (León)

¿Qué son los SLB? En un sentido amplio, los SLB son, conforme a la definición de la International Capital Market Association, cualquier tipo de instrumento de renta fija cuyas características financieras y/o estructurales pueden variar en función de que el emisor alcance unos objetivos predefinidos de sostenibilidad o ESG. Se trata de  instrumentos con una estructura flexible. Las entidades que emiten SLBs pueden establecer indicadores clave de rendimiento (KPIs) que están alineados con sus estrategias de sostenibilidad y  pueden financiarse estableciendo objetivos de sostenibilidad relativamente generales y globales, en lugar de quedar vinculados a la financiación de proyectos específicos. A diferencia de los bonos verdes destinados a financiar activos «verdes», los SLB operan sobre la base de una rentabilidad aumentada si, en  una fecha predeterminada,  el emisor no ha cumplido con los objetivos de sostenibilidad  predeterminados y cuantificados a través de Indicadores clave (KPI).

En su comunicado, la AMF recuerda que la emisión de SLB ha crecido enormemente en los últimos meses en Europa, principalmente a través de colocaciones privadas en las que no se exige folleto,  y que, tratándose de productos vinculados a la crecientemente importante sostenibilidad, posiblemente sean cada vez más habituales también en los mercados regulados. Manifiesta además el Regulador francés, que espera que esta nueva herramienta de financiación sostenible se desarrolle en los años venideros, como complemento de otras iniciativas de inversión sostenible.

Buena parte del éxito en la comercialización de SLB dependerá de la credibilidad de  los emisores y de los folletos en relación con los parámetros seleccionados (KPI). Ya por el momento,  esta admisión de la que se da noticia supone un paso en la dirección de ubicar a la plaza parisina como mercado favorable a la promoción de modelos de negocio sostenibles en el que , con el examen de los folletos correspondientes,  la autoridad supervisora contribuirá con su control a la credibilidad de las emisiones en el marco del ordenamiento francés.

REFLEXIONES CRÍTICAS SOBRE LOS SLB:

  • No  se vinculan a actividades concretas, sino que responden a una estructura flexible que plantea algunas dudas. En primer lugar, esta estructura no tiene en cuenta el destino al que se dedican los fondos captados, por lo que los inversores no conocen cómo se utilizarán, ni cuales serán sus impactos.
  • Presentan peligro de riesgo moral. La estructura estándar de un SLB incluye entre sus rasgos, el pago al inversor cuando el emisor no cumple los objetivos de sostenibilidad predefinidos. Implícitamente, por ello,  se genera un riesgo moral para los inversores en el sentido de que se beneficiarán de que una empresa no cumpla sus ambiciones y objetivos de sostenibilidad.
  • Podrían utilizarse para Green Washing La estructura flexible de los KPIs que se emplean en los SLB facilita a los emisores el «lavado de cara de la sostenibilidad» con cierta facilidad, por ejemplo  cambiando los objetivos  y ajustando  metas.
  • Rentabilidad-sanción. Frente a lo que ya sucede con los productos de inversión «verdes», que suelen tener un precio  que los hace más caros para el inversor,  en el incipiente mercado de fondos ligados a la sostenibilidad los SLB se comercializan  con una prima respecto a otros productos tradicionales del mismo emisor, y producen mayor rentabilidad en caso de incumplimiento de ciertos KPI. Los rasgos descritos muestran  que por el momento el mercado no está dispuesto a pagar por la etiqueta sostenible de los SLB, mientras no vaya vinculada a algún tipo de sanción de cumplimiento.
  • Exigencia de mayor monitorización del inversor. Los SLB ocuparían, creemos, un papel como herramienta de financiación complementaria para aquellas empresas que no pueden encontrar suficientes proyectos verdes para emitir fondos verdes propiamente dicha. Pero la estructura flexible de los SLB significa que los inversores deben prestar más atención a los objetivos de sostenibilidad/ESG para evitar el «lavado de la sostenibilidad» o para verificar sus ingresos: los KPIs deben ser examinados en detalle y ser suficientemente ambiciosos y sólidos.

SOBRE LOS KPI EN LOS SLB

  • KPI climáticos. La mayoría de los SLB irán, previsiblemente,  vinculados a KPIs relacionados con el clima porque existen fuertes incentivos colaterales, como los programas de compra de activos del BCE, que sólo incluye los SLB con KPIs relacionados con el cambio climático o la degradación del medio ambiente. Pero los indicadores climáticos suelen centrarse en las emisiones de CO2. Engloban tanto las propias del emisor, como otras vinculadas con sus proveedores o clientes, que son difíciles de gestionar y controlar.
  • Deberían centrarse en aspectos core del negocio del emisor.  Algunos ejemplos recientes son la empresa sanitaria Novartis, que emitió un fondo vinculado a la sostenibilidad con KPIs relacionados con sus relaciones y accesibilidad con sus pacientes. O el minorista de alimentación Ahold Delhaize, donde el SLB tenía KPIs relacionados con evitar el desperdicio de alimentos
  • Deberían ser sometidos a verificación independiente y  externa. Los KPI deben estar bien documentados y verificados por expertos independientes y sus emisores estar sometidos a deberes de información específicos sobre el cumplimiento de tales KPI.

A PROPÓSITO DE LOS EMISORES:

En nuestra opinión, corresponde que únicamente las entidades emisoras gobernadas con criterios de sostenibilidad puedan emitir SLB. En este sentido los ámbitos de gobernanza corporativa y de gobernanza de productos afectada son muchos y variados: desde los componentes sanos en la producción alimentaria, al reciclaje, la igualdad o la remuneración de sus directivos son aspectos a tener en cuenta. Las SLB ofrecen la posibilidad de obtener financiación y debería integrarse con abordar cuestiones de sostenibilidad social, más allá de las meramente climáticas. Sus emisores no son, generalmente, grandes emisores de CO₂ y  es por ello que no presentan los requisitos habituales para emitir bonos verdes propiamente dichos.  En cambio, emitir un SLB les da la oportunidad de superar una visión puramente climática en la que verdaderamente no presentan graves problemas, para entrar en un panorama más amplio de la sostenibilidad. Desde el punto de vista del inversor, es importante ser crítico: evaluar si los KPI de un bono vinculado a la sostenibilidad son sólidos y si se han establecido todos los controles para garantizarlo. Pero es aún más importante que el emisor esté comprometido con un futuro más sostenible y que su marco de SLB y su estrategia de sostenibilidad estén bien alineados. La transparencia y la divulgación de la empresa son fundamentales a la hora de evaluar el impacto de una SLB y los objetivos y logros ESG.

Es conforme con el Derecho de la Unión el Fondo de apoyo a la solvencia de empresas estratégicas españolas con dificultades temporales debidas a la pandemia de Covid-19

Posted on por

Para el Tribunal General la medida controvertida, destinada a realizar operaciones de recapitalización y dotada con un presupuesto de 10 000 millones de euros, representa un régimen de ayudas de Estado, pero de carácter proporcionado y no discriminatorio.

