Lesson 2 Companies and other legal forms to develop IBL. (Notes 2025-26- Section 1)

Posted on por

LESSON 2 IBL: INTERNATIONAL DIMENSION OF COMPANY LAW: THE EUROPEAN UNION LEGAL FRAMEWORK

1. Companies and other legal forms of business organisation in International Business Law.

Companies and other organisations are central actors in international business law. Alongside natural persons, they serve as instruments that give legal form to business activity.

In particular, companies (also called corporations) and other business entities provide the legal framework for collective business ventures—those in which ownership and control are exercised by groups of individuals who must be organised according to law. These forms differ from individual business activity, where the legal holder is a single trader or entrepreneur.

Such organisations are recognised in law as legal persons. Unlike natural persons, they do not exist by nature but as intellectual constructs, or legal fictions created to allow groups of individuals to cooperate.

  • The notion of legal personality has deep historical roots: already in medieval law and in early mercantile practice, jurists developed the idea of the universitas or collegium to explain how associations, guilds, and cities could act as a single entity in law.
  • Through the fiction of  legal personality, the law grants organisations a distinct legal «existence», enabling them to own property, to enter into contracts, to appear in litigation, and to exercise governance functions regardless of the individuals who compose them.
  • A fully incorporated company or organisation maintains its legal identity independently of the specific individuals who make up its membership or management. In other words, it continues to exist and operate according to the law regardless of changes in shareholders, directors, or other members. This principle is essential in business law, as it ensures that the company can enter into contracts, hold property, and be subject to legal obligations and rights stably and predictably, separate from the personal circumstances of its participants.

 

 Different types of legal persons that are important in IBL

Building on the general concept of legal personality, international business law recognises a variety of organisational forms. Each of these entities embodies the legal fiction of personhood in its own way, shaped by its purpose, governance structure, and capital arrangements.

  • Partnerships, or sociedades de personas (sociedades colectivas), are usually classified as personalist entities. Their legal personality is closely tied to the identity of their members, who often assume unlimited liability and participate directly in management. This makes them suitable for professions or activities where personal trust among partners is decisive.
  • Corporations represent the opposite model: they are capitalist entities, in which the legal personality is detached from the individuals who provide the capital. Shareholders contribute funds but are not personally liable beyond their investment. This separation between ownership and management, reinforced by limited liability, makes corporations the predominant form for large-scale business.
  • Cooperatives occupy an intermediate ground. Their legal personality is designed to serve the collective interests of members, often balancing economic participation with social or community goals.
  • Foundations are distinct because they are not based on members but on a dedicated pool of assets organised for a specific purpose. In civil law systems, they enjoy legal personality as autonomous entities and (in the Spanish legal system) they must serve a general interest.
  • An institution that is related to Foundations  in common law is the trust, which, though not a legal person in the strict sense, performs similar functions by separating legal ownership (trustee) from the beneficial interest (beneficiaries).
  • Associations represent voluntary groupings of individuals that acquire legal personality when recognised by law (ie, when they are registered in a public registry for associations). Unlike partnerships, their aim is often non-profit, but in some jurisdictions, such as in Spain, associations may also engage in economic activity.

Another important distinction is between incorporated and non-incorporated entities and companies.

  • Incorporated entities, such as corporations (Public Limited Companies – in Spain, Sociedad Anónima-, limited liability companies -in Spain, Sociedad Limitada- and Foundations acquire legal personality through a formal act of incorporation and registration. They are registered in a public registry, enjoy separate patrimony, and can act as autonomous subjects of rights and obligations. Their existence does not depend on the continuity of their members, since the legal person persists even if ownership or management changes.
  • Non-incorporated entities, on the contrary, lack full legal personality or enjoy only a limited degree of recognition. IE: Sociedades de personas (sociedades colectivas) and unregistered associations fall within this category. They may act collectively to some extent, but their legal standing is often derived from the direct responsibility of their members. In many systems (such as in Spain), the partners are personally liable for the obligations of the entity, and the organisation may dissolve when a member withdraws.

The divide between incorporated and non-incorporated forms is fundamental in international business law. It reflects the balance between flexibility and formality, between personal responsibility and autonomous legal existence, and it explains why incorporated structures dominate in large-scale, capital-intensive activities, while non-incorporated ones remain common in small or trust-based ventures.

Let’s look at these figures one by one:

Foundations (incorporated entity)

  • They have no members.
  • They have no shareholding.
  • They do not have issued capital, although they do have assets.
  • Foundations are legal persons, composed of assets whose objectives are determined by their founder.
  • Article 34.1 of the Spanish Constitution states: «The right of Foundation is recognized for purposes of general interest, in accordance with the law.» Therefore, in Spain, foundations are created to serve the general interest and not solely the interest of the founder or their family. Some countries, however, recognize private-purpose foundations.

Trusts (English law trusts) (non-incorporated)

  • They are not legal persons in the strict sense, although they perform similar functions.
  • They separate legal ownership of assets (held by the trustee) from the rights of the beneficiaries.
  • Trusts allow the organisation of assets for specific purposes, protecting property and controlling its use according to the settlor’s instructions.
  • They are widely used in estate planning, investment management, and asset protection.
  • Even without their own legal personality, trusts can sue and be sued through the trustee, and their existence is recognised by English law and other common law systems.

Associations (incorporated or non-incorporated)

  • They voluntarily group individuals for collective purposes, usually non-profit.
  • They acquire legal personality when formally recognised by law or registered in an official registry (this latter case implies that the Association is incorporated).
  • The members of the association  participate in management according to the statutes and internal rules of the association.
  • In some jurisdictions, associations may carry out economic activities, although their main purpose is usually social, cultural, or community-oriented.
  • The association’s legal liability varies from country to country and from one tyme of association to other. Often, members are subsidiarily liable for the obligations of the association if it is not incorporated.

Companies 

  • Companies are legal persons created to organise collective business activity.
  • Commercial Companies are usually classified into main types: personalist entities and capitalist entities, mutual organisations (such as cooperatives).
  • Companies operate under specific legal frameworks that define their rights, obligations, and governance structures.
  • They can own property, enter into contracts, borrow funds, and engage in litigation independently of their members.
  • Governance is often structured through boards of directors or managers, separating decision-making from ownership in capitalist entities.
  • Personalist entities, by contrast, usually involve direct participation of members in management and decision-making.
  • The flexibility of company forms allows adaptation to different economic activities, from small partnerships to multinational corporations.
  • In cross-border business, understanding the type of company is essential because liability, capital requirements, and recognition of legal personality vary between jurisdictions.

Personalist companies (partnerships / sociedades de personas / sociedades colectivas)

  • Members often assume unlimited liability and participate directly in management.
  • They are suitable for businesses where personal trust and professional reputation are central.
  • In many jurisdictions, these entities can be non-incorporated, meaning they lack full legal personality and that partners are directly responsible for the obligations of the entity.

Capitalist companies (corporations / sociedades capitalistas)

  • Corporations are usually incorporated, registered in public registries, and enjoy perpetual existence regardless of changes in ownership.
  • These companies acquire full legal personality through incorporation (a formal agreement or constitution filed in a public registry)
  • Their legal personality is independent from their shareholders.
  • Shareholders contribute capital but are not personally liable beyond their investment.
  • Management and ownership are separate, allowing companies to scale and attract investors.
  • They are created by founding members who contribute money or assets to form the company’s capital.
  • Examples: Sociedad Anónima (S.A.), Sociedad Limitada (S.L.), and Sociedad Anónima Europea (SAE).

Minimum Capital Requirements in capital companies in Spain:

  • Sociedad Anónima (S.A.): Requires a minimum capital of €60,000, with at least 25% paid up at the time of incorporation.
  • Sociedad Limitada (S.L.): The minimum capital is, since 2022, of €1. (Until the capital reaches €3,000, the company must allocate 20% of its annual profits to a legal reserve until the total capital and reserve amount to €3,000).

  • Registration: Registration in the Companies House (Registro Mercantil) is a requisite for these entities to acquire full legal personality.

Incorporated vs. Non-incorporated entities

  • Incorporated entities, such as corporations, limited liability companies, and foundations, acquire legal personality through the formal process of incorporation. They can enter into contracts, own property, sue and be sued.
  • Non-incorporated entities, such as unregistered partnerships and associations, have limited legal recognition. Their capacity to act collectively often depends on the direct responsibility of their members, and the entity may dissolve if a member leaves.

This classification helps understand why incorporated capitalist entities dominate large-scale and capital-intensive businesses, while personalist and non-incorporated forms remain common in smaller, trust-based, or professional ventures.

 

More (about  incorporated «capital» companies)

  • Nationality and Domicile of Companies. Companies have a nationality and a domicile, defined differently across legal systems:
    • Real Seat Theory: Nationality is linked to where the company is managed (e.g., Germany).
    • Incorporation Theory: Nationality is determined by the place of incorporation (e.g., UK).
    • Spanish System: A hybrid. According to Arts. 8–10 LSC, a Spanish company, has its registered office in Spain and must indicate its administrative or main operational centre. Third parties may consider either domicile. Nationality and domicile determine the applicable legal system, legal capacity, and jurisdiction.

