Propuesta EU de Reglamento de Resiliencia Digital (productos con elementos digitales)

Posted on por

Los productos de hardware y software son a menudo objeto de ciberataques que causan daños. Si el coste anual directo a nivel mundial es muy elevado,  hay que unirle además los costes para los usuarios y la sociedad. Un bajo nivel de ciberseguridad implica que las vulnerabilidades estén generalizadas, que las actualizaciones de seguridad sean dispuestas en modo incoherente e insuficiente, que los usuarios tengan dificultades graves para comprender y para diferenciar los productos con propiedades de ciberseguridad adecuadas, así como para utilizarlos de forma segura.

Sobre este trasfondo, la propuesta de la Comisión Europea de un Reglamento sobre Ciberresiliencia (CRA) tiene por objeto proteger a los consumidores y las empresas que compran o utilizan productos o programas informáticos con un componente digital. El Reglamento de Resiliencia de Productos con elementos digitales (CRA) o Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 propuesto en septiembre de 2022 había sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 . Se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, salvo exclusiones específicas como el software de código abierto o los servicios que ya están cubiertos por normas existentes, como es el caso de los dispositivos médicos, la aviación, los automóviles y servicios SaaS (en la nube), a menos que estos sirvan para la elaboración de productos con elementos digitales.

Primaveras en primavera

 

ANTECEDENTES 

Los  abundantes ciberataques y ciber-incidentes que se van conociendo ponen en evidencia el inadecuado nivel de ciberseguridad inherente a muchos productos, o las insuficientes actualizaciones de seguridad de tales productos y programas informáticos. También denotan la dificultad de los consumidores y las empresas para determinar qué productos son ciberseguros, o para configurarlos de forma que se garantice su ciberseguridad.

Aunque el ordenamiento de la UE ya se aplica a determinados productos con elementos digitales, la mayoría del hardware y software no están cubiertos actualmente por legislación de la UE que aborde su ciberseguridad. En particular, el actual marco jurídico de la UE no aborda la ciberseguridad de los programas informáticos no integrados, aun cuando muchos ataques se dirigen cada a sus vulnerabilidades y dan lugar a importantes costes sociales y económicos.El Reglamento de Resiliencia de Productos con elementos digitales (CRA) propuesto en septiembre de 2022 había sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 .

PROPUESTA DE REGLAMENTO DE RESILIENCIA (DE PRODUCTOS)

La propuesta introduce un marcado CE sobre ciberseguridad que ha de colocarse en todos los productos cubiertos y establece requisitos obligatorios de ciberseguridad para los fabricantes de productos:  Amplía la protección a lo largo de todo el ciclo de vida del producto. Incorpora normas armonizadas para comercializar productos o programas informáticos con un componente digital con requisitos de ciberseguridad para la planificación, el diseño, el desarrollo y el mantenimiento de tales productos. Impone obligaciones que deberán cumplirse en cada etapa de la cadena de valor y una obligación de diligencia durante todo el ciclo de vida de tales productos. La CRA persigue cuatro objetivos:

  1. garantizar que los fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de diseño y desarrollo y a lo largo de todo su ciclo de vida. Así, el fabricante es apto para comercializar sus productos si pone a disposición la lista de los diversos componentes de software de sus productos, emite rápidamente soluciones gratuitas en caso de nuevas vulnerabilidades, publica y detalla las vulnerabilidades que detecta y resuelve y verifica periódicamente la «solidez» de los productos que comercializa. Estas y otras actividades  deben llevarse a cabo durante toda la vida de un producto, o al menos durante cinco años a partir de su introducción en el mercado.;
  2. garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware y software;
  3. mejorar la transparencia de las características de seguridad de los productos con elementos digitales;
  4. permitir que las empresa y los consumidores utilicen estos productos de manera segura.