 

Así se ha pronunciado el Tribunal General en su Sentencia de 19 de mayo de 2021, al resolver  el asunto T-628/20 Ryanair DAC/Comisión(España –Covid-19)  , en relación con el régimen de ayudas por el que se creó un Fondo de apoyo a la solvencia de empresas estratégicas españolas con dificultades temporales a raíz de la pandemia de Covid-19. (vid. Comunicado de prensa y texto íntegro).

 

By M.A. Díaz

By M.A. Díaz

  • Para entender adecuadamente el asunto, es menester recordar que en julio de 2020, España notificó a la Comisión Europea un régimen de ayudas por el que se creó un Fondo de apoyo a la solvencia de empresas estratégicas españolas que atraviesen dificultades temporales a raíz de la pandemia de Covid-19. Este Fondo de apoyo habilitaba para adoptar diferentes medidas de recapitalización a favor de las empresas no financieras domiciliadas y con los principales centros de trabajo en España y que se consideren sistémicas o estratégicas para la economía española. El presupuesto de ese régimen de ayudas, financiado con cargo a los presupuestos del Estado, se fijó en 10 000 millones de euros hasta el 30 de junio de 2021.

 

  • Considerando que el régimen notificado constituía una ayuda de Estado ex artículo 107, apartado 1, el TFUE, la Comisión procedió a valorar su compatibilidad con el mercado interior, con apoyo en su Comunicación de 19 de marzo de 2020, titulada «Marco Temporal relativo a las medidas de ayuda estatal destinadas a respaldar la economía en el contexto del actual brote de COVID-19». La Comisión, en su Decisión de 31 de julio de 2020, declaró el régimen notificado compatible con el mercado interior. Y ello, según la Comisión, porque de conformidad con el artículo 107 TFUE, apartado 3, letra b), las ayudas destinadas a poner remedio a una grave perturbación en la economía de un Estado miembro podrán considerarse, en ciertas condiciones, compatibles con el mercado interior.
  • La compañía aérea Ryanair interpuso un recurso por el que solicitaba la anulación de dicha Decisión, que fue desestimado por el Tribunal General. Ryanair invoca cinco motivos, basados, el primero, en la violación de los principios de no discriminación, de libre prestación de servicios y de libertad de establecimiento; el segundo, en el incumplimiento de la obligación de ponderar los efectos positivos de la ayuda con sus efectos negativos sobre las condiciones de los intercambios y el mantenimiento de una competencia no falseada; el tercero, en la calificación errónea de la medida en cuestión como régimen de ayudas; el cuarto, en una vulneración de sus derechos procedimentales, y el quinto, en un incumplimiento de la obligación de motivación.
  • La Sala correspondiente del Tribunal General examina la compatibilidad con el mercado interior del régimen de ayudas de Estado teniendo en cuenta que se adoptan en respuesta a las consecuencias de la pandemia de Covid-19 y bajo el paraguas del artículo 107 TFUE, apartado 3, letra b). Por lo demás, el Tribunal General se ocupa de clarificar cómo se combinan las normas sobre ayudas de Estado con el principio de no discriminación por razón de la nacionalidad, previsto en el artículo 18 TFUE, párrafo primero, así como el concepto de «régimen de ayudas» ex artículo 1, letra d), del Reglamento 2015/1589.

Veamos qué dice la Sentencia:

  • En primer lugar, el Tribunal General procede a realizar un control de la Decisión de la Comisión al efecto de comprobar si respeta el principio de no discriminación, verificando si la diferencia de trato instituida mediante el régimen de ayudas controvertido, al establecer que solo pueden acceder a él las empresas con domicilio social en España y cuyos principales centros de trabajo estén en España, está justificada por un objetivo legítimo y si es necesaria, adecuada y proporcionada para alcanzarlo. Se ocupa asimismo el Tribunal General de verificar la incidencia del artículo 18 TFUE, párrafo primero, que prohíbe toda discriminación por razón de la nacionalidad en el ámbito de aplicación de los Tratados, sin perjuicio de las disposiciones particulares previstas en los mismos. Teniendo presente que el artículo 107 TFUE, apartado 3, letra b), forma parte de las disposiciones particulares previstas por los Tratados, el Tribunal General examina si el régimen controvertido puede ser declarado compatible con el mercado interior conforme a esta norma.

En relación con esta cuestión, el Tribunal General confirma, por un lado, que el objetivo perseguido con el régimen controvertido cumple los requisitos del artículo 107 TFUE, apartado 3, letra b), en cuanto está dirigido a remediar la grave perturbación producida en la economía española por la pandemia de Covid-19. Señala, además, el Tribunal General que el criterio de la importancia estratégica y sistémica de los beneficiarios de la ayuda pone de manifiesto, con toda claridad, el objetivo al que se dirige la ayuda.

Por otro lado, el Tribunal General entiende, que el hecho de que se limite el régimen controvertido exclusivamente a las empresas no financieras que revistan una importancia sistémica o estratégica para la economía española y que tengan su domicilio social y sus principales centros de trabajo en territorio español es adecuada y, a la vez, necesaria para lograr el objetivo de poner remedio a la grave perturbación causada a la economía de España. El Tribunal General aclara, que tanto los criterios de elegibilidad de los beneficiarios del régimen como las modalidades de concesión de las ayudas, consistentes en la entrada temporal del Estado español en el capital de las empresas afectadas, como las restricciones ex post establecidas por dicho régimen frente a los beneficiarios de las ayudas ponen de relieve la voluntad de España de apoyar a las empresas que estén verdadera y permanentemente implantadas en la economía española. Y esto para el Tribunal es coherente con el objetivo del régimen, cifrado en poner remedio a la grave perturbación de la economía española desde una perspectiva de desarrollo económico a medio y largo plazo.

Respecto al carácter proporcionado de régimen de ayudas concluye el Tribunal General que, al establecer modalidades de acceso a la ayuda de alcance general y de carácter multisectorial, sin distinción del sector económico de que se trate, España podía basarse legítimamente en criterios de elegibilidad dirigidos a identificar a las empresas que presentan una importancia sistémica o estratégica para su economía y a la vez un nexo duradero y estable con esta última. En efecto, un criterio de elegibilidad diferente, que incluyera a las empresas que operen en territorio español en concepto de meros prestadores de servicios, no habría podido garantizar la necesidad de una implantación estable y duradera de los beneficiarios de la ayuda en la economía española, subyacente al régimen de ayudas controvertido.

Teniendo en cuenta lo anterior, el Tribunal General confirma que el objetivo del régimen controvertido cumple los requisitos de la excepción del artículo 107 TFUE, apartado 3, letra b), y que las modalidades de concesión de esta ayuda no exceden de lo necesario para alcanzar ese objetivo. Consiguientemente, declara que el régimen en cuestión ni viola el principio de no discriminación ni infringe el artículo 18 TFUE, párrafo primero.