Foreign companies’ legal capacity to act and trade in Spain (capacidad de obrar). Foreign companies (and individuals) can trade in Spain.

  • Art. 15 Código de Comercio establishes that foreign entities follow their own nationality laws for legal capacity but must comply with Spanish law regarding establishments and operations within Spain, subject to Spanish courts.
  • Exceptions arise in international business contexts.

Groups. A group of companies arises when several legally independent entities are brought together under the economic control and strategic direction of a single parent company . Despite maintaining their separate legal personalities, these companies operate as an integrated whole, coordinated to pursue shared business objectives. The defining characteristics of a corporate group include:

  • Dependence relationships: Subsidiaries rely on the parent company for strategic decisions, financing, or operational direction, even though they retain legal independence.

  • Centralised economic governance: Key policies, resource allocation, and overall business strategy are determined at the group level, ensuring coherence and coordinated action across all entities.

Art. 42 of Spanish Commercial Code defines a group via majority voting rights or control over boards. Vertical groups must file consolidated accounts, non-vertical groups do not.

Comparative Company (and Securities Law) in relation with capital «formation». USA vs. EU

  • USA: Popular capitalism, state-regulated company law, federal securities law (SEC), soft law governance.

  • EU: Bank-centred funding, blockholders, variable board structures (single vs. dual), corporate governance influenced by soft law (Cadbury Code, Código Unificado de Buen Gobierno), harmonisation via MIFID2, MIFIR, and supervision by ESMA, EBA, EIOPA.

Lesson 1: INTERNATIONAL BUSINESS IN THE CONTEXT OF INTERNATIONAL TRADE Notes 2025_26 L1, (3y4)

Posted on por

3. SOURCES OF POSITIVE LAW IN INTERNATIONAL BUSINESS

3.1 Material and Formal Sources

  • Formal sources: the legal norms themselves, e.g., laws, Royal Decrees.
  • Material sources: authorities or institutions issuing these norms, e.g., Parliament.

Example: Formal Sources in Spain:(Civil Code, art. 1).

  • Law: norms issued by public authorities  Includes laws, Royal Decrees, and international treaties. Written law is the main source for private law.
  • Custom: repeated behaviour accepted as binding.
  • General principles: guide the interpretation and integration of the legal system.

Formal Sources and hierarchy in Commercial Law (Código de Comercio, art. 2):

  1. Commercial legislation: Código de Comercio and special laws
  2. Commercial customs (usages of local markets)
  3. Civil or common law

Formal Sources and hierarchy in Commercial Law. Exception for contracts (Código de Comercio, art. 50): customs are excluded; hierarchy:

  1. Commercial law (Código de Comercio and special laws)
  2. Civil law

Beyond formal sources- Secondary/Complementary Sources of the Law in Spain:

  • Case Law: (art. 1.6 Cci) court doctrine (in Spain, Supreme Court decisions on similar cases). In common law, “case law” and “precedent” are binding; landmark cases are called “leading cases.” In Civil Law Countries, their force is different to Common Law Countries

  • Equity (art. 3.2 Cci): supplements judicial decisions to ensure justice.

  • Analogy (art. 4 Cci): applies norms from similar cases (e.g., Agency Law applied to Distribution Law).

Territorial and Subject-Matter Application:

  • Subject-matter specialisation is essential. Commercial law (core of International Business Law) applies only to private relations with commercial content (subject-matter).

  • Territorial application depends very much on the material instrument and the formal source involved.

3.2 Legislative Competence and Material Sources in Spain

  • Spanish State Competence: exclusive for commerce, banking, insurance, and foreign trade (Constitution, art. 149.1.6 and 149.1.10).

  • Autonomous Communities: limited competences (art. 148 CE), e.g., consumer protection, economic promotion.

3.3 International Treaties (covenants/signed arrangements/ etc)

  • Treaties (also called conventions) are negotiated, signed, ratified by Parliament, and published in the BOE. Article 96 CE: Treaties have the force of law when published.
  • Some treaties require parliamentary approval (art. 94 CE); others only notification (mostly commercial treaties).
  • Some classification (types of Treaties):
    • Bilateral: e.g., between country A and B in trade matters.
    • Multilateral: agreed among various countries, they come into force after a number of ratifications. Can be managed by IOs (UN, WTO).
      • Examples of Treaties under WTO (please see section 1 and 2 of this lesson):

3.4 Transfer of Sovereign Competence to International Organizations

  • The transfer of sovereign powers is possible in Spain under constitutional procedures (art. 93 CE): which requires «organic law» authorising the government to negotiate such treaties. (ie: Treaty of the EU)

EU Law:

  • Spain joined the EU in 1986 under art. 93 CE; sovereign competences transferred, especially legislative, judicial, and competition control.

  • Primary Law: founding treaties (e.g., Treaty of Lisbon, TUE, TFUE)

  • Secondary Law: regulations, directives, decisions

    • Regulations: directly applicable; sometimes optional clauses (“OPT”)
    • Directives: binding goals; states free in implementation; EU may sanction non-compliance
    • Decisions: addressed to specific entities (e.g., competition cases)

  • Non-binding EU law: recommendations, opinions (used when legislation is not feasible, e.g., executive remuneration).

Special: EU Commercial Treaties

  • EU has legal personality; so it can sign agreements with third countries or IOs.
    • Mixed agreements: both EU and member states participate.
  • Types of agreements entered into by the EU: association, free trade (FTAs), partnership, cooperation.

4. SOURCES OF SOFT LAW IN INTERNATIONAL BUSINESS AND OTHER ISSUES

  • Soft Law
    It is increasingly common to find, in certain areas of practice—especially highly professionalised sectors—that alongside positive law we also encounter guidelines, recommendations, and model laws (a model of a law that has not been formally adopted by any parliament or government). This trend is strong in contemporary international business. In fact, in commerce, the technique is very old: even medieval artisans had their own legal rules, distinct from the King’s law.
  • There has been a significant proliferation of sector-specific recommendations, some of which are issued by public bodies.
    • For example, in the European Union, there are Recommendations and Opinions; in the OECD (1961), there are Guidelines for Multinational Enterprises; and UNIDROIT (1926), an international institute based in Rome, develops Model Laws for the unification of private law.
  • Another part of soft law originates from the private sector. For instance, the International Chamber of Commerce (ICC, 1919), based in Paris, issues guidelines and provides one of the most important sources of arbitration rules. Similarly, the International Federation of Consulting Engineers (FIDIC) drafts over 80% of the standard forms used in international construction contracts.


Soft law can appear under different designations depending on the context, often linked to self-regulation or voluntary codes.

  • Self-Regulation
    This concept is widely used in international business and has multiple meanings. On one hand, it refers to the internal organisation of a company or group (e.g., the bylaws of a corporation). On the other hand, it refers to the rules or mandates issued by private organisations that must be followed by those who wish to participate. Examples include the internal rules of a market or exchange venue. Although private, these rules must be observed for companies to operate in such markets. Self-regulatory norms often gain such prestige that states eventually incorporate them into law, in adapted form.

Other Rules Derived from Autonomy of Will (autonomía de la voluntad)

  • Contracts and the Will of the Parties: The law recognises the importance of individual will, both in unilateral acts (declarations) and in bilateral or multilateral acts (contracts). In commercial law, contracts primarily reflect the parties’ intentions, are binding, and are interpreted in accordance with good faith and the diligence of an orderly businessperson, taking into account provisions of the civil and commercial codes.

  • General Contract Terms (GCTs): These are standardised clauses drafted by one party for repeated use across multiple contracts (often in “small print”). They are not law in themselves but form part of the contract; if not included in the contract, they are not binding.

  • Other Pre-Formulated Clauses Not Classified as GCTs: For example, INCOTERMS. These are pre-drafted not by a party to the contract but by an international organization such as the ICC. Their inclusion depends on agreement between the parties.

Lesson 1 : INTERNATIONAL BUSINESS IN THE CONTEXT OF INTERNATIONAL TRADE Notes 2025_26 L1, (1y2)

Posted on por

Block I: INTERNATIONAL BUSINESS LAW


Lesson 1: INTERNATIONAL BUSINESS IN THE CONTEXT OF INTERNATIONAL TRADE

1. Introduction

Law is the science that studies facts, acts, and relationships between different subjects in a structured manner, analysing them according to legal systems.

International Trade is a discipline concerned with international transactions—businesses, contracts, and related activities—whose nature is broadly economic, including finance, the exchange of goods, and services.

This course focuses on International Business Law (IBL) from the perspective of Business Law (Derecho Mercantil / Business and Commercial Law), a branch of law that deals with three key areas: (i) commercial acts, such as contracts and business negotiations; (ii) the organization of entrepreneurs, including companies, sole proprietorships, and foundations engaged in trade; and (iii) market activity, including unfair competition, free trade, monopolies, and exchanges. Accordingly, IBL emphasises Business Law with a cross-border dimension, focusing on commercial transactions (primarily contracts), markets (particularly from a commercial perspective), and the organisation of entrepreneurs (especially companies).

  • Excluded from IBL are certain aspects of international trade, such as tax and customs law or the regulation of cross-border workers; these topics are addressed in other subjects.