Se destacan aquí algunas definiciones extraídas de la Propuesta (artículo 3), y otros conceptos importantes:

  • Producto con elementos digitales. «cualquier producto consistente en programas informáticos o equipos informáticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de programas informáticos o equipos informáticos que se introduzcan en el mercado por separado». Nótese la que definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto pero introducido en el mercado por separado.
  • Operador económico: el fabricante, el representante autorizado, el importador, el distribuidor o cualquier otra persona física o jurídica sujeta a las obligaciones establecidas en el presente Reglamento»
  • Marcado CE. Un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I (del Reglamento) y otras normas de la Unión aplicables que armonicen las condiciones para la comercialización de productos y prevean su colocación
  • Norma armonizada, conforme a la definición del artículo 2, punto 1, letra c), del Reglamento (UE) n.º 1025/2012;

  • Organismo de evaluación de la conformidad, según se define en el artículo 2, punto 13, del Reglamento (UE) n.º 765/2008;

  • La definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto pero introducido en el mercado por separado.
  • Se considera que un producto es «seguro» si está diseñado y fabricado de manera que tenga un nivel de seguridad adecuado a los riesgos cibernéticos que conlleva su uso, no presenta vulnerabilidades conocidas en el momento de su venta, tiene una configuración segura por defecto, está protegido de conexiones ilícitas, protege los datos que recopila y si esta recopilación se limita a aquellos datos que sean necesarios para su funcionamiento

Conforme al CRA, la seguridad de los productos y software «normales» – sobre el 90% de los que circulan en el mercado- se puede confiar en una autoevaluación del fabricante, como ya ocurre con otros tipos de certificación del marcado CE. En relación con éstos productos, el fabricante podrá comercializarlos si realiza una autoevaluación, que también será preceptiva cuando se modifica el producto.  El 10 % restante de los productos  se divide los de la clase I, menos peligrosos; y los de la clase II, más peligrosos («productos críticos con elementos digitales»). Para los productos de la clase 1 las autocertificaciones básicas solo son admisibles si el fabricante ha seguido normas específicas de mercado y especificaciones de seguridad o certificaciones de ciberseguridad ya previstas por la UE. En caso contrario, necesita obtener la certificación del producto por parte de un organismo de certificación acreditado. La certificación externa es obligatoria para los productos de la clase II

Algunos productos afectados por el CRA están también sometidos al futuro Reglamento IA, que también clasifica a los productos conforme a su riesgo. Para evitar solapamientos y dudas, la CRA establece que -por regla general- los productos con elementos digitales clasificados también como «sistemas de IA de alto riesgo» con arreglo al Reglamento IA lo serán también para CRA, tendrán que cumplir el procedimiento de evaluación de conformidad establecido en el Reglamento IA,  y en el caso de los «productos digitales críticos» se les aplicarán también las normas de evaluación de la conformidad de CRA.Las sanciones por incumplimiento de CRA —en función de la gravedad de la infracción— pueden llegar a ascender a 15 millones EUR o al 2,5 % del volumen de negocios del ejercicio fiscal anterior.

Miño- Perbes. A Coruña

Más:

 

 

 

Aproximación a la responsabilidad civil (objetiva y subjetiva) y a la seguridad de la Inteligencia Artificial en la UE

Posted on por

Para adaptar el ordenamiento de la UE a los retos de la Inteligencia Artificial, IA, se han propuesto , por un lado, modificaciones o adaptaciones en el régimen  de la responsabilidad del productor por productos defectuosos (Propuesta de revisión de la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los daños causados por productos defectuosos (“Propuesta RRPD”) . Por otro, la armonización específica con una Propuesta de Directiva del Parlamento y del Consejo relativa a la adaptación de las normas sobre responsabilidad civil extracontractual a las normas sobre inteligencia artificial ( «Propuesta DIA») . Ambas iniciativas forman un paquete, y pese a que están relacionadas, regulan diferentes tipos de responsabilidad.

  • La Propuesta RRPD cubre la responsabilidad objetiva del productor por productos defectuosos, lo que da lugar a una indemnización por determinados tipos de daños.
  • La Propuesta DIA se ocupa de responsabilidad por culpa y su indemnización.
  • Adicionalmente, la Propuesta de Reglamento sobre IA incorpora exigencias de calidad y seguridad en los sistemas

A continuación se ofrece una  primera aproximación introductoria a las normas que se están gestando

ACTUALIZACIÓN DE LA DIRECTIVA DE RESPONSABILIDAD POR PRODUCTOS DEFECTUOSOS

 

Parterre

En la Propuesta RRDP se adaptan las normas de responsabilidad a los productos en la era digital. Se establece que toda la gama de productos defectuosos está cubierta por las normas revisadas, incluyendo el software, sistemas de IA o servicios digitales. Es decir, en caso de que un sistema de IA integrado en un producto (por ejemplo, robots, drones, o sistemas domésticos inteligentes) presente algún defecto, los perjudicados también podrán presentar una reclamación. Las nuevas normas permiten a los particulares reclamar una indemnización por los daños causados por un producto defectuoso, incluidas las lesiones corporales, los daños materiales o la pérdida de datos.