  • By M.A. Díaz

    En segundo lugar, el Tribunal General examina la Decisión de la Comisión a la luz de la libre prestación de servicios y de la libertad de establecimiento consagradas en el artículo 56 TFUE y en el 58 TFUE, respectivamente. Parte, eso sí, el Tribunal General de que, como es sabido, la libre prestación de servicios no se aplica como tal en el sector de los transportes, al estar sujeto a un régimen jurídico particular, en el que se incluye el Reglamento n.º 1008/2008; Reglamento éste destinado a definir las condiciones de aplicación del principio de libre prestación de servicios en el sector del transporte aéreo. Así las cosas, Ryanair no había demostrado, de qué modo la exclusión del acceso a las medidas de recapitalización establecidas mediante el régimen controvertido podía disuadirla de establecerse en España o de efectuar prestaciones de servicios desde España y con destino a este país.

 

  • En tercer lugar, el Tribunal General desestima el motivo según el cual la Comisión incumplió su obligación de ponderar los efectos positivos de la ayuda con sus efectos negativos sobre las condiciones de los intercambios y sobre el mantenimiento de una competencia no falseada. Como recuerda el Tribunal General dicha ponderación no viene exigida por el artículo 107 TFUE, apartado 3, letra b), a diferencia de lo que preceptúa el artículo 107 T FUE, apartado 3, letra c), señalando que en las circunstancias del presente asunto, tal ponderación carecería de sentido, al presumirse que su resultado es positivo.

 

  • En cuarto lugar, se pronuncia el Tribunal General sobre la alegación de la demandante de que la Comisión incurrió en error de Derecho al calificar la medida controvertida de régimen de ayudas. Según la demandante los criterios de elegibilidad son vagos y abstractos, disponiendo las autoridades españolas encargadas de la posterior selección de los beneficiarios de de un amplio margen de apreciación. Invoca, al respecto la demandante que, según la jurisprudencia del Tribunal General, una medida se califica de régimen de ayudas cuando las autoridades nacionales encargadas de su aplicación no puedan disponer de un margen de apreciación en cuanto a la determinación de los elementos esenciales de la ayuda en cuestión y en cuanto a la oportunidad de su concesión, cosa que, a su juicio, no ocurre en este caso. La Comisión y el Reino de España rebaten las alegaciones formuladas por la demandante.

Al respecto, el Tribunal General -acerca de la calificación supuestamente errónea de la medida controvertida como «régimen de ayudas»-, declara que las disposiciones del Derecho español, que constituyen el fundamento jurídico de la medida controvertida, son actos de alcance general que regulan todas las características de la ayuda cuestionada. Y estas disposiciones permiten, por sí solas, sin necesidad de medidas de aplicación adicionales, no sólo otorgar ayudas individuales a empresas que lo soliciten, sino también definir, de forma genérica y abstracta, a los beneficiarios de la ayuda. Por consiguiente, el Tribunal General llega a la conclusión de que la Comisión pudo calificar la ayuda en cuestión de régimen de ayudas sin incurrir en error de Derecho, con arreglo al artículo 1, letra d), del Reglamento 2015/1589.

 

  • Por último, el Tribunal General desestima por infundados los motivos basados en un supuesto incumplimiento de la obligación de motivación y declara que no es necesario examinar la fundamentación jurídica del motivo basado en la violación de los derechos procedimentales derivados del artículo 108TFUE, apartado 2.

Como recuerda la Sentencia del Tribunal General, contra las resoluciones del Tribunal General puede interponerse recurso de casación ante el Tribunal de Justicia, limitado a las cuestiones de Derecho, en un plazo de dos meses y diez días a partir de la notificación de la resolución.

Funespaña, sociedad funeraria del Grupo Mapfre sancionada por la CNMC con 100.000 euros

Posted on por

Cabe destacar, en un tema relevante para la defensa de la competencia, que en nota de prensa de 21 de mayo de 2021 la Comisión Nacional de los Mercados y la Competencia (CNMC) da cuenta de que ha impuesto una multa de 100.000 euros a Funespaña, sociedad perteneciente al grupo asegurador Mapfre, dedicada a la prestación integral de servicios funerarios por la falta de notificación a la CNMC de que compraba la totalidad de Funeraria Alianza Canaria. (SNC/DC/014/21). Y es que, en efecto, Funespaña compró en el año 2019 la totalidad de Funeraria Alianza Canaria incumpliendo la obligación de notificar la operación a la CNMC antes de ejecutarla. Y es sabido que tal actuación conforme a la Ley 15/2007, de 3 de julio, de Defensa de la Competencia constituye una una infracción grave de la misma.

By M.A. Díaz

Como pone de relieve la CNMC, en su nota de prensa, el incumplimiento del deber de notificación previa en este tipo de adquisiciones que viene designándose en el argot de competencia como “gun jumping”, se considera una infracción grave, de las contempladas en el artículo 62.3.b) de la Ley de Defensa de la Competencia.

No hay que ignorar que el control de concentraciones se efectúa con carácter previo a que las empresas ejecuten sus operaciones para evitar problemas y perjuicios para el interés general y evitar  a tiempo situaciones que más tarde serían difíciles de solucionar.

Como recuerda la CNMC, de acuerdo con la normativa vigente, cuando la empresa adquirida no supere los 10 millones de euros, es obligatorio notificar la operación a la CNMC cuando la cuota de mercado individual o conjunta de las empresas que participan en la operación sea igual o superior al 50% en cualquiera de los mercados afectados, en el ámbito nacional o en un mercado geográfico definido dentro del mismo.

El 19 de noviembre de 2020, la CNMC requirió de oficio a Funespaña que notificara la adquisición de Alianza Canaria, entendiendo que, de acuerdo con los precedentes sobre la definición de los mercados afectados, se trataba de una operación que sobrepasaba los umbrales previstos en la Ley de Defensa de la Competencia.

El expediente determina que esa circunstancia se cumple, al menos, en el mercado minorista de servicios de tanatorio en San Bartolomé de Tirajana (Las Palmas), en el Funeraria Canaria disponía una cuota del 59,9%.

Así las cosas, para la CNMC Funespaña actuó negligentemente al realizar un análisis de mercado que se separaba de los precedentes relevantes, que le llevó de manera injustificada a  no notificar la concentración.

Como reconoce la CNMC, en caso de duda, Funespaña, lejos de optar por una definición novedosa, podría haber acudido a los mecanismos voluntarios previos a la notificación que la CNMC pone a disposición de las empresas y contrastar así su posición.

Por todo ello, , la CNMC resolvió imponer a Funespaña, S.A. una multa de 100.000 euros, siguiendo lo dispuesto en el artículo 63.1 b) de la Ley de Defensa de la Competencia.