International Business Law governs relationships between private entities with cross-border implications. It regulates interactions among actors—individuals, companies, and other entities—typically carried out through structured “commercial acts” such as contracts, the formation of companies or associations, or the establishment of secure payment systems. Some consequences in IBL are incidental: they may be unplanned and non-contractual, such as an accident during the transport of goods in an import-export operation. IBL provides tools to address these non-contractual events as well.

Business and trade occur within markets, and thus they must operate under laws governing free competition, intellectual property, financial stability, and related areas. IBL plays a critical role in these domains.

Given the cross-border nature of IBL and its impact on international business relations, it is essential to determine the applicable legal system(s) for each operation. Equally important is identifying which national courts have jurisdiction over IBL disputes, as well as understanding available out-of-court conflict resolution mechanisms.

2.Subjective, objective, and territorial aspects

International Business actors include both natural persons and legal entities: citizens, traders, entrepreneurs, companies, and groups of companies. It is therefore important to identify their legal capacity, nationality, and other relevant attributes.

The main actors in International Business Law (IBL) are: States, International Organizations, Private Sector Organizations, and Hybrid Organizations. (Lesson 2 addresses companies and other private entities in detail.)

2.1 States
Sovereign States are institutional actors in International Law. They participate in International Trade and IBL primarily by:

  • Enacting laws and regulations
  • Negotiating international treaties and conventions (some of which create International Organizations)
  • Exercising judicial powers through courts and judges

Example: In Spain, under Article 149-1, the State has exclusive competence over:
      3. International Relations
      6. Commercial Law
      9. Legislation on Intellectual Property
     10. Customs, tariffs, and foreign trade

2.2 International Organisations (and State Arrangements) Members of these organisations are primarily States. They vary in powers:

  • Legislative Powers: Some organizations, e.g., the European Union, have legislative authority granted by member States.
  • Drafting Powers: Others can draft agreements and treaties (e.g., WIPO), which only become legally binding after ratification by States.
  • Soft Law Issuance: Most publish recommendations, model laws, and guides.
  • Membership and Treaty Participation: Some organizations may join other IOs or sign treaties (e.g., the EU).

There are different types of these International Organisations and State Arrangements (Treaties/Conventions/Agreements/Conferences), and they can be classified Iin different manners, such as this:

  • Following their scope and geographical area of activity:
    • Regional organisations through bilateral agreements: e.g., Commonwealth, Francophonie
    • Multilateral/plurilateral Free Trade Areas: e.g., ASEAN, NAFTA/TLCAN, EFTA
    • Internal Market Organisations: e.g., EU, MERCOSUR (to a lesser degree of supranational integration)
    • Global Trade Organisations:
      • WTO: International Organization that administers treaties on goods, services, intellectual property, and dispute settlement
      • GATT: State Arrangement related to Trade in goods. It operates since (1948) – , it operates with principles like Free Trade, National Treatment, Most Favored Nation. Since 1995 it is administered by WTO
      • GATS: State Arrangement related to Trade in services within WTO
      • TRIPS: State Arrangement related to Trade-Related Aspects of Intellectual Property within WTO
      • Dispute Settlement System within WTO
  • Following the main type of work they do:
    • Drafting Treaties, Principles:

      • The Hague Conference on Private International Law: drafts conventions ratified by States; influential even when such conventions are not ratified

      • UNIDROIT: Issues principles and resolutions (e.g., Principles of International Commercial Contracts 2010)

      • OECD: Guidelines for multinational companies

      • UN Bodies: UNCITRAL, UNCTAD, UNIDO, WIPO

    • Operations and soft law in the Financial Sector :

      • World Bank (WB),

      • IMF,

      • Financial Stability Board (FSB)

  • Other Arrangements/Conferences:
    • G20, BRICS, Shanghai Cooperation Group

2.3 Private Sector Organisations with International Impact
Their Members are private entities (companies, consultants, etc.). They cannot legislate but issue influential Soft Law, especially in contracts and dispute resolution.

Examples:

  • ICC (International Chamber of Commerce): drafts INCOTERMS, arbitration center
  • ISO: develops voluntary international standards
  • IFRS Foundation: accounting and sustainability disclosure standards
  • WFEO, BAFT, IBF, FIDIC, and others: technical standards, market best practices

 

2.4 Hybrid Organizations (Public-Private)


Organisations with both public and private members.

Example: IOSCO (International Organisation of Securities Commissions). About its members:

  • Ordinary members (130): national securities commissions/governmental bodies
  • Associate members (34): supranational, subnational regulators, international standard-setting bodies
  • Affiliate members (69): self-regulatory organisations, exchanges, investor protection funds, other international bodies

Riesgos y buenas prácticas de los administradores en el Sector Renovable

Posted on por

La controversia sobre las primas a las energías renovables surge del sistema de incentivos que los Estados implementaron para fomentar la inversión en energías limpias, mediante la concesión de primas o tarifas reguladas a productores de energía renovable.

Estas primas, muchas veces diseñadas sin una proyección completa de sostenibilidad financiera a largo plazo, han dado lugar a numerosos arbitrajes internacionales por reclamaciones de inversores ante Estados que modificaron las condiciones iniciales de los incentivos. Señaladamente, contra España

Rododendros y azaleas

La incertidumbre regulatoria, los cambios legislativos y las decisiones administrativas que afectan la rentabilidad de las inversiones han generado conflictos complejos entre empresas, inversores y poderes públicos. Aunque los laudos recaen formalmente sobre el Estado, los administradores de sociedades vinculadas al sector energético también enfrentan implicaciones directas, pues su gestión puede verse cuestionada en términos legales, reputacionales y de gobernanza corporativa.

 

Los administradores tienen la obligación de anticipar y gestionar riesgos regulatorios, financieros y reputacionales vinculados a la operación de la empresa. Según la interpretación actual más al uso,  el deber de diligencia del administrador incorpora criterios ESG (medioambientales, sociales y de gobernanza), lo que implica que los riesgos de litigio y exposición arbitral deben integrarse en la estrategia corporativa.

Las inversiones realizadas antes de la entrada en vigor de marcos regulatorios más estrictos (por ejemplo, antes de 2013) sin una evaluación robusta de riesgos regulatorios y legales pueden ser objeto de análisis crítico. La ausencia de documentación interna, estudios de impacto o informes de compliance podría llegar a interpretarse como una falta de diligencia en la gestión- La estrategia adoptada para enfrentar arbitrajes y la gestión de laudos internacionales puede ser revisada de forma retrospectiva, aumentando la exposición a reproches internos, responsabilidad civil o incluso sanciones derivadas de incumplimientos corporativos.

También la existencia de arbitrajes internacionales no resueltos o conflictos prolongados puede afectar significativamente la reputación de los administradores, especialmente en empresas comprometidas con criterios ESG. La percepción de riesgo legal o de gestión inadecuada puede dificultar la atracción de financiación, la fidelización de inversores y la confianza de os stakeholders

El alineamiento con políticas ESG, la transparencia en la gestión de riesgos y la comunicación adecuada de la estrategia corporativa se convierten en elementos esenciales de gobernanza que influyen directamente en la valoración de la empresa y en la sostenibilidad de su modelo de negocio.

 

Ante este escenario, resulta esencial adoptar buenas prácticas de gobernanza por parte de los administradores.

En primer lugar, es recomendable realizar un análisis exhaustivo de riesgos regulatorios y arbitrales, incorporando escenarios adversos en la planificación estratégica y considerando los posibles impactos financieros y reputacionales derivados de laudos internacionales. Asimismo, debe garantizarse una documentación completa de todas las decisiones estratégicas, incluyendo su fundamentación, los estudios de riesgo efectuados y la información disponible en el momento de la toma de decisiones. Igualmente, la integración de criterios ESG en la gobernanza corporativa es clave para orientar la deliberación del consejo, estableciendo indicadores claros que permitan el seguimiento y la mitigación de riesgos. Finalmente, es aconsejable revisar periódicamente la estrategia legal y financiera, ajustando provisiones, seguros y mecanismos de defensa frente a cambios regulatorios, jurisprudenciales y litigios internacionales, con el objetivo de mantener un nivel adecuado de preparación ante contingencias.

Las principales autoridades y estructuras europeas de ciberseguridad

Posted on por

 

En el marco europeo de la ciberseguridad, se han ido articulando múltiples organismos y redes con funciones complementarias —regulación, coordinación, innovación, respuesta a incidentes— que permiten alcanzar un nivel más elevado de resiliencia digital, cooperar operativamente entre Estados miembros y generar un mercado interno más seguro.

1. Agencia de la Unión Europea para la Ciberseguridad (ENISA)

Teverga

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es la agencia comunitaria dedicada a alcanzar “un nivel elevado y común de ciberseguridad en la Unión” (UE) mediante asesoramiento técnico, intercambio de buenas prácticas, desarrollo de esquemas de certificación y colaboración estrecha con los Estados miembros, las instituciones de la UE y el sector privado.