  • Se aplicará a la economía circular, a las empresas que modifiquen sustancialmente los productos, cuando estos causen daños a una persona, a menos que demuestren que el defecto se refiere a una parte no modificada del producto.
  • Exige a los fabricantes comunicar las pruebas que pueda necesitar el demandante para llevar a cabo a los tribunales y reduce la carga de prueba en casos complejos (i.e. casos relacionados con productos farmacéuticos o de IA). También suprime el umbral inferior y el límite máximo, de forma que el perjudicado pueda quedar totalmente indemnizado por los daños sufridos.
  • Los perjudicados podrán pedir la indemnización al representante del fabricante de un tercer país.  Concretamente, y en virtud del Reglamento sobre vigilancia del mercado y de la próxima revisión del Reglamento relativo a la seguridad general de los productos, los fabricantes no europeos designarán un responsable en la UE,  al que se podrá exigir la indemnización. (La Propuesta se comenta aquí)
RESPONSABILIDAD POR CULPA EN LAS OPERACIONES CON IA

 

Sanabria

La Propuesta DIA establece normas que deben incorporarse a los sistemas nacionales de responsabilidad por culpa de los Estados miembros con el fin de distribuir la carga de la prueba entre la persona potencialmente perjudicada que reclama cualquier tipo de daño cubierto por la legislación nacional ( por ejemplo, la vida, la salud, la propiedad y la intimidad) y los fabricantes de IA:

  • La Comisión Europea obliga a los demandados a revelar los elementos de prueba en determinadas circunstancias. En particular, la Comisión reconoce a los demandantes el derecho a solicitar la divulgación de pruebas tanto antes de los litigios como en el curso de los mismos. Y establece que el incumplimiento de una orden de aportar información permitirá, en los términos de la Propuesta DIA, presumir que no se actuó con suficiente diligencia, y da lugar a una inversión de la carga de la prueba. 
  • Se introduce una presunción iuris tantum de causalidad para los supuestos en los que el perjudicado demuestre el incumplimiento de una obligación, cuando sea razonablemente probable que exista un nexo causal con el rendimiento de la IA
  • La Propuesta DIA también prevé normas aplicables a la conservación y divulgación de pruebas en casos relacionados con sistemas de IA de alto riesgo (según se definen en la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial, Propuesta de Reglamento IA -RIA_).

 

FUTURO REGLAMENTO DE SEGURIDAD EN LA IA

 

London’s Eye

En cuanto al  RIA , que no se centra en  RC, tiene  por objeto prevenir daños y perjuicios en el sentido de que establece requisitos de seguridad de los sistemas de IA .

  • En el capítulo 1 del título III  RIA se establecen las normas de clasificación y se definen las dos categorías principales de sistemas de IA de alto riesgo: Por un lado los sistemas de IA diseñados para utilizarse como componentes de seguridad de productos sujetos a una evaluación de la conformidad ex ante realizada por terceros; y por otro, los otros sistemas de IA independientes con implicaciones relacionadas principalmente con los derechos fundamentales (relacionados en el anexo III, a modo de lista abierta de ciertos sistemas de IA cuyos riesgos ya se han materializado o es probable que lo hagan próximamente. Este listado podrá ser ampliado y adaptado en los términos que establece el RIA.
  • En el título II se establecen IA prohibidas. Se  distingue entre los usos de la IA que generan  riesgos inaceptables;  riesgos altos, y riesgos bajos o mínimos. La lista de prácticas prohibidas  abarca todos los sistemas de IA cuyo uso se considera inaceptable por ser contrario a los valores de la Unión. Engloban aquellas prácticas que tienen un gran potencial para manipular a las personas mediante técnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos vulnerables concretos para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios físicos o psicológicos a ellos o a otras personas.  La propuesta prohíbe también que las autoridades públicas realicen calificaciones sociales basadas en IA con fines generales. Y se prohíbe -con alguna excepción- el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público .
  • El título III contiene normas específicas para aquellos sistemas de IA que acarrean un alto riesgo para la salud y la seguridad o los derechos fundamentales de las personas físicas.
  • El título IV se centra en determinados sistemas de IA para tener en cuenta los riesgos específicos de manipulación que conllevan.
  • En el título VIII se definen las obligaciones de seguimiento y presentación de información de los proveedores de sistemas de IA en su seguimiento posterior a la comercialización y en la comunicación e investigación de incidentes y defectos de funcionamiento relacionados con la IA.
  • El título IX crea un marco para la elaboración de códigos de conducta, cuyo objetivo es fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan de manera voluntaria los requisitos que son obligatorios para los sistemas de IA de alto riesgo