Contra esta Resolución no cabe recurso alguno en vía administrativa, pudiendo interponer recurso contencioso-administrativo en la Audiencia Nacional, en plazo de dos meses desde el día siguiente al de su notificación. (SNC/DC/014/21)

 

 

 

Sociedad Anónima Europea. Apuntes normativos y rasgos generales

Posted on por

Conforme a nuestra Ley de Sociedades de Capital, Arts 455 y ss, la  sociedad anónima europea (SAE) que tenga su domicilio en España se regirá por lo establecido en el Reglamento (CE) núm. 2157/2001 del Consejo, de 8 de octubre de 2001 (RSAE), por las disposiciones de este título y por la ley que regula la implicación de los trabajadores en las sociedades anónimas europeas. Conviene por tanto tener presente tanto la normativa propia de España, como el mencionado Reglamento UE para concretar el régimen de la SAE

Deberá contar con un capital mínimo de 120 000 € . Se constituye  normalmente  por al menos dos sociedades originarias de países de la UE distintos (existe alguna excepción como se observa):

Modo de  constitución (art 2.2 RSAE) 

Entidades participantes/fundadoras

Criterios básicos

Fusión

Sociedades anónimas

Constituidas con arreglo al ordenamiento jurídico de un Estado miembro, que tengan su domicilio social y administración central en la Comunidad, siempre que al menos dos de ellas estén sujetas al ordenamiento jurídico de Estados miembros diferentes

Creación de una sociedad holding europea, o sociedad de cartera

Sociedad anónima o sociedad limitada

Constituidas con arreglo al ordenamiento jurídico de un Estado miembro y con domicilio social y administración central en la Unión Europea podrán, siempre que al menos dos de ellas:

a) estén sujetas al ordenamiento jurídico de distintos Estados miembros; o bien,

b) tengan una filial sujeta al ordenamiento jurídico de otro Estado miembro o una sucursal en otro Estado miembro desde, por lo menos, dos años antes.

Establecimiento de una filial europea

 

Sociedades u otras entidades jurídicas de derecho público o privado

a) estén sujetas al ordenamiento jurídico de distintos Estados miembros; o bien,

b) tengan una filial sujeta al ordenamiento jurídico de otro Estado miembro o una sucursal en otro Estado miembro desde dos años antes. al menos

Transformación

Sociedad anónima

Tener  una filial en otro país de la UE durante, como mínimo, dos años.
  •  Además, la SAE  puede crear una o más filiales que, si así lo decide, adopte la forma de Sociedad Anónima Europea (art 3.2)

 

  • Otros rasgos de la SAE:
    • Su capital social mínimo es de 120.000€
    • Su domicilio social será  lugar en que tenga su administración central;
    • Puede trasladar su domicilio social dentro de la UE sin tener que disolver ni crear una nueva persona jurídica
    • La inscripción y extinción (inscripción de la liquidación) se publicará además de en el Registro Mercantil correspondiente al domicilio,  también en el Diario Oficial de la Unión Europea. Esta última publicación tiene carácter informativo
    • Los estatutos de la Sociedad Anónima Europea, sea cual sea el Estado Miembro de su establecimiento o constitución, establecen la elección de los socios de optar entre dos posibles sistemas o estructuras, distintos, de administración de la SAE. Es decir, el legislador nacional debe permitir que sean los socios quienes, a través de los estatutos, elijan si la SAE en concreto tendrá un único órgano de administración, o dos:
      • Si optan por un sistema dual, esa SAE estará dirigida por un órgano de dirección y uno de control (dos órganos de administración)
      • Si optan por un sistema monista, esa SAE estará dirigida por un órgano de administración único.

Titulización en la UE. Informe de las ESAs para la revisión del marco europeo de titulización

Posted on por

El Comité Conjunto de las Autoridades Supervisoras Europeas (ESA – Autoridad Bancaria Europea, Autoridad Europea de Seguros y Pensiones de Jubilación y Autoridad Europea de Valores y Mercados) publicó  su análisis sobre el Reglamento (UE) 2017/2402 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2017, por el que se establece un marco general para la titulización y se crea un marco específico para la titulización simple, transparente y normalizada, y por el que se modifican las Directivas 2009/65/CE, 2009/138/CE y 2011/61/UE y los Reglamentos (CE) n.o 1060/2009 y (UE) n.o 648/2012 (SECR). En este documento (JC 2021-31)(17.05.2021 ) se abordan, entre otras cuestiones, ciertas recomendaciones para hacer frente a los desafíos iniciales derivados del SECR y también para mejorar su coherencia en una próxima reforma del SECR, ya en ciernes.  (Ver Propuesta de Reforma de la Comisión, COM (282)2020 final)

Antes de la crisis financiera de 2008, algunas actividades de titulización seguían un modelo tradicional de reparto de riesgos simple, conforme al cual sucedía en ocasiones que , mediante activos de calidad inferior titulizados, se trasferían a los inversores riesgos superiores a los que hubieran tenido intención de asumir. Por el contrario, la titulización sintética en el marco europeo, conforme al SECR , se basa en un acuerdo de cobertura del riesgo de crédito en el que la originadora compra protección crediticia al inversor. Implica transferir el riesgo de crédito de un conjunto de préstamos, normalmente préstamos a grandes empresas o préstamos a pequeñas y medianas empresas (pymes), mediante un acuerdo de cobertura del riesgo de crédito. La originadora adquiere protección crediticia para el inversor, utilizando garantías financieras o derivados de crédito (la propiedad de los activos sigue siendo de la originadora y no se transfiere a un vehículo especializado en titulizaciones, como ocurre en las titulizaciones tradicionales).

En Vigo

    • La originadora, como comprador de la cobertura, se compromete a pagar una prima de cobertura del riesgo de crédito
    • El inversor, como vendedor de la cobertura, se compromete a abonar un pago de cobertura del riesgo de crédito pactado si se produce un evento crediticio pactado.

Conforme al Dictamen Dictamen de la Autoridad Bancaria Europea a la Comisión sobre el tratamiento reglamentario de las titulizaciones de exposiciones dudosas (EBA-OP-2019-13), publicado el 23 de octubre de 2019,  los riesgos asociados con los activos que garantizan las titulizaciones de exposiciones dudosas son específicos y por ello deben ser titulizadas con alguna forma de descuento sobre su valor nominal, reflejando la evaluación del mercado sobre la probabilidad de que la renegociación de la deuda genere suficientes flujos de efectivo y recuperación de activos. En este sentido, las titulizaciones sintéticas del marco europeo suponen un avance positivo, pero, la complejidad de los mecanismos de titulización y los riesgos asociados no deben ofrecer incentivos impropios a las originadoras.

En efecto, y conforme a la Propuesta de Reforma de la Comisión, el marco actual no alcanza su pleno potencial en dos aspectos que son muy importantes para incentivar la recuperación económica y, entre otros,  no contempla la titulización sintética dentro de balance ni es totalmente adecuado para la titulización de exposiciones dudosas, aspectos en los que se proyecta el conjunto de la reforma y el documento del que se da noticia.