Mandato y marco normativo

  • ENISA fue creada por el Reglamento (CE) n.º 460/2004, operativa desde 2005.
  • Su mandato se reforzó con el Reglamento (EU) 2019/881 —el llamado “Cybersecurity Act”—, que además creó un marco europeo de certificación de ciberseguridad y otorgó a ENISA un mandato permanente.

Funciones principales

  • Cooperación con los Estados miembros en materia de estrategias nacionales, preparación ante incidentes, fortalecimiento de capacidades (training, ejercicios, etc.).
  • Desarrollo de esquemas de certificación de productos, servicios y procesos TIC (en colaboración con otros órganos, con los Estados de la UE, y con organismos innternacionales).
  • Actuar como centro de conocimiento, generar informes sobre amenazas, vulnerabilidades, tendencias tecnológicas emergentes.
  • Más: Ver aqui

 

2. La red de CSIRTs Network de la UE

La Red de Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRTs Network) está compuesta por los equipos designados por los Estados miembros de la UE para la gestión de incidentes de ciberseguridad, junto con CERT‑EU. ENISA presta el secretariado de la Red y facilita la cooperación operativa.

Funciones principales: operativas y de coordinación

  • Intercambio de información sobre vulnerabilidades, amenazas, indicadores de compromiso entre CSIRTs nacionales y otros actores.
  • Coordinación de la respuesta a incidentes transfronterizos o que afectan múltiples Estados miembros, y asistencia en la divulgación coordinada de vulnerabilidades con impacto significativo en varios Estados.
  • Apoyo en el marco del Directiva NIS2 (y su antecesora) para asegurar una cooperación más sistemática entre los actores nacionales.

3. European Cyber Security Organisation (ECSO)

La European Cyber Security Organization (ECSO) es una asociación público‑privada (PPP) que reúne actores del sector empresarial, centros de investigación, autoridades públicas y otros stakeholders para fomentar la innovación, el mercado europeo de ciberseguridad y la cooperación público‑privada.

Ámbitos de actividad

  • Grupos de trabajo (Working Groups) que abarcan estandarización, certificación, cadena de suministro de ciberseguridad, inversiones y mercados, internacionalización.
  • Publicación de documentos de apoyo para la cadena de suministro europea de ciberseguridad, como listas de requisitos de “cyber ranges”, evaluación de mercado, etc.
  • Representación del sector privado en foros de la UE (por ejemplo, la participación en el Stakeholder Cybersecurity Certification Group – SCCG) para asesorar sobre certificación europea.

 

4. European Cybersecurity Certification Group (ECCG)

El European Cyber security group (ECCG) es un grupo integrado por representantes de los Estados miembros de la UE que asesora a la Comisión Europea y a ENISA en la implementación del marco de certificación de ciberseguridad en virtud del Reglamento (EU) 2019/881 (Cybersecurity Act).

Existen centros nacionales activos en el trabajo de este grupo

Funciones y estructura

  • Su misión es garantizar la aplicación coherente del marco de certificación de la UE, evitando la fragmentación de los esquemas nacionales y promoviendo la mutua aceptación de certificados.
  • Colabora con ENISA en el desarrollo de esquemas europeos como el EUCC (European Common Criteria) y otros futuros (servicios en la nube, IoT, etc.).

 

Sinergias y consideraciones de gobernanza

Estas cuatro estructuras no actúan de forma aislada, sino que presentan una arquitectura interconectada:

  • ENISA opera como nodo central de la estrategia, la normativa y la capacidad técnica.
  • La CSIRTs Network permite la dimensión operativa y de respuesta a incidentes en tiempo real, interrelacionada con ENISA y con los equipos de los Estados miembros.
  • ECSO representa la dimensión de mercado, innovación, industria y gobernanza colaborativa público‑privada.
  • ECCG asegura que el marco de certificación europeo sea coherente, homogéneo y reconocido en toda la UE, reduciendo la fragmentación y fortaleciendo el mercado interno.

La arquitectura europea de ciberseguridad —representada por ENISA, la red de CSIRTs de la UE, ECSO y el ECCG— constituye un mosaico integrado de regulación, operación, mercado e innovación. Para la empresa que opera en el entorno europeo y para los administradores que deben gobernarla, esta arquitectura ofrece tanto obligaciones como oportunidades: obligaciones de diligencia, reporte y adopción de estándares certificados; oportunidades de competitividad, confianza de mercado e integración en un ecosistema digital europeo seguro.

Primas de las renovables, inversión y conflictos

Posted on por

El conflicto entre España y los inversores en energías renovables constituye uno de los casos más relevantes de arbitraje internacional de inversiones en Europa. Las reformas regulatorias aplicadas entre 2010 y 2014, que modificaron los esquemas de incentivos establecidos por el Real Decreto 661/2007, desencadenaron una oleada de reclamaciones ante tribunales arbitrales. Los inversores alegaron vulneración de sus expectativas legítimas y del estándar de trato justo y equitativo, principios esenciales en la protección internacional de inversiones.

El arbitraje internacional en esta materia  refleja la tensión entre estabilidad regulatoria y soberanía normativa.Merindades burgalesas

El marco español inicial (Real Decreto 661/2007) estaba basado en primas garantizadas para proyectos solares y eólicos. Generó expectativas sobre la rentabilidad. Sin embargo, los recortes aplicados entre 2013 y 2014 (Real Decreto 413/2014) alteraron sustancialmente estas condiciones.

  • l Real Decreto 413/2014, de 6 de junio, reguló la actividad de generación eléctrica a partir de energías renovables, cogeneración y residuos, e introdujo un régimen retributivo específico basado en una “rentabilidad razonable” sobre la inversión, en lugar del antiguo sistema de primas fijas. Bajo este esquema, la remuneración que se reconocía a las plantas se calculaba a partir de parámetros tipo, así como de la media del rendimiento de las obligaciones del Estado a diez años, más un diferencial. Sin embargo, esta reforma generó un fuerte descontento entre los inversores porque redujo las ventajas esperadas: al sustituir las primas garantizadas por una retribución condicionada y revisable, limitó los ingresos predecibles y alteró las condiciones previamente pactadas, especialmente para las instalaciones ya en funcionamiento. Además, el decreto suscitó reclamaciones en arbitrajes internacionales (por ejemplo, bajo el Tratado de la Carta de la Energía), pues algunos inversores consideraron que España había vulnerado sus expectativas legítimas, su seguridad jurídica y las condiciones estables que justificaron sus compromisos de inversión. La modificación del régimen incrementó así el riesgo regulatorio y financiero para los gestores de las empresas renovables, que tuvieron que replantear su planificación estratégica, documentar cuidadosamente sus decisiones y evaluar provisiones para posibles litigios.

  • Los laudos Charanne e Isolux marcaron los primeros pronunciamientos relevantes, estableciendo criterios sobre previsibilidad normativa y la intensidad de los cambios regulatorios necesarios para considerar vulnerado el estándar de protección.
  • Posteriormente, el proceso se desarrolló en tres fases: expansión de arbitrajes, consolidación de criterios y dificultades en la ejecución de laudos, La interacción con la jurisprudencia europea, especialmente el caso Achmea, (C-284/16.)transformó la estrategia española y la posición de otros Estados miembros.

El caso Achmea establece que las cláusulas de arbitraje en acuerdos internacionales de inversión entre Estados miembros de la UE son incompatibles con el Derecho de la Unión, ya que permiten a los inversores eludir los sistemas judiciales nacionales y comunitarios. Esta jurisprudencia tiene implicaciones importantes para los Tratados Bilaterales de Inversión (TBI) intracomunitarios y, por extensión, plantea preguntas sobre la validez de ciertos mecanismos de arbitraje en el marco europeo.

En el contexto de las inversiones en energía renovable en España, muchos arbitrajes internacionales se han basado en el Tratado de la Carta de la Energía (TCE), un instrumento extracomunitario que protege las inversiones en el sector energético y permite a los inversores someter disputas a arbitraje internacional. Aunque Achmea limita la validez de arbitrajes intracomunitarios, no afecta directamente a los laudos basados en el TCE, ya que este tratado se suscribe entre Estados y no está circunscrito al Derecho de la UE de manera interna. No obstante, la jurisprudencia europea refuerza la necesidad de examinar cuidadosamente cómo se ejecutan estos laudos dentro de la UE, pues podrían surgir conflictos entre la obligación de respetar los laudos arbitrales y el principio de primacía del Derecho comunitario.

Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

 

ILUSIÓNAME PARA ASISTIR A TUS CLASES. TIENES 3 MINUTOS

Posted on por

Convocatoria para la presentación de videos: “Ilusióname para asistir a tus clases: tienes tres minutos”

Fruto del Seminario Internacional celebrado el 21 de enero de 2025, titulado Nuevas tecnologías digitales en las aulas de Derecho, se abrió una llamada a comunicaciones en formato audiovisual (videos) bajo el tema: “Ilusióname para asistir a tus clases: tienes tres minutos”.

El objetivo de estos videos es transmitir, de forma creativa y motivadora, la importancia no solo de matricularse, sino también de asistir regularmente al aula, resaltando el valor de la participación presencial en el proceso de aprendizaje.

Esta convocatoria, inicialmente abierta hasta el 1 de septiembre de 2025, se amplía hasta el 15 de octubre de 2025 para facilitar la participación de un mayor número de interesados.