 

Más. Blog Prof Alberto Tapia. 11.05. 2023

 

Investigación financiada por el proyecto nacional PID2021-127527OB-I00, Proyectos de Generación de Conocimiento 2021, Modalidades: Investigación No Orientada e Investigación Orientada

Revisión de las normas técnicas regulatorias europeas de divulgación de riesgos de sostenibilidad en la inversión. «No causar daño significativo»

Posted on por

El Reglamento (UE) 2019/2088 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, sobre la divulgación de información relativa a la sostenibilidad en el sector de los servicios financieros (SFDR) tiene como finalidad reducir las asimetrías de información sobre riesgos de sostenibilidad; fomentar los análisis de las incidencias adversas en materia de sostenibilidad, así como promover las características ambientales o sociales de la inversión.

Este Reglamento exige que los participantes en los mercados financieros y sus asesores financieros divulguen información a los inversores. Una información compuesta de contenidos y mecanismos regulados, sobre los que actualmente se están formulando posibles reformas. En efecto, la Comisión Europea,    ha encomendado al Comité Mixto de las Autoridades Europeas de Supervisión, las AES que examine y revise las Normas técnicas (NTR) del Reglamento Delegado (UE) 2022/1288 de la Comisión, de 6 de abril de 2022, por el que se completa el Reglamento (UE) 2019/2088 del Parlamento Europeo y del Consejo. Estas   NTR especifican los pormenores del contenido y de la presentación de la información en relación con el principio de «no causar daños significativos» formulado en el SFDR

El objetivo de la revisión es ampliar el marco de divulgación y abordar algunas cuestiones técnicas novedosas como la relación de los  indicadores de sostenibilidad con los principales impactos adversos, los documentos precontractuales y periódicos,  la divulgación de productos en sitios web para productos financieros, o la reducción de emisiones de gases de efecto invernadero (GEI).

  • La Comisión sugería adoptar como principio rector de las modificaciones de las NTR la reducción del riesgo de «falsa certidumbre» y de un posible «lavado o blanqueo», exigiendo pruebas bien fundamentadas de que las inversiones se ajustan a las medidas de salvaguardia. Y es que una correcta normalización tiene importantes ventajas para los inversores a la hora de evaluar o comparar productos y supervisar su progreso.
  • Por su parte, las AES han aprovechado el mandato de la Comisión  para reflexionar sobre los formularios y plantillas para divulgar la sostenibilidad de productos financieros, que han sido criticadas  por su excesiva extensión y por la complejidad de la información presentada. Un aspecto central del planteamiento de las AES es la necesidad de simplificar el lenguaje de las plantillas para que resulten más comprensibles para los pequeños inversores. Por esta razón, las AES han desarrollado un «tablero» específico de información clave para complementar la información más detallada de la información precontractual y periódica.
  • Las AES desean consultar a las partes interesadas sobre posibles cambios en el lenguaje, la presentación y la estructura: Documento de consulta de las AES;  En esta consulta se sugiere la posibilidad de incorporar a las NTR algunas de las recomendaciones de la Plataforma de Finanzas sostenibles 

España figura dentro de los 10 países de la UE con mayor número de solicitudes de patente europea, ocupando seis de los diez primeros puestos de principales solicitantes los centros de investigación y las universidades.  