Algunos requisitos para las titulizaciones tradicionales que no son adecuados para las titulizaciones sintéticas de balance debido a las diferencias inherentes entre ambos tipos de titulización, en particular, debido al hecho de que, en las titulizaciones sintéticas, la transferencia del riesgo se logra a través de un acuerdo de cobertura del riesgo de crédito, en lugar de una venta de los activos subyacentes. Por consiguiente, los criterios para éstas deben adaptarse con  requisitos como los necesarios para dar cabida al riesgo de crédito de contraparte tanto para la originadora como para el inversor. Y  en esta línea se deberá avanzar en futuras reformas

También aborda este texto,  la eficiencia del marco de titulización europeo de cara a la recuperación posterior a la pandemia de Covid-19. En este sentido, corresponde tener en consideración la comunicación de la Comisión europea de 27.05.2020, titulada «El momento de Europa: reparar los daños y preparar el futuro para la próxima generación», en el que la Comisión adelantaba como retos fundamentales del futuro económico a medio plazo los de liquidez y acceso a la financiación , especialmente a raíz de la pandemia.

Código de Buen Gobierno de la CNMV actualizado a 2020

Posted on por

El Código de Buen Gobierno de la CNMV está estructurado desde 2015 de una serie de Principios (25), y de Recomendaciones propiamente dichas (64).  Su modificación en 2020 implicó cambios en los Principios  2, 4, 10, 19, 20 y 24; y en las Recomendaciones 2, 4, 6, 7, 8, 14, 15, 22, 24, 37, 39, 41, 42, 45, 53, 54, 55, 59, 62 y 64. He aquí un breve repaso de esa reforma de junio de 2020.

Ver el texto del CBG’2020

Ponferrada. Castillo de templarios

Antes de nada, recuérdese que el seguimiento del Código de Buen Gobierno se debe reflejar  en el Informe Anual de Gobierno Corporativo de las cotizadas. Así lo impone el artículo 540 de la Ley de Sociedades de Capital. Además, la Orden ECC / 461/2013, de 20 de marzo, determina el contenido y la estructura del informe anual  Gobierno Corporativo. El art. 540 LSC dispone que «las sociedades anónimas cotizadas deberán hacer público con carácter anual un informe de gobierno corporativo» que «será objeto de comunicación a la Comisión Nacional del Mercado de Valores» y que «será objeto de publicación como hecho relevante». Por tanto, este informe recibe publicidad y es objeto de supervisión. Dentro de las previsiones de la LSC, el  art. 540.4.4º.g) LSC aclara que, dentro del Informe Anual de Gobierno Corporativo, se hará constar el «grado de seguimiento de las recomendaciones de gobierno corporativo, o, en su caso, la explicación de la falta de seguimiento de dichas recomendaciones». Es decir: alude al principio de Cumplir o Explicar. El art 540.5 LSC establece que la CNMV es competente para imponer sanciones  por falta de remisión de la documentación o del informe de gobierno corporativo, así como por omisiones o datos engañosos o erróneo. La CNMV hará seguimiento de las reglas de gobierno corporativo, a cuyo efecto podrá recabar cuanta información precise al respecto. Y, el supervisor podrá hacer pública la información que considere relevante sobre el grado efectivo de cumplimiento. Este precepto establece facultades del regulador para que se ejerza el principio de Cumplir o Explicar.

Caben destacar reformas en la línea más clásica de la organización interna del poder:

  • COMISIÓN EJECUTIVA La Recomendación 37 modifica su composición para incluir al menos a dos consejeros no ejecutivos, debiendo ser uno de ellos independiente
  • REMUNERACIONES DE CONSEJEROS . En virtud de las Recomendaciones 59, 62 y 64, las remuneraciones de administradores son objeto de precisión, y se intenta aclarar alguna duda suscitada con anterioridad. Las   Recomendaciones reformadas establecen unos contenidos mínimos para las políticas de retribución, incluido en lo relativo a la sostenibilidad, en las sociedades cotizadas:

También, las relativas a la gestión de nuevos riesgos

  • EXIGENCIA DE CONOCIMIENTOS ESPECÍFICOS en gestión de riesgos no financieros, como un criterio más para la designación de los miembros de la comisión de auditoría.
  • LA COMISIÓN DE AUDITORÍA se encarga de la supervisión  y evaluación del proceso de elaboración y la integridad  de la información financiera, y de la información no financiera, así como de supervisar los sistemas de control y gestión de los riesgos financieros y no financieros, incluyendo los operativos, tecnológicos, legales, sociales, medioambientales, políticos y reputacionales o relacionados con la corrupción.  Estos últimos se citan explícitamente, en concreto, en su identificación en la política de control y gestión de riesgos y en su aseguramiento por la función de auditoría interna. Con ello se pretende preservar la coherencia entre ambos aspectos, los financieros y los no financieros, tanto a efectos de la gestión y control de riesgos como del reporte de la información anual. Esto está en línea con la tendencia de la regulación europea en este sentido, como puede mostrase con el proyecto de la Unión Europea de reformar su directiva de información no financiera, actualmente en revisión. La Recomendación 41 alude a que el plan anual de trabajo de la función de auditoría interna deba ser aprobado, bien por la comisión de auditoría, bien por el consejo de administración, y se fortalece el deber del responsable de la función de informar a la comisión sobre la ejecución y desarrollo del mismo

Algunas reformas se relacionan especialmente con aspectos de trasparencia en la gestión de las cotizadas

  • POLÍTICA GENERAL DE COMUNICACIÓN  . Conforme a la Recomendación 4, las sociedades deben hacer pública en su web una política de comunicación con accionistas, inversores institucionales, y con los asesores de voto.  La política de comunicación debe acompañarse de una justificación de sus aspectos principales para ponerla en práctica, con mención de los responsables de la misma.
  • ENTORNO DIGITAL Y PARTICIPACIÓN DE LOS ACCIONISTAS. Las sociedades cotizadas deberán contar con mecanismos que permitan la delegación y el ejercicio de voto en la junta general por medios telemáticos, así como con mecanismos que fomenten la asistencia y participación activa de los accionistas en las juntas (Recomendación 7)
  • SUPERVISION DE LA INFORMACIÓN, SISTEMAS DE GESTIÓN Y CANALES DE RENUNCIA. Conforme a las Recomendaciones 39,41, 42 y 45 reformadas, se introducen ajustes relativos a la supervisión de la información, sistemas de control, gestión de riesgos, y canales de denuncia.
  • OTROS ASPECTOS (Información no financiera)

Muchas reformas atienden a ámbitos de responsabilidad social y sostenibilidad. El concepto de sostenibilidad que incluye el código especialmente en las Recomendaciones 53, 54, 55, comprende aspectos medioambientales, sociales y de gobierno corporativo, que en conjunto conforman los llamados criterios ASG. Corresponde llamar la atención a la terminología en estas recomendaciones 53, 54 y 55 porque el término “sostenibilidad” sustituye al de “responsabilidad social corporativa”. La sostenibilidad  debe ser supervisada por una o varias comisiones, ya sean preexistentes o una específica de sostenibilidad, compuesta por consejeros no ejecutivos, en su mayor parte independientes, y teniendo como funciones mínimas las recogidas en la recomendación 54. Los contenidos mínimos a incluir en la política de sostenibilidad aparecen en la recomendación 55, y destaca la identificación de canales de comunicación, diálogo y participación de los grupos de interés, junto con las prácticas de comunicación responsable.