¿Quién puede presentar los videos?

  • Pueden presentar videos los investigadores y profesores participantes en la jornada del 21 de enero de 2025. Excepcionalmente se podrá admitir la autoría de otros investigadores y docentes interesados en participar. (a tales efectos, por favor, consultar en eperc@unileon.es)
  • Los videos pueden ser elaborados y presentados por una sola persona o por un equipo de participantes.

¿Cómo deben ser los videos?

  • Los videos deben tratar sobre una asignatura, varias asignaturas o una disciplina concreta, e incluir recomendaciones o sugerencias que animen a los estudiantes a asistir a clase.
  • Los videos pueden realizarse utilizando cualquier software compatible con las plataformas web de la Universidad de León, facilitando así su reproducción y accesibilidad.
  • Cada video deberá tener una duración máxima de 3 minutos y su contenido debe estar dirigido a los alumnos matriculados y a futuros estudiantes.
  • Los videos deben enviarse con la licencia CC BY (Reconocimiento)

Procedimiento para la presentación de videos

  • Los videos deberán enviarse por correo electrónico a la dirección eperc@unileon.es, indicando en el asunto: Convocatoria para la presentación de videos: “Ilusióname para asistir a tus clases: tienes tres minutos”.
  • En el cuerpo del mensaje se deberá incluir la siguiente información:

    • La asignatura o grupo de asignaturas relacionadas con el video.

    • Los nombres de los participantes en la elaboración del video con un correo de contacto, a ser posible un correo institucional de la ULE.

  • Deben acompañarse estas breves declaraciones firmadas por todos los autores de cada video

      1. Una declaración explícita de que el video enviado es la versión definitiva que se presenta a la convocatoria.

      2. Se entrega con Licencia Creative Commons CC BY (Reconocimiento), y se autoriza la reproducción del video y su almacenamiento en las plataformas o repositorios de la Universidad de León

      3. En el caso de que los videos muestren a personas físicas, debe acompañarse una autorización formal (con DNI y firma) permitiendo la reproducción, almacenamiento y, en su caso, reproducción libre

      4. Declaración al efecto de que los objetos u obras grabadas no están sujetas a derecho de autor u otros derechos de Propiedad Intelectual

Evaluación y selección

Los trabajos recibidos serán evaluados por la comisión académica de la jornada, que verificará que cumplen con el mínimo estándar de calidad requerido y las exigencias de esta convocatoria

Almacenamiento en repositorio

Aquellos videos que superen esta evaluación serán incorporados al repositorio institucional gestionado por la Biblioteca de la Universidad de León, o en otro repositorio equivalente previsto al efecto, donde estarán disponibles como materiales de innovación docente y podrán ser consultados para fomentar la mejora continua en la enseñanza.

Organización de esta actividad

Se recuerda que esta jornada, y actividad de innovación docente fue co-organizada por la Facultad de Derecho y el GiD DerMerule (Más información: https://blogs.unileon.es/mercantil/anuncio-e-invitacion-al-seminario-internacional-de-innovacion-docente-21-01-2025 ; y en eperc@unileon.es )

Principios (UE) sobre Derechos Digitales. Declaración de 2022 y Brújula Digital de 2021

Posted on por

La Declaración Europea sobre los Derechos y Principios Digitales fue suscrita en 2022 por los presidentes de la Comisión Europea, del Parlamento Europeo y del Consejo de la Unión Europea, como instrumento solemne, de naturaleza orientadora o eje vertebrador de la acción digital de la Unión.

Market Street – Cornmarket Street Old tavern, Ox

Esta Declaración se fundamenta, de forma destacada, en la Carta de los Derechos Fundamentales de la Unión Europea, y remite expresamente a aquellos derechos particularmente relevantes en el contexto de la transformación digital, tales como la libertad de expresión e información, la protección de los datos personales (art. 8), y la garantía de la vida privada (art. 7). Así, los derechos y principios digitales que en ella se recogen se integran plenamente en el acervo normativo de la Unión y en sus políticas públicas.  Debe también leerse en coherencia con la Brújula Digital 2030, Comunicación de la Comisión Europea  publicada en 2021 como hoja de ruta estratégica para alcanzar una década digital centrada en las personas, articulada en torno a cuatro grandes objetivos: competencias digitales, infraestructuras digitales seguras y sostenibles, digitalización de empresas, y transformación digital de los servicios públicos. La Brújula no solo fija metas medibles, sino que actúa como eje de coherencia entre los valores proclamados en la Declaración y su materialización operativa en la Unión.

A través de la Declaración Europea sobre los Derechos y Principios Digitales, la Unión Europea y sus Estados miembros reafirman su compromiso con una transformación digital centrada en el ser humano. En este sentido, ofrece un puente entre los valores fundamentales y la legislación y estrategias digitales de la Unión, orientando la acción pública en el marco de la Década Digital 2030. En esta Declaración,  se  opera una cierta centralización supervisoria, ya que la Comisión Europea asume la función de supervisión del cumplimiento y desarrollo de los derechos y principios digitales en todo el territorio de la Unión, mediante informes anuales y mecanismos de evaluación que permiten articular su progresiva implementación.

London's Eye

London’s Eye

Este enfoque de integración normativa y política encuentra concreción en iniciativas regulatorias recientes como el Reglamento (UE) 2022/2554, relativo a la resiliencia operativa digital del sector financiero (DORA),  que ha sido objeto de atención en este blog en reiteradas ocasiones. O en  el Reglamento (UE) 2022/868, sobre la gobernanza europea de datos (Data Governance Act).

Ambos textos, de una u otra forma, materializan los objetivos proclamados en la Declaración. Y, los dos prevén la participación activa de autoridades competentes en lo que se puede denominar como gobernanza , con centralización- y vocación multinivel  —como la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), en el caso de DORA (art. 49), o el Comité Europeo de Innovación de Datos, en el caso del DGA (art. 29)—.

  • El Reglamento DORA establece un marco armonizado que impone a las entidades financieras obligaciones estrictas en materia de gestión de riesgos TIC (arts. 5 a 16), notificación de incidentes significativos (arts. 17 a 23) y resiliencia frente a pruebas de penetración (arts. 24 a 27). La norma refuerza así la obligación de garantizar la seguridad, continuidad y robustez tecnológica en los servicios financieros, en consonancia con los principios de confianza digital y protección del interés general presentes en la Declaración.

  • El Reglamento de Gobernanza de Datos (DGA), por su parte, refuerza el principio de empoderamiento y control individual sobre los datos, al establecer, entre otras figuras, la del intermediario de datos (arts. 10 a 14) y los organismos en la cesión altruista datos (arts. 16 a 25), creando estructuras institucionales que permiten la cesión voluntaria y responsable de datos con fines de interés general. Además, el artículo 5 del DGA prevé normas para la reutilización de datos protegidos del sector público, contribuyendo a la apertura ética y controlada de la información pública sin vulnerar derechos fundamentales.

Digitalización a la medida de las personas

  • En cuanto a la digitalización «humanizada» o centrada en las personas, la Declaración proclama, de forma expresa, que el desarrollo tecnológico debe respetar los derechos fundamentales, reforzar la democracia y fomentar una cultura de responsabilidad digital entre todos los actores. La persona se erige así en el centro de la arquitectura digital europea, con un modelo normativo orientado a garantizar que el progreso tecnológico sea compatible con la dignidad humana, los valores democráticos y el Estado de Derecho. Este principio encuentra una concreción directa en la primera meta de la Brújula Digital: asegurar que, para 2030, al menos el 80 % de los adultos en la UE dispongan de competencias digitales básicas, promoviendo así la participación efectiva en la vida económica y democrática.

Cohesión social digital

  • Por lo que respecta a la cohesión social, la Declaración establece que la tecnología debe actuar como instrumento de cohesión social, evitando la exclusión digital. En esta línea, la Unión promueve el acceso universal a internet, el desarrollo de competencias digitales inclusivas, la disponibilidad de servicios públicos digitales accesibles y la garantía de condiciones laborales justas en los entornos digitales.  También aquí, la Brújula Digital 2030 estableció como objetivo el acceso a conectividad de gigabit para todos los hogares europeos y la cobertura 5G en todas las zonas pobladas, como condición para garantizar la inclusión efectiva.

Libertad personal de elección y control sobre los propios datos

  • Un elemento muy importante en esta Declaración es el de la libertad de elección. El entorno digital debe configurarse como un espacio abierto y justo, en el que los ciudadanos puedan ejercer sus libertades sin ser objeto de manipulaciones ni de exposiciones a contenidos ilícitos o perjudiciales. Se subraya especialmente la necesidad de garantizar la transparencia, responsabilidad y control humano en el uso de tecnologías emergentes, como la inteligencia artificial.
  • Los ciudadanos y la participación son otro elemento fundamental. Según establece la Comisión Europea en esta Declaración, la transformación digital debe fortalecer, y no debilitar, la participación democrática y el control de sus datos por parte de los ciudadanos, condición indispensable para el ejercicio de la autonomía individual y la protección de la privacidad. En este mismo contexto, la Brújula abogó por el desarrollo de una identidad digital europea segura y voluntaria, que permita a todos los ciudadanos acceder a servicios esenciales y ejercer sus derechos con garantías de autenticidad, privacidad y seguridad.