Posted on por

Resulta interesante consultar el Índice de Patentes 2022, publicado por la Oficina Europea de Patentes (OEP)  el 28 de marzo de 2023, con los datos estadísticos correspondientes, en el que se recoge el número de solicitudes de patente europea presentadas en esta oficina en el pasado año (vid. aquí).

Las solicitudes en cifras

Fuente OEP

  • En 2022 se presentaron un total de 193.460 solicitudes, que representa un crecimiento del 2,5% respecto al año anterior y el dato más alto hasta la fecha, superando el record del año 2021, cuando se aumentó en un 4,7% el número de solicitudes respecto el 2020.

Ello viene a poner de manifiesto, como indica la Oficina Europea de Patentes, que las inversiones en investigación y desarrollo de las empresas continúan manteniéndose y que se sigue considerando relevante la innovación, pese a las incertidumbres económicas globales.

  • Como pone de relieve la Oficina Europea de Patentes, España figura entre los 20 primeros puestos del ranking de países con mayor número de solicitudes de patentes europeas, y entre los 10 primeros países de la UE. De las solicitudes presentadas en 2022  fueron 1.925 las solicitudes de patente europea de empresas e inventores de origen español, lo que representa el segundo dato más alto de su historia.

Fuente OEP

Campos tecnológicos

Como destaca la Oficina Europea de Patentes, las tecnologías sobre las que han recaído el mayor número de solicitudes en el ámbito europeo son la comunicación digital, la tecnología médica y la tecnología informática.

Junto a ello, en el sector de maquinaria, aparatos y energía eléctrica muestra el mayor crecimiento de solicitudes, un 18,2% más respecto al año 2021, ocupando el cuarto puesto de los campos tecnológicos, en buena medida, por el auge  producido en las tecnologías de baterías.

Refiriéndonos a  España, como deja constancia la Oficina Europea de Patentes, son las tecnologías sanitarias las que ocupan los tres primeros puestos de número de solicitudes de patente europea. El campo farmacéutico, aun habiendo sufrido un descenso del 4,2% con respecto al año 2021, continúa liderando el ranking, seguido de la tecnología médica y la biotecnología, que crecieron un 11,0% y un 9,3% respectivamente. Estos tres campos incluidos en la denominada tecnología sanitaria, suponen aproximadamente la cuarta parte del total de solicitudes de patentes europeas presentadas por España ante la OEP.

En cuanto a los  sectores con mayor crecimiento en número de solicitudes de patente europea procedentes de España, se hallan a la cabeza la tecnología medioambiental, con un crecimiento del 82,1% con respecto al año anterior, la informática, y los sistemas de medición, con crecimientos del 35,0% y 31,7%, respectivamente.

Principales solicitantes. El papel destacado de los centros de investigación y las universidades.

Fuente OEP

En cuanto a los solicitantes, el principal solicitante de patentes en la OEP continúa siéndo la empresa de telecomunicaciones china, Huawei, con 4.505 solicitudes, seguido por LG en el segundo puesto y Qualcomm, empresa estadounidense, que sube del séptimo puesto logrado en 2021, con 1.534 solicitudes de patente europea, al tercer puesto, casi duplicando su cifra de solicites (2.966 solicitudes).

Fuente OEP

Situándonos en España, la Oficina Europea de Patentes pone de relieve que los centros de investigación y las universidades son los desempeñan un papel fundamental en  la innovación,  ocupando seis de los diez primeros puestos de principales solicitantes (CSIC, Fundación Tecnalia Research & Innovation, Universitat Politècnica de València, Universidad Autónoma de Barcelona, Universidad del País Vasco y Universitat de Barcelona).

 

Regiones españolas con mayor número de solicitudes

En cuanto a las regiones españolas con mayor número de solicitudes, según la Oficina Europea de Patentes, las regiones con mayor número de solicitudes de patente europea son Cataluña, la Comunidad de Madrid y el País Vasco las que representan el 66% de las solicitudes de patentes presentadas ante la OEP desde España, con 604, 410 y 255 solicitudes, respectivamente.