  • POLITICAS DE SOSTENIBILIDAD. Las sociedades deberán promover políticas de sostenibilidad en materias medioambientales y sociales que incluyan, al menos, los principios, compromisos, objetivos y estrategia en lo relativo a accionistas, empleados, clientes, proveedores, cuestiones sociales, medioambiente, diversidad, responsabilidad fiscal, respeto de los derechos humanos y prevención de la corrupción y otras conductas ilegales.
  • INFORMACION NO FINANCIERA (Recomendaciones 6, 39, 42 y 45). Se pone el foco en estos riesgos en modo coherente con la Ley 11/2018 de información no financiera y diversidad y con la Guía Técnica 3/2017 sobre comisiones de auditoría de entidades de interés público. Concretamente en la Recomendación 6 se suprimió el informe sobre la política de responsabilidad social corporativa dentro de aquellos que han de publicarse en la página web con antelación suficiente a la celebración de la junta general ordinaria. Y es que la Ley 11/2018, de 28 de diciembre, estableció la obligación de todas las compañías que formulen cuentas anuales y cumplan determinados requisitos de tamaño formulen un estado de información no financiera, que formará parte del informe de gestión. Dicho estado incluye información relacionada con la denominada “responsabilidad social corporativa”.
  • DIVERSIDAD DE GÉNERO Las Recomendaciones 14 y 15 establecen que el consejo de administración deberá aprobar una política dirigida a favorecer su adecuada composición, y la diversidad de género. Se pretende alcanzar el 40% de mujeres en consejos en 2022 (eleva en un 10% el objetivo anterior). El consejo debe fomentar también que la sociedad cuente con un número significativo de altas directivas.
  • REPUTACIÓN Según las Recomendaciones 22 y 24, en caso de que un consejero se vea afectado por circunstancias que puedan dañar al crédito o la reputación de la sociedad, el consejo de administración podrá adoptar medidas pertinentes, antes incluso de que se produzca auto de procesamiento o apertura del juicio oral. Se recomienda que se establezcan reglas internas para que los consejeros informen y, en su caso, dimitan si están inmersos en supuestos que puedan perjudicar al crédito y reputación de la sociedad. Asimismo, se establece que el consejo examine tan pronto como sea posible una vez conocida cualquier situación que afecte a un consejero que pueda perjudicar el crédito y reputación de la sociedad, sin esperar (como preveía la recomendación) a que el consejero resulte procesado o se dicte contra él auto de apertura de juicio oral por un delito societario. Se refuerza también la transparencia en el cese de consejeros, a través del informe anual de gobierno corporativo y en el momento mismo del cese.

Modificación de Estatutos sociales. Sociedad Anónima. Ficha apunte

Posted on por
  • Régimen jurídico: arts. 285-345; y para SA cotizada 360-400 LSC
  • Finalidad: reformar las normas de organización y funcionamiento que la SA prevé en sus estatutos
  • Procedimiento y forma: Cambio de la redacción de los estatutos sociales inscritos en el Registro Mercantil, cumpliendo los requisitos legales y (en su caso) estatutarios)
    • La modificación debe ser acordada por la junta general (excepto el cambio de domicilio dentro del territorio nacional que puede ser acordado por el órgano de administración, art. 285.2 LSC).
    • Requisitos:
      • Informe escrito de los administradores, o de los accionistas autores de la propuesta
      • Reflejo claro en la convocatoria de la Junta de la propuesta
      • Debe constar en la convocatoria de Junta el derecho de todos los accionistas a examinar en el domicilio social el texto íntegro de la modificación y del informe, y a solicitar el envío gratuito de estos documentos.
      • Quórum de constitución conforme al art 194 LSC (extraordinario): en primera convocatoria, el 50% del capital social con derecho a voto; en segunda, el 25%), pudiendo ser más exigente si así consta en estatutos
      • Mayoría de votación especial (art 201.2 LSC) (o más elevado conforme a estatutos)
        • Si el capital presente o representado supera el 50% basta que el acuerdo se adopte por mayoría absoluta.
        • Si  el capital presente o representado es de menos del 50% del capital social con derecho de voto, se exigen 2/3 del capital presente o representado con derecho de voto
      • El acuerdo deberá constar en escritura pública, inscribirse en el RM y publicarse en el BORME
    • Tutela de socios. Aspectos específicos de la modificación de estatutos para la protección de socios:
      • Si la modificación impone nuevas obligaciones a accionistas concretos, se exige el consentimiento de los afectados (art. 291 LSC), entendiéndose de todos ellos.
      • Si implica nuevas restricciones en la transmisibilidad de acciones los accionistas que no hayan votado a favor podrán, durante un plazo de tres meses desde la publicación del acuerdo de modificación en el BORME, transmitir sus acciones sin someterse a las restricciones introducidas (art. 123.1, 2º, LSC).
      • Si afecta a los derechos de una clase de acciones se exige además del acuerdo de la junta general, otro acuerdo específico, adoptado por mayoría, de los accionistas que integran la clase afectada. El segundo acuerdo puede alcanzarse mediante una “junta especial” (a la que solo asisten los accionistas de la clase afectada) o bien en una votación separada de estos accionistas en el seno de la junta general (art. 293 LSC)
      • Recuérdese lo dispuesto en el art. 348 LSC en relación con los acuerdos de la junta que dan lugar a separación (obligación de publicación en BORME o de notificación individual y plazo de 2 meses para ejecutar esa separación)
    • Modificación de Estatutos por aumento o reducción del capital social. Sigue normas específicas aquí, aquí.

Obligación de suscribir el seguro obligatorio, mientras el vehículo a motor sigue de alta en tráfico

Posted on por

De conformidad con el Art 1 del Real Decreto legislativo 8/2004 (TRLRCSCVM) , el conductor de vehículos a motor es responsable (a salvo de la responsabilidad del propietario) de los daños causados a las personas o en los bienes con motivo de la circulación, en virtud del riesgo creado por la conducción.

  • En relación con los daños a las personas, la responsabilidad es objetiva: sólo cabe exoneración cuando sean debidos únicamente a la conducta o la negligencia del perjudicado (matizándose la cuantía en caso de culpas concurrentes) o a fuerza mayor y, el propietario no conductor no está exento de responsabilidad.

El propietario (presumiéndose tal condición de lo inscrito en los registros administrativos de tráfico, Art 4 del RD 1507/2008, Reglamento del Seguro Obligatorio de Responsabilidad Civil de la Circulación de Vehículos a Motor  (RSOA) es  quien debe suscribir el SOA.

  • En caso de que no lo haya suscrito, responderá civilmente con el conductor (tanto por los daños a las personas como a los bienes de terceros), sin perjuicio de que en un primer momento indemnizatorio intervenga el Consorcio de Compensación de Seguros, titular entonces de las correspondientes acciones de repetición.

Junto a la conducción y la propiedad (claves en la atribución de responsabilidad) también es fundamental la idea de “control o posesión del vehículo” que tiene consecuencias en el orden de la responsabilidad civil, y por lo tanto, también  en las del seguro. Es un requisito para la cobertura de riesgos en el SOA, que el propietario (y generalmente tomador) mantenga el control sobre el vehículo de tal manera que el seguro no cubre  en caso de vehículo robado (circunstancia en la que aplicaría directamente la garantía de Consorcio de Compensación de Seguros).