Seguridad

  • Por lo que respecta a la seguridad, un entorno digital seguro es un requisito básico para la confianza en las tecnologías. En la Declaración, la UE se compromete a proteger a todos los usuarios —incluidos los menores, las personas mayores y los colectivos vulnerables— frente a riesgos como el fraude, el ciberacoso o la desinformación, y a promover un uso consciente, seguro y empoderado de las herramientas digitales en todos los tramos de edad. Este principio se alinea con el compromiso de la Brújula de crear un marco europeo común de ciberseguridad, y de impulsar una mayor resiliencia tecnológica en sectores críticos, a través de regulaciones como el Reglamento DORA.

Sostenibilidad

  • Por lo que respecta a la relación entre digitalización y sostenibilidad, el ecosistema digital europeo debe contribuir activamente a los objetivos de sostenibilidad ambiental. Para ello, se promueve el uso de dispositivos y servicios digitales energéticamente eficientes, el fomento de la economía circular, y la disponibilidad de información clara sobre el impacto ambiental de los productos tecnológicos, de forma que los usuarios puedan tomar decisiones informadas. La transición ecológica estaba también integrada transversalmente en la Brújula, que destaca el papel de la digitalización como habilitadora de eficiencia energética, gestión inteligente de recursos y monitorización ambiental, en línea con los compromisos del Pacto Verde Europeo.

IA y la interpretación de la Comisión Europea del concepto de Sistema de Inteligencia Artificial y del concepto de prácticas prohibidas

Posted on por

La Comisión Europea aclara el concepto de “sistema de inteligencia artificial” y detalla las prácticas prohibidas en el marco de la Ley de IA

El pasado 6 de febrero de 2025, la Comisión Europea publicó unas directrices interpretativas destinadas a clarificar el concepto de “sistema de inteligencia artificial” conforme al Reglamento (UE) 2024/1689, conocido como Ley de IA.  Completan, además, sus previas «directrices sobre practicas de IA prohibidas«.  Aunque no tienen carácter vinculante, estas directrices ofrecen una orientación valiosa tanto para proveedores y usuarios de sistemas de IA como para las autoridades competentes, ayudando a interpretar el artículo 3.1 del Reglamento, que define qué debe entenderse por un sistema de inteligencia artificial.

Amanece o atardece-

Según la Comisión, los elementos clave que permiten identificar un sistema como IA son:

  • Autonomía funcional: capacidad para operar sin supervisión humana constante.

  • Capacidad de inferencia: uso de modelos computacionales para generar resultados a partir de datos.

  • Adaptabilidad: posibilidad de ajustar su comportamiento con el tiempo.

  • Objetivo definido: el sistema persigue una finalidad concreta.

  • Procesamiento de datos: capacidad para utilizar datos estructurados o no estructurados.

  • Interacción con el entorno: recepción de entradas y producción de salidas.

  • Capacidad de aprendizaje: aunque no es imprescindible, se valora si el sistema puede aprender de la experiencia.

Estas características no se exigen de forma acumulativa, pero sirven como guía para determinar si un sistema encaja dentro del ámbito de aplicación del Reglamento.

Asimismo, el 4 de febrero, la Comisión publicó unas directrices específicas sobre las prácticas de IA consideradas de “riesgo inaceptable”, cuya prohibición se establece en el artículo 5 del Reglamento. Estas restricciones son de aplicación universal e inmediata, con independencia de la fecha de comercialización del sistema. Las prácticas prohibidas son las siguientes:

  1. Manipulación subliminal susceptible de causar daño físico o psicológico.
  2. Explotación de vulnerabilidades de personas por razón de edad, discapacidad o situación social.
  3. Clasificación social basada en el comportamiento, el estatus o características personales.
  4. Identificación biométrica remota en tiempo real en espacios públicos (con excepciones judiciales muy restringidas).
  5. Identificación biométrica remota posterior sin autorización judicial previa.
  6. Sistemas de puntuación de comportamiento aplicados por autoridades públicas.
  7. IA orientada a manipular el comportamiento humano de manera que cause perjuicio.
  8. Inferencia emocional en el contexto laboral o educativo.

El incumplimiento de estas prohibiciones puede dar lugar a sanciones administrativas significativas, conforme al régimen sancionador previsto por el Reglamento.

Las directrices se completan con un anexo de 136 páginas que incluye ejemplos prácticos, fundamentos jurídicos y criterios interpretativos para facilitar la aplicación de la norma por parte de los operadores jurídicos, empresas desarrolladoras y autoridades de supervisión.

Ver las Directrices y material complementario:

  • Directrices sobre la definición de “sistema de inteligencia artificial” emitidas el 6 de febrero de 2025, que ayudan a interpretar el concepto jurídico del artículo 3.1 del Reglamento (UE) 2024/1689 (Ley de IA)
  • Directrices sobre las prácticas prohibidas de IA (riesgo inaceptable), publicadas el 4 de febrero de 2025, que precisan las prohibiciones establecidas en el artículo 5 del mismo Reglamento
  • Ley para el impulso de la UE en Galicia 

Ciberseguridad en la Unión Europea: Estado Actual y Retos Prioritarios

Posted on por

La Comisión Europea  ha realizado una revisión de la situación de la ciberseguridad en la UE, incluyendo la ciberseguridad de las empresas (Comunicación COM(2025) 290)

 

Panorama general de la ciberseguridad en la Unión Europea

Compostela

Las políticas y acciones  ciberseguridad en la Unión Europea estás  cada vez más condicionada por el aumento de tensiones geopolíticas y económicas: Los ciberataques se han convertido en herramientas estratégicas para el espionaje, el sabotaje y las campañas de desinformación. Los ataques dirigidos contra los Estados miembros y las instituciones europeas son constantes, representando una amenaza grave y sostenida. El ransomware sigue siendo uno de los riesgos más dañinos, cuya evolución va más allá de simplemente encriptar datos, ya que ahora se combina con la exfiltración de información sensible y con extorsión.

Las pequeñas y medianas empresas son objetivos frecuentes de los hackers. Por ejemplo,  señala la  (Comunicación COM(2025) 290), que en 2024 el sector sanitario sufrió un impacto especialmente alto: el 71 % de los incidentes que afectaron la atención al paciente estuvieron relacionados con ransomware. Aunque estos ataques aumentaron un 11 % respecto al año anterior, la presión sobre grupos como LockBit ha fragmentado el panorama, surgiendo 46 nuevos grupos de ransomware en ese mismo año.

Los ataques a la cadena de suministro también han aumentado de forma notable, conforme a lo indicado por la Comisión Europea. Los ciberdelincuentes aprovechan las vulnerabilidades de proveedores externos, especialmente cuando estos dependen de tecnologías o proveedores considerados de riesgo o sujetos a legislaciones que obligan a reportar vulnerabilidades a sus autoridades antes que al público. Además, estos criminales pueden aprovecharse de la dependencia de infraestructuras críticas para generar interrupciones de sus servicios en momentos clave. Entre otros ejemplos, indica la Comisión que los ataques a dispositivos conectados al Internet de las Cosas (IoT) crecieron un 107 % en la primera mitad de 2024.

A nivel social, la percepción pública sobre la ciberseguridad está empeorando, con una disminución de la confianza en la capacidad propia para protegerse y un bajo conocimiento de los mecanismos de denuncia de incidentes. Además, la dependencia excesiva de proveedores tecnológicos únicos y no europeos plantea riesgos considerables para la economía, como demostró la interrupción del servicio de CrowdStrike en 2024.

Otro reto estructural importante al que apunta la mencionada Comunicación es el de la escasez de talento especializado. La Unión Europea enfrenta un déficit de aproximadamente 299.000 profesionales en ciberseguridad. Para abordar este problema, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) impulsa iniciativas como el Marco Europeo de Competencias en Ciberseguridad (ECSF), que busca facilitar la formación, certificación y movilidad profesional en este ámbito.

Empresas y su ciberseguridad

Camelia blanca

Explica la Comisión que en 2024, la gran mayoría de las empresas europeas con más de 10 empleados (el 92,8 %) implementaron al menos una medida básica de seguridad TIC. Sin embargo, solo un tercio de esas empresas contaba con documentación formal o realizaba evaluaciones de riesgos periódicas.

Las prácticas de ciberseguridad más habituales fueron el uso de contraseñas más o menos robustas (83,7 %) y la realización de copias de seguridad en ubicaciones separadas (79,2 %). Aun así, el 21,5 % de las empresas sufrió incidentes de seguridad con consecuencias negativas.

Conforme a la Comunicación, el presupuesto dedicado a la seguridad informática creció, llegando a representar un promedio del 9 % del total de TI, especialmente en sectores regulados por la Directiva NIS, donde la madurez en ciberseguridad es más avanzada. El sector de telecomunicaciones destaca por su nivel de preparación.