De manera más detallada, puede verse el Índice de Patentes de la Oficina Europea de Patentes 2022

 

 

 

 

Datos personales y geolocalización. Acuerdos (judicializados) alcanzados por varios Estados de EEUU con Google

Posted on por

La transparencia sobre la forma en que las grandes sociedades tecnológicas como Google rastrean, comparten y utilizan los datos personales de sus usuarios es de vital importancia y no sólo en la Unión Europea. Cada vez es más evidente que en jurisdicciones como Estados Unidos se le confiere también relevancia singular, que se plantean acciones desde el propio sector público estatal. Aquí se da noticia de unos acuerdos que se han alcanzado con la tecnológica en relación con los datos personales relativos a la localización de los ciudadanos y empresas.

Los consumidores deben poder comprender cómo se utilizarán sus datos de localización antes de tomar la decisión consciente de utilizar servicios y productos. Sobre este sucinto razonamiento se presentaron demandas por parte de los fiscales contra Google. Algunas de las reclamaciones están concluyendo mediante acuerdos.

No Eume- Ponte do Eume

  • Así, un grupo de 5 fiscales generales de otros tantos Estados de EEUU alcanzaron acuerdo con Google el 30 marzo 2023. La noticia puede ampliarse aquí. En virtud de estos acuerdos, la tecnológica se comprometía a pagar 9 millones de dólares por engañar a los consumidores sobre sus prácticas de seguimiento de localización. De este modo se resolvieron las acusaciones contra Google por violar las leyes estatales de protección al consumidor al engañar a los consumidores sobre sus prácticas de seguimiento de ubicación desde al menos 2014. En concreto, Google causó confusión a los usuarios sobre dos configuraciones que controlan la recopilación de datos de la ubicación de los usuarios – «Historial de ubicaciones» y «Actividad web y de aplicaciones». También resultaba engañosa la medida en que los consumidores que utilizan productos y servicios de Google podían limitar el seguimiento de localización ajustando la configuración de su cuenta y dispositivo.
  • El acuerdo alcanzado obliga a Google a ser más transparente con los consumidores acerca de sus prácticas, lo que incluye mostrar información adicional a los usuarios cada vez que activen o desactiven un ajuste de la cuenta relacionado con la localización; garantizar que la información sobre el seguimiento de la ubicación esté visible (es decir, que no esté oculta); proporcionar a los usuarios información detallada sobre los tipos de datos de localización que Google recopila y cómo se utilizan. A tales efectos la tecnológica deberá habilitar una página web mejorada de «Tecnologías de localización». También tendrá que ofrecer a los usuarios la posibilidad de inhabilitar una configuración de cuenta relacionada con la ubicación y eliminar la información de ubicación almacenada por dicha configuración sin necesidad de navegar por páginas web independientes. Además, deberá eliminar automáticamente la información de localización recopilada una vez transcurridos 30 días. El acuerdo también limita el uso y la conservación por parte de Google de determinados tipos de información de localización y exige que los controles de las cuentas de Google sean más fáciles de usar.

Otros acuerdos anteriores y similares

 

Según la OMC el comercio crecerá un 1,7% en 2023, tras haber aumentado un 2,7% en 2022

Posted on por
  Según las previsiones de la OMC sobre el crecimiento del comercio mundial en 2023 tal crecimiento será bajo, pese a que se ha producido una ligera mejoría de las previsiones sobre el PIB desde el pasado otoño.

 

Foto by M.A. Díaz

Foto by M.A. Díaz

  Así lo ponen de manifiesto los economistas de la OMC en la previsión publicada recientemente, el 5 de abril (Vid. aquí un resumen de la misma). Este menor crecimiento consideran que responde a los efectos derivados de la guerra en Ucrania, una inflación persistentemente elevada, el endurecimiento de la política monetaria y la incertidumbre de los mercados financieros,  a resultas de lo cual se prevé que el volumen del comercio mundial de mercancías crezca un 1,7% este año, después de haber aumentado el 2,7% en 2022.

 

 

 

  •  Según las proyecciones del comercio que la OMC presenta en el nuevo informe de las “Perspectivas y estadísticas del comercio mundial”, se estima que el crecimiento del PIB real mundial a tipos de cambio del mercado será del 2,4% en 2023.  Señala así que las proyecciones del crecimiento tanto del comercio como de la producción serán inferiores a sus respectivos promedios del 2,6% y el 2,7% de los últimos 12 años.
  •  En relación con este tema, la Directora General de la OMC, Ngozi Okonjo-Iweala,  ha puesto de relieve lo siguiente:

   “El comercio sigue siendo una fuerza a favor de la resiliencia de la economía mundial, pero seguirá estando   sometido a la presión de factores externos en 2023. Por ese motivo, es aún más importante que los Gobiernos eviten la fragmentación del comercio y se abstengan de introducir obstáculos al comercio. Invertir en la cooperación multilateral en el ámbito del comercio, como hicieron los Miembros de la OMC en su Duodécima Conferencia Ministerial el pasado mes de junio, reforzaría el crecimiento económico y el nivel de vida de las personas a largo plazo.”