Los vehículos  y los hechos de la circulación.

  • El riesgo asegurado por el SOA deriva de la conducción de  vehículos a motor que son los determinados en el Art 1 del RSOA “todos los vehículos idóneos para circular por la superficie terrestre e impulsados a motor, incluidos los ciclomotores, vehículos especiales, remolques y semirremolques, cuya puesta en circulación requiera autorización administrativa de acuerdo con lo dispuesto en la legislación sobre tráfico, circulación de vehículos a motor y seguridad vial”.
  • El Art 2 del RSOA define un concepto central en el aseguramiento obligatorio de vehículos a motor: el hecho de la circulación o derivado del riesgo creado por la conducción de los vehículos a motor por vías o terrenos públicos; garajes, aparcamientos, vías urbanas o interurbanas,  o incluso por vías o terrenos que sin tener tal aptitud sean de uso común.  A continuación el Reglamento enumera ciertos hechos que no son “de la circulación”, delimitación importante ya que los hechos “no de circulación” no están cubiertos por el SOA (si son asegurables por otros seguros voluntarios).

Exclusiones legales de cobertura

  • En cuanto a las exclusiones, debe recordarse lo dispuesto en el Art 5,3 TRLRCSCVM, en el sentido de que tanto los daños personales como los materiales causados por el vehículo cuando este hubiera sido sustraído, quedan excluidos de cobertura circunstancia en la que se activa la intervención del CCS, como ya adelantábamos; así como los hechos que no sean de circulación, o riesgos que no deriven de conducción de vehículos. Todo ello, con la advertencia, sobre la que venimos incidiendo, de que la jurisprudencia muestra una clara tendencia expansiva en cuanto a la inclusión de riesgos en el SOA (o reduccionista en relación con la interpretación de las exclusiones). En este sentido debe encajarse la doctrina de la Sentencia Juliana del TJUE
Derecho Europeo. Jurisprudencia
  • El TJUE ha interpretado la legislación portuguesa en un sentido similar y coherente con la situacion en España, (ver STJUE C-80/2018) Fundo de Garantia Automóvel Prensa e Información C80/17 /Alina Antónia Destapado Pão Mole Juliana y Cristiana Micaela Cae tano Juliana
    • La Sra. Alina Antonia Juliana, propietaria de un vehículo automóvil matriculado en Portugal, lo había dejado de conducir dicho vehículo debido a problemas de salud. El vehículo quedó estacionado en el patio de su casa. No se iniciaron los trámites para su retirada oficial de la circulación. En noviembre de 2006, el hijo de dueña tomó posesión del vehículo sin la autorización de su madre y sin su conocimiento. El vehículo se salió de la carretera, lo que provocó el fallecimiento del hijo y de otras dos personas, que viajaban en dicho vehículo como pasajeros.
    • La Sra. Juliana no tenía suscrito en la fecha del accidente un seguro de la responsabilidad civil que resulta de la circulación de ese vehículo (seguro de responsabilidad civil del automóvil). El Fundo de Garantia Automóvel (Fondo de garantía de seguros del automóvil, Portugal) indemnizó a los derechohabientes de los pasajeros por los daños causados por el accidente. Al considerar que la dueña  debía suscribir un seguro de responsabilidad civil respecto de su vehículo y que había incumplido esta obligación, el Fundo demandó posteriormente, con arreglo a la posibilidad prevista por el Derecho portugués. Solicitó la devolución del importe de 437 345,85 euros que había abonado a los derechohabientes de los pasajeros. La Sra. Juliana alegó que no era responsable del siniestro y que, en la medida en que había estacionado su vehículo en el patio de su casa y no tenía intención de ponerlo en circulación, no estaba obligada a suscribir un contrato de seguro de responsabilidad civil del automóvil.
Redactado con apoyo de:
  • Proyecto de investigación “Sostenibilidad, digitalización e innovación: nuevos retos en el Derecho del Seguro” (ref.: PID2020-117169GB-I00), financiado por FEDER/Ministerio de Ciencia e Innovación – Agencia Estatal de Investigación

     

International Business Law (International Trade Degree-ULE). Lesson 3 (1,2,3,4). Notes for IBL

Posted on por

International Business Law (International Trade Degree-ULE). Lesson 3 (Schedule to parts 1 ,2,3,4). Notes IBL

Compulsory readings and materials for 2nd-year Students of  University of Leon’s International Trade Bachelor Degree (IBL). This lesson is dedicated mainly to the EU Legal System, notwithstanding some references to International Law and Spanish National Law.

LESSON 3.- REGULATION OF COMPETITION IN THE MARKETPLACE

Summary:

1. Free Competition Law.
1.1 (Prohibited) Agreements
1.2 Abuse of dominant position
1.3 Concentrations
1.4 State Aid

2. Unfair Competition Law.
2.1 General Clause
2.2 Specific Clauses

Trad: B Valle

Here you find an INTRODUCTION and then please click to the next slides:

King  Alfonso V  of León

Introduction to Competition Law

Markets, where mutually independent businesses engage in the same activity and enter the fray to attract consumers, are markets that operate as FREE MARKETS.

In free markets, each business is subject to competitive pressure from the others. The effective and fair competition gives businesses a level playing field and it also confers many benefits on consumers (lower prices, better quality, wider choice, etc.).

Free and Fair Competition Laws are at the heart of Commercial Law in Western Legal Systems.

  • Please note:
    • When dealing with Competition, the Law acknowledges that some practices can affect some geographical zones, but not others, and vice-versa. So, obstacles to Free Competition and Unfair Commercial Practices can affect a Region, a Country, a Continent, or the whole World!!. Such circumstances imply that the legal applicable systems, the supervisory Institutions, and the competent courts can be regional, national, European and international, depending on the scope and the consequences of each barrier and /or conduct.
    • Notwithstanding the above,  Free and Fair Competition Law and Systems allow for some monopolistic situations, for instance in the fields of  Patent Law, Trademarks Law,  and other regulated matters where competition is somehow restricted. However, such accepted obstacles to free competition are limited by the Law: they must be construed and interpreted as exceptions. 
  • COMPETITION LAW can be divided into two great and general sections: Free Competition Law, and  Unfair Competition Law
    1. Free Competition, is the perspective of Competition Law especially related to public interests in trade and business. In this sense, Free Competition amounts to creating and maintaining free markets to pursue general economic development.
      • Within Free Competition we find:
        1. Antitrust Law, (Agreements and practices against Free Competition,  as well as Control over abuse of Dominant Positions);
        2. also Mergers‘ control Law,
        3. and State Aids’  control Law.
    2. Unfair Competiton is a perspective that, taking into account general interest of the economy, it is rather centred on the relationship among private business, companies, etc, in the markets and also vis à vis business and consumers.