Los Estados miembros han incluido en sus Planes Nacionales unas 38 medidas para reforzar la ciberseguridad, con un presupuesto conjunto cercano a los 7.000 millones de euros, orientados a fortalecer la formación, crear centros especializados y mejorar las capacidades tanto públicas como privadas. Pero, según la Comisión Europea resulta preocupante la lenta y desigual adopción de tecnologías clave como IPv6, con una penetración superior al 40 % en países como Bélgica, Francia o Alemania, pero inferior al 10 % en otros como Croacia, Chipre o Malta. IPv6   (Internet Protocol version 6) es la versión más reciente del protocolo de Internet, que es el sistema que permite identificar y localizar dispositivos en una red —especialmente en Internet— y facilitar su comunicación

Marco legislativo y regulatorio europeo

Entre 2024 y 2025, la UE ha dado pasos importantes en su agenda legislativa y regulatoria de ciberseguridad.

  • La Directiva NIS2, respecto de la cual hay obligación de transposición en octubre de 2024, establece estándares estrictos para 18 sectores críticos.
  • También en octubre 2024, la Comisión Europea aprobó el primer acto delegado bajo NIS2, que detalla las medidas de gestión de riesgos y los criterios para la notificación de incidentes importantes.
  • El Cyber Resilience Act ,  o Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo de 23 de octubre de 2024 relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.o 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia)
     introduce requisitos de seguridad para productos digitales.
  • En cuanto al Cyber Solidarity Act, Reglamento (UE) 2025/38 del Parlamento Europeo y del Consejo de 19 de diciembre de 2024, por el que se establecen medidas destinadas a reforzar la solidaridad y las capacidades en la Unión a fin de detectar ciberamenazas e incidentes, prepararse y responder a ellos y por el que se modifica el Reglamento (UE) 2021/694 (Reglamento de Cibersolidaridad)
    estableció un sistema europeo de alerta en ciberseguridad, así como mecanismos de respuesta rápida ante incidentes, apoyados en inteligencia artificial.
  • Con el modificado Cybersecurity Act , Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad») ,se permite la certificación de servicios gestionados de seguridad.
  • Por otro lado, en enero de 2025 se adoptó un Plan de Acción para mejorar la ciberseguridad en hospitales y proveedores de salud.
  • En febrero de 2025 se propuso un nuevo Cybersecurity Blueprint que integra la cooperación civil-militar y mejora la capacidad de respuesta a crisis.

Por otro lado, en el ámbito de  las tecnologías emergentes, el  desarrollo de la Infraestructura Europea de Comunicación Cuántica (EuroQCI), dentro del programa IRIS 2 (2023-2027), busca ofrecer servicios altamente seguros para el intercambio de claves criptográficas y la protección de infraestructuras críticas. En 2024, el foco estuvo en el desarrollo de redes nacionales cuánticas y la previsión de conexiones transfronterizas en 2026. La computación cuántica trasformará o desplazará la criptografía actual, por lo que la Comisión Europea recomendó (ya en 2024) que los Estados miembros preparen hojas de ruta sincronizadas para la transición a criptografía post-cuántica, especialmente en administraciones públicas e infraestructuras críticas, con objetivos a corto y medio plazo.

En esta Comunicación, la Comisión aconseja a los Estados miembros:

..

  • Transponer la Directiva NIS2 y adoptar medidas adicionales para asegurar la implementación plena de los marcos europeos, incluyendo la caja de herramientas para seguridad 5G y restricciones a proveedores de alto riesgo.
  • Fortalecer la formación y las capacidades del personal en ciberseguridad, aprovechando recursos como el Marco Europeo de Competencias.
  • Elaborar, dentro del Grupo de Cooperación NIS, hojas de ruta para la transición sincronizada a criptografía post-cuántica en sectores públicos y críticos.
  • Avanzar en la migración de sistemas criptográficos actuales a tecnologías post-cuánticas, con metas parciales para 2030 y finalización prevista para 2035.

 

Estado de la Década Digital 2025: reforzando la soberanía tecnológica de la UE (con un pie en los mercados energéticos)

Posted on por

La Comisión Europea ha publicado recientemente la Comunicación COM(2025) 290 final, titulada «Estado de la Década Digital 2025: seguir construyendo la soberanía y el futuro digital de la UE».

Este documento, fechado el 16 de junio de 2025, constituye la segunda evaluación anual dentro del marco del Programa de la Década Digital, adoptado en 2022, que además de revisar y valorar lo ya realizado, establece metas políticas vinculantes para 2030 en materias clave como infraestructuras digitales, competencias, digitalización empresarial y servicios públicos en línea. Es decir, no solo examina el grado de cumplimiento de los compromisos nacionales adquiridos en 2024, sino que también sienta las bases para una revisión estructural del Programa en 2026.

Rododendros y azaleas

En esta Comunicación, la Comisión Europea explica que  el ritmo actual de desarrollo en materia de digitalización no será suficiente para cumplir las metas establecidas si no se intensifican los esfuerzos tanto a nivel nacional como europeo.

Y,  se deja entrever que la revisión de 2026 no solo ajustará los compromisos nacionales, sino que podría implicar una reforma del propio modelo de gobernanza digital y del marco de financiación, para hacerlo más realista y eficaz.

Para el ámbito académico, este proceso ofrece múltiples líneas de investigación: desde el control jurídico del cumplimiento de los compromisos digitales, hasta el análisis del impacto normativo del modelo europeo en otros contextos regionales.

 

  1. Contexto y propósito

Desde la aprobación del marco jurídico de la Década Digital ( mediante la Decisión (UE) 2022/2481), la UE ha tratado de construir una gobernanza digital común basada en la cooperación reforzada entre Estados miembros, la coordinación técnica mediante el Consejo de la Década Digital (Digital Decade Board) y un sistema de compromisos nacionales que obliga a los Estados a presentar hojas de ruta con medidas concretas, incluyendo inversiones.

Este segundo informe anual refleja la consolidación de este modelo de gobernanza, pero también reconoce ciertos límites estructurales, especialmente en materia de cohesión territorial y capacidad financiera para cumplir las metas establecidas para 2030.

  1. Resultados destacados (2025)

El documento destaca avances significativos en varios ámbitos. Se ha logrado una mayor conectividad de banda ancha, especialmente en zonas rurales, y han proliferado los hubs de innovación digital, cubriendo actualmente el 91 % del territorio europeo. La UE también ha mejorado sus capacidades en computación avanzada, inteligencia artificial (IA) y almacenamiento seguro de datos, con una infraestructura de supercomputación que ya opera en red en varios Estados miembros.

Sin embargo, persisten importantes lagunas en el despliegue completo del 5G autónomo y en la capacidad europea de diseñar y producir semiconductores estratégicos. También se constata un estancamiento en el desarrollo de competencias digitales básicas en buena parte de la población activa, así como una preocupante brecha de género en el acceso a empleos TIC. El informe subraya la necesidad urgente de integrar mejor estas dimensiones sociales y formativas para que la transición digital sea inclusiva y resiliente.

  1. Inversiones y coordinación

Uno de los aspectos más detallados del informe es el análisis financiero. Desde la entrada en vigor del programa, se han movilizado más de 288 000 millones de euros para proyectos relacionados con la transformación digital, de los cuales aproximadamente 205 000 millones proceden de fondos públicos nacionales o europeos. Esta cifra representa el 1,14 % del PIB de la UE, lo que indica un compromiso significativo. No obstante, la Comisión advierte que, para alcanzar los objetivos de 2030, serán necesarias inversiones adicionales de entre 150 000 y 380 000 millones de euros anuales, dependiendo del grado de avance técnico y de las decisiones estratégicas que se adopten en los próximos años.

Zarzas y lila

En cuanto a la coordinación entre los Estados miembros, el informe valora positivamente el papel del Consejo de la Década Digital y la reciente puesta en marcha del mecanismo denominado Best Practice Accelerator, que permite compartir soluciones efectivas entre países. Según la evaluación, los Estados han implementado aproximadamente un 57 % de las recomendaciones formuladas en el informe anterior (2024), destacando especialmente la mejora en aspectos relacionados con la IA confiable, la infraestructura de datos y el desarrollo de servicios públicos digitales interoperables.

  1. Brechas críticas

La Comunicación señala con claridad una serie de brechas estructurales que ponen en riesgo el cumplimiento de los objetivos fijados para 2030. En primer lugar, la fragmentación regulatoria y la disparidad en el grado de avance entre los Estados miembros sigue siendo considerable, lo que dificulta el establecimiento de un auténtico mercado digital europeo integrado. En segundo lugar, la conectividad 5G de alta calidad aún no cubre suficientemente zonas industriales clave ni redes de transporte estratégicas, lo que impacta en la competitividad tecnológica.

También,  identifica déficits en la disponibilidad de datos fiables sobre determinadas dimensiones del programa, como la digitalización de las pymes o la interoperabilidad de servicios administrativos. La Comisión anuncia que, de cara a 2026, se impulsará una revisión del anexo metodológico de la Decisión para mejorar la recolección y trazabilidad de datos, aspecto clave desde una perspectiva jurídico-institucional, en particular en lo relativo a la transparencia del gasto público digital.