  •  El aumento del 2,7% del volumen del comercio mundial en 2022 fue inferior al 3,5% indicado en la previsión de octubre de la OMC, debido a que la disminución intertrimestral -más acusada de lo previsto en el cuarto trimestre- arrastró a la baja el crecimiento anual. Entre los factores que coadyuvaron a ese desplome se mencionan los elevados precios mundiales de los productos básicos, el endurecimiento de la política monetaria en respuesta a la inflación y los brotes de COVID-19 que afectaron negativamente a la producción y el comercio en China.
  • Se recuerda en el Informe que  el pasado año se registraron algunas de las tasas de inflación más elevadas desde la década de 1980 y,  junto a ello,  enormes oscilaciones de los precios de los productos básicos y una apreciación del dólar de los Estados Unidos.  En cuanto a los precios de los productos alimenticios , se hace hincapié en la enorme fluctuación de los mismos durante 2022, ya que  aumentaron un 19% entre enero y mayo, para  disminuir  después un 15% entre mayo y diciembre.
  • Con todo, el crecimiento del comercio el año pasado se situó dentro de la hipótesis de referencia de entre el 2,4% y el 3,0%  que figuraba

    Foto by M.A. Díaz

    en el informe inicial de la OMC de 2022 sobre la crisis en Ucrania y resultó estar muy por encima de la hipótesis más pesimista, que sostenía que el comercio crecería tan solo un 0,5% a medida que los países empezaran a dividirse en bloques comerciales competidores. En un estudio de seguimiento de la OMC publicado el mes pasado se dejó constancia de cómo habían podido las economías vulnerables compensar la falta de suministro de alimentos esenciales provocada por la guerra optando por productos y proveedores alternativos.

  • Diferenciando el valor de comercio mundial de mercancías y el de servicios comerciales, se señala en el informe que nos ocupa que  el valor del comercio mundial de mercancías aumentó un 12%, alcanzando 25,3 billones de dólares EE.UU. en 2022, en parte inflado por los precios elevados de los productos básicos en el mercado mundial. Por su parte, el valor del comercio mundial de servicios comerciales aumentó un 15% en 2022, alcanzando 6,8 billones de dólares EE.UU. Las exportaciones de servicios prestados digitalmente ascendieron a 3,82 billones de dólares EE.UU. ese mismo año.
  • Mientras tanto, la previsión de un aumento del comercio del 1,7% en 2023 es mayor que la estimación anterior del 1,0% del pasado mes de octubre. Un factor sumamente relevante, a este propósito,  es el de la relajación de las medidas de control de la pandemia de COVID-19 en China, que seguramente libere la demanda de bienes de consumo en el país, que supondrá dar un nuevo impulso al comercio internacional.

A este respecto, el Economista Jefe de la OMC, Ralph Ossa: “Los efectos persistentes de la COVID-19 y las crecientes tensiones geopolíticas fueron los principales factores que incidieron en el comercio y la producción en 2022, y es probable que en 2023 ocurra lo mismo. Las subidas de los tipos de interés en las economías avanzadas también han puesto de manifiesto deficiencias en los sistemas bancarios que, de no subsanarse, podrían dar lugar a una mayor inestabilidad financiera. Los Gobiernos y los organismos de reglamentación deben estar alerta frente a estos y otros riesgos financieros en los próximos meses.”

  • En cuanto al 2024, el crecimiento del comercio debería llegar al 3,2%, al tiempo que el PIB remonta al 2,6%, si bien esta estimación es más incierta de lo habitual, al existir importantes riesgos a la baja, incluidas las tensiones geopolíticas, las perturbaciones en el suministro de alimentos y la posibilidad de que el endurecimiento de la política monetaria dé lugar a consecuencias imprevistas.