MORE IN THIS LESSON:

International Business Law (International Trade Degree-ULE). Lesson 4 (1,2,3,4). Notes for IBL

Posted on por
Intellectual Property Law. International Business Law (IBL) International Trade Degree (Bachelor). Schedule and materials for Lesson 4.

 

LESSON 4.- COMPETITION LAW EXEMPTIONS AND LIMITS: INDUSTRIAL / INTELECTUAL PROPERTY LAW.

Summary:
1. Industrial property.
1.1. Patents
1.2. Trade Marks and signs
1.3. Other IP Rights

2. Intellectual Property Rights.
2.1. Copyrights
2.2. Neighbouring Rights

Trad B Valle

WIPO, 2017

 

 

 

Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración

Posted on por

Entrada que debe actualizarse conforme al: Nuevo Esquema Nacional de Seguridad

 

Esquema Nacional de Seguridad en el ámbito de la administración electrónica ( ENS) está regulado en el Real Decreto 3/2010 de 8 de enero

Hamburgo. Ayuntamiento. Epc

El objeto del ENS es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”. En principio se aplica  sólo a las administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”. Pero, como veremos,  afecta también a algunas empresas del sector privado.

Es recomendable que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este ENS ya que el RGPD, exige aplicar  medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc. de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc. Pero además resulta obligatorio en los casos establecidos en la D.A. 1 de la Ley Orgánica 3/2018 de Protección de datos personales y garantía de derechos digitales, que se reproduce: 1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad. En 2010 se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.  Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos. En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Entre las obligaciones más destacables que derivan del ENS está la de clasificar los niveles de riesgo de ciberseguridad en tres grandes categorías (bajo, medio, alto) , así como  las correspondientes medidas aplicables a cada uno de esos niveles.

Otra obligación afecta a la gobernanza empresarial, pues conforme al ENS, las entidades afectadas deben nombrar a responsables específicos. Concretamente, conforme al art 10 del RD 3/2010 (ENS),  en los sistemas de información de las entidades sometidas a ese RD, se deben establecer tres figuras de responsabilidad distintas: el responsable de la información, el responsable del servicio y el responsable de la seguridad: El responsable de la información  será competente para determinar los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones  que deban adoptarse para satisfacer los requisitos de seguridad de la información y de los servicios.

Pero, adicionalmente, conforme al ENS la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. A todo esto se une que la política de seguridad de la organización, documento estratégico con el  que deben contar las entidades sometidas al ENS,  detallará las atribuciones de cada responsable, los mecanismos de coordinación y lo de resolución de conflictos.

Como adelantábamos, el ENS  también resulta aplicable a la empresa privada en algunos casos.

Para entender mejor el contexto,  recordemos que  la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD) adapta nuestro ordenamiento al Reglamento (UE) 2016/679”, RGPD. Y,  es aplicable tanto a la administración como a la empresa privada

  • El RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente el principio de “integridad y confidencialidad” establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental
  • El artículo 32 del RGPD, establece que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por tanto, las medidas de seguridad para proteger los datos personales no se recogen en una lista taxativa. Con este artículo 32, se introduce una suerte de  autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales, ya sean estos objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya

Vista de San Sebastian

La LOPD GDD, art 77, estableció, además, unos sistemas y medidas de protección de datos especiales ara la Administración Pública española. Ello se completa con la DA 1ª LOPD-GDD que establece un marco específico de seguridad en el sector público, a través del ENS, sustituyendo la autoevaluación del art 5.2 por un régimen específico para el sector público: “Medidas de seguridad en el ámbito del sector público:

  1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
  2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado
  3. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad

Por lo tanto, en la distintas entidades de la DA 1 , apartado 3 LOPD-GDD, ya sea en calidad de responsable o encargado del tratamiento, han de  categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y  de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema. Ello para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten,

Casamento no Pazo

Cualquier entidad  privada que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia. Y, en efecto, es habitual que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

¿El papel de responsable de seguridad en estas empresas podrá corresponder, es decir, coincidir con el  RSI o Chief Information Security Officer (CISO) que deriva del RD  43/2021 -dentro del desarrollo del paquete NIS (Network Information and Security) ; al que aludíamos en entradas anteriores? Conforme al art 7 apartado 5 delReal Decreto 43/2021,  así sería, al menos en el caso de las empresas privadas sometidas tanto a NIS como al ENS. 

El Responsable de Seguridad de la Información – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

Posted on por

El Boletín Oficial del Estado (BOE) publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El texto completa la incorporación del  la Directiva (UE) 2016/1148 del Parlamento Europeo y  del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea, conocida como Directiva NIS (Security of Network and Insformation Systems)

Cabanas, 2016

Recuérdese que a  finales del año 2018, la transposición de la citada Directiva NIS se llevó al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. que  regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea

En esta ocasión, el Real Decreto 43/2021, de 26 de enero, que publica el BOE, establece como ámbito de aplicación la prestación de los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Pero también la prestación de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

En el artículo 2.2. RD contempla que está sometidos a este nuevo Real Decreto «los operadores de servicios esenciales establecidos en España. En coherencia con lo ya expresado respecto de NIS, se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.» También «los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

Por contra, este Real Decreto no se aplica, según establece el artículo 2.3, a «los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.». Tampoco a «los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.«

Sanabria

Cabe destacar que en dicho Real Decreto:

  1. se establecen los requisitos de seguridad, así como las medidas para el cumplimiento de las obligaciones de seguridad,
  2. contempla en el plano normativo al responsable de la seguridad de la información o RSI, el CISO, que veíamos desarrollado en normas o estándares privados como ISO.
  3. se ocupa de la gestión de incidentes de seguridad
  4. detalla las obligaciones de notificación de los incidentes de los operadores de servicios esenciales: «Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción«, reza el artículo 9.1 de este RD.

El RSI o CISO (para OSE)

En relación con el Responsable de Seguridad de la Información, el artículo 7  del RD 43/2021 insta a que esta figura mantenga «una comunicación real y efectiva con la alta dirección». Además, señala que su posición debe «facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad». Esta figura, ya sea una persona, unidad u órgano colegiado, deberá contar con medios personales y materiales para desarrollar su función. Ejercerá de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicación únicamente a los OSE

Entre las funciones del RSI/CISO está el  elaborar las políticas de seguridad y proponerlas para su aprobación por la organización. Estas políticas han de incluir las medidas técnicas y organizativas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. Y, para prevenir y reducir al mínimo los efectos de los ciberincidentes

Se reproduce a continuación el art 7 del RD 43/2021:

Artículo 7. Responsable de la seguridad de la información.

  1. Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la información sea una unidad u órgano colegiado, se deberá designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.
  2. Los operadores de servicios esenciales comunicarán a la autoridad competente respectiva la designación del responsable de la seguridad de la información dentro del plazo establecido en el apartado anterior, así como los nombramientos y ceses que afecten a la designación del responsable de la seguridad de la información en el plazo de un mes desde que aquellos se produzcan.
  3. El responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la información, para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad  del Esquema Nacional de Seguridad,  a lo que dedicamos la siguiente entrada de este blog