 

5.- La interdependencia entre el futuro digital de la UE y la producción energética estable

El futuro digital de la Unión Europea está cada vez más condicionado por la necesidad de asegurar una producción energética estable y sostenible. En 2024, la demanda mundial de electricidad creció a un ritmo se superó el doble de la tasa anual promedio de la última década. Ello revela una presión creciente sobre los sistemas eléctricos. Esta tendencia se refleja especialmente en el sector de los centros de datos, cuyo consumo eléctrico está proyectado alcanzar aproximadamente 945 teravatios hora (TWh) en 2030 , lo que supone más del doble de la potencia actual. Para poner esta cifra en perspectiva, la previsión para los centros de datos europeos en 20230 equivale al consumo eléctrico total actual de Japón, una de las mayores economías del mundo.

El sector de los centros de datos no solo debe expandirse para dar soporte al crecimiento exponencial de la demanda digital, sino que tiene que adaptarse y evolucionar para atender las necesidades derivadas de la inteligencia artificial (IA), incluyendo la IA generativa y las futuras iteraciones tecnológicas que ya se están desarrollando.

Según las estimaciones, solo la demanda energética atribuible a la capacidad requerida para sostener estas tecnologías de IA podría representar hasta un 40 % del consumo total de energía de los centros de datos en 2030.

Esta explosión en la demanda energética presenta un desafío crítico: el aumento exponencial del consumo eléctrico está superando con rapidez la capacidad de desarrollo de fuentes de energía limpias y fiables, así como la infraestructura de redes eléctricas en toda la Unión Europea. Esta desalineación entre la demanda energética y la oferta sostenible se está convirtiendo en un obstáculo potencialmente significativo para la escalabilidad de tecnologías digitales clave. En concreto, amenaza con retrasar la plena capacidad de la UE para aprovechar las innovaciones basadas en IA y el manejo masivo de datos, elementos esenciales para mantener la competitividad económica y tecnológica en un mercado global cada vez más digitalizado.

Estas circunstancias ponen en evidencia la necesidad imperiosa de fortalecer la sincronización entre las transiciones verde y digital. La integración efectiva de ambas agendas es fundamental no solo para garantizar la seguridad energética, sino también para promover un desarrollo tecnológico sostenible que permita a la Unión Europea consolidarse como líder mundial en innovación digital, al mismo tiempo que cumple con sus compromisos climáticos y medioambientales.

  1. Perspectiva internacional

En un contexto geopolítico marcado por las tensiones tecnológicas y la carrera por el liderazgo en IA, la Comunicación insiste en la necesidad de fortalecer la dimensión internacional del programa. La UE ha comenzado a desplegar una estrategia digital exterior, alineada con los principios del Compás de Competitividad y el Plan Industrial del Pacto Verde. Esta estrategia se centra en promover estándares éticos en IA, la protección de los derechos digitales y la cooperación con socios clave en materia de ciberseguridad, conectividad y desarrollo de talento.

Asturica Augusta, by Ricardo Castellanos Blanco

En este sentido, la UE busca posicionarse como una “potencia normativa” (normative power) en el ámbito digital global, reforzando su capacidad de influencia a través de la exportación de modelos regulatorios, especialmente en protección de datos, ciberseguridad y gobernanza algorítmica.

 

 

 

 

Reforma de EMIR de 2024 (4) EMIR 3.0. Gobernanza, compensacion, sanciones

Posted on por

La actualización normativa conocida como EMIR REFIT o  EMIR 3.0, formalizada mediante el Reglamento (UE) 2024/2987, de la que se viene tratando en las recientes entradas, introduce cambios significativos en la regulación de los derivados en la Unión Europea con el objetivo fundamental de fortalecer la transparencia y mejorar la supervisión. Además, establece un régimen sancionador más riguroso.

 

Gobernanza

  • En el marco de la evolución regulatoria impulsada por el Reglamento (UE) n.º 648/2012, en su versión modificada por EMIR 3.0, las entidades que participan en los mercados de derivados —tanto contrapartes financieras como no financieras sujetas a obligaciones— deben establecer e implementar sistemas y controles internos robustos que les permitan asegurar la integridad, exactitud y puntualidad del reporte de sus actividades de compensación – con notificación para que quede constancia en los registros autorizados-. Este régimen incluye tanto los derivados compensados centralmente como aquellos que se liquidan bilateralmente, y se extiende a la obligación de mantener una vigilancia continua sobre su exposición neta y bruta a dichos instrumentos.

    En concreto, las entidades deben llevar a cabo un seguimiento constante de su volumen de negociación y de su posición agregada en derivados, con el objetivo de verificar el cumplimiento de los umbrales de compensación obligatoria establecidos por la normativa, así como de otros requisitos relacionados con la mitigación del riesgo, como las exigencias de márgenes iniciales y de variación, la gestión del riesgo de contraparte y las obligaciones de notificación. Además, deberán contar con procedimientos internos adecuados para detectar desviaciones, errores u omisiones en los reportes, y corregirlas de manera oportuna.

    El objetivo último de estas exigencias regulatorias no es meramente formal o administrativo. A través de la mejora en la calidad, consistencia y trazabilidad de los datos reportados, EMIR 3.0 pretende fortalecer la transparencia del mercado de derivados OTC y negociados en mercados organizados, reforzar la resiliencia del sistema financiero europeo y reducir los riesgos sistémicos que pueden derivarse de una acumulación opaca de posiciones apalancadas o de fallos en los mecanismos de compensación. Esta estrategia se enmarca en una política regulatoria más amplia orientada a proteger la estabilidad financiera y a garantizar que los mercados funcionen de manera ordenada, predecible y segura, incluso en contextos de elevada volatilidad o dislocación de liquidez


.

Compensación

  • Exigencia de cuenta activa a efectos de compensar derivados. EMIR 3.0  introduce el requisito de cuenta activa (Active Account Requirement, AAR), que obliga a estas entidades a mantener una cuenta operativa y representativa en una Contraparte Central (CCP) autorizada en la UE para la compensación de derivados de tipos de interés denominados en euros y zlotys, así como derivados de tipos de interés a corto plazo en euros. Este requisito está establecido en el Artículo 7a del Reglamento
  • El EMIR ya exigía a las entidades financieras (FC) y a las entidades no financieras (NFC) que compensaran sus derivados extrabursátiles (OTC) cuando sus posiciones medias superasen determinados umbrales de compensación. Definía estos derivados OTC como aquellos que no se negocian en un mercado regulado de la UE o en un centro de negociación equivalente situado fuera de la UE. Este mecanismo de cálculo generó dificultades en el sector de los derivados tras el Brexit, dado que los centros de negociación del Reino Unido dejaron de ser considerados mercados regulados de la UE, ante la ausencia de declaraciones de equivalencia. En este contexto, EMIR 3 responde a esta problemática al modificar la definición de derivados OTC, que pasan a considerarse aquelos no compensados en Cámaras de Compensación de activos commodity de la UE o equivalentes a la UE (ECC, European Commodity Clearing), en lugar de los que no se negocian en un centro de negociación de la UE. Esta redefinición se apoya en el reconocimiento, ya efectuado por la UE, de las ECC del Reino Unido como equivalentes a las europeas.
  • Exenciones a la obligación de compensar.– EMIR 3 ha introducido también modificaciones relevantes en el régimen de exenciones del EMIR, ampliando la exención existente para los planes de pensiones de la UE, de forma que ahora abarca también las operaciones realizadas con planes de pensiones de terceros países, siempre que estén autorizados conforme a su legislación nacional y hayan sido eximidos de la obligación de compensación en virtud de dicha legislación. Además, EMIR 3 ha incorporado una nueva exención respecto de la obligación de compensación para las transacciones de reducción de riesgo post-negociación que sean neutras desde el punto de vista del mercado. Igualmente, ha eximido de forma permanente del requisito de intercambio de margen inicial y margen de variación a las opciones sobre acciones individuales y a las opciones sobre índices bursátiles no compensadas. Por último, se ha reducido el alcance de la exención de notificación para las NFC en operaciones intragroup: la exención ya no se aplica a las denominadas NFC+ (esto es, aquellas NFC sujetas a la obligación de compensación).

Transparencia

  • Las entidades que negocian con derivados deben reportar semestralmente a sus autoridades competentes información detallada sobre sus actividades de compensación, incluyendo el volumen y la naturaleza de las operaciones realizadas, conforme al Artículo 7b. Este reporte busca proporcionar a las autoridades una visión clara de la exposición y actividad de las entidades en los mercados de derivados.

Régimen Sancionador

  • EMIR 3.0 establece un régimen sancionador más estricto para garantizar el cumplimiento de las nuevas obligaciones. Las autoridades nacionales competentes pueden imponer sanciones administrativas que incluyen multas de hasta el 3% del volumen de negocios diario promedio del año anterior por cada día de incumplimiento del requisito de cuenta activa. Estas sanciones están detalladas en el Artículo 12 del Reglamento.
  • Además, las entidades que no cumplan con las obligaciones de reporte o que proporcionen información inexacta pueden enfrentarse a sanciones adicionales, incluyendo la suspensión de actividades o la revocación de autorizaciones, dependiendo de la gravedad del incumplimiento.

Más: Traversmith// EMIR REFIT,