Este Informe de la OMC “Perspectivas del comercio mundial y estadísticas” puede verse aquí

 

 

 

 

Régimen sancionador. Incumplimiento del deber de depósito de cuentas anuales de las sociedades

Posted on por

El Real Decreto 2/2021, de 12 de enero, por el que se aprueba el Reglamento de desarrollo de la Ley 22/2015 de Auditoría de Cuentas, refuerza, en su Disposición Adicional Undécima (DA 11ª), el régimen sancionador relacionado con el incumplimiento del deber de depósito anual de cuentas, (régimen sancionador del artículo 283 del la Ley de Sociedades de Capital). Contribuye a definir ese procedimiento sancionador y los criterios para la imposición de las sanciones correspondientes.

El artículo 279 de la Ley de Sociedades de Capital establece la obligación de los administradores de depositar en el Registro Mercantil las cuentas anuales de la sociedad, acompañada de la certificación de los acuerdos de la junta general de accionistas que aprueben dichas cuentas.

Azalea rosa

Los principales aspectos del régimen sancionador son los siguientes:

  1. Los registradores mercantiles del domicilio de la sociedad que incumpla a obligación de depósito de las cuentas anuales son los encargados de gestionar y tramitar los procedimientos sancionadores correspondientes.
  2. El plazo para resolver y notificar la resolución del procedimiento sancionador es de seis meses a partir de la adopción del acuerdo para iniciar el procedimiento. Ello sin perjuicio de la posibilidad de suspensión del mismo; así como de la posibilidad de prórrogas de acuerdo con la legislación administrativa aplicable.
  3. Los criterios para establecer el monto de la sanción en caso de incumplimiento son los siguientes:
    1. La sanción será de 0.5 por mil del monto total de los bienes, más 0.5 por mil de las ventas incluidas en la última declaración tributaria presentada ante las Autoridades Tributarias (la Última Declaración Tributaria),  que deberá ser aportada.
    2. En caso de no presentarse la Última Declaración Tributaria, la sanción se fijará en el 2% del capital social según los datos inscritos en el Registro Mercantil.
    3. En el caso de que se aporte la Última Declaración y el resultado de aplicar los porcentajes antes mencionados a la suma de las partidas de activos y ventas sea mayor al 2% del capital social, la sanción se calcula reduciendo el monto del capital social en 10%.

Según establece el artículo 283.1 del texto refundido de la Ley de Sociedades de Capital, la sanción pecuniaria debe ser de entre 1.200 y 60.000 € y, en el caso de que la sociedad tenga una facturación anual superior a 6 millones de euros. El límite máximo de la La multa por cada año de retraso aumentará en 300.000 €.

El Reglamento de 2004, sobre control de concentraciones, no se opone a que una concentración de empresas de dimensión no comunitaria pueda ser considerada por una autoridad de competencia de un Estado miembro como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE.

Posted on por

Así lo ha declarado la Sentencia del Tribunal de Justicia (Sala Segunda), de 16 de marzo de 2023 en el asunto C-449/21, Towercast.

Foto by M.A. Díaz

Foto by M.A. Díaz

Veamos los hechos que dieron lugar a la cuestión prejudicial planteada y a la Sentencia del Tribunal de Justicia:

    • A partir de 2005 se desplegó en Francia la plataforma de Televisión Digital Terrestre (TDT). El principal operador de la red de TDT es la sociedad TDF, que hasta entonces venía disfrutando de un monopolio estatal sobre el mercado francés de la teledifusión por vía hertziana.
    • Al liberalizarse el espacio audiovisual francés permitió el acceso al mercado de la difusión de otros operadores competidores de TDF, como Towercast e Itas. En 2016, TDF adquirió el control exclusivo de Itas mediante una operación de adquisición que quedaba por debajo de los umbrales fijados en el Reglamento comunitario de concentraciones  y en el Código de Comercio francés, razón por la cual no fue objeto de notificación ni de un control previo de la concentración. Por lo demás, dicha operación tampoco se sujetó al procedimiento de remisión del expediente a la Comisión previsto en el artículo 22 del Reglamento.
    • En opinión de Towercast la toma de control de Itas por TDF infringe la prohibición de abuso de posición dominante impuesta por el Derecho primario de la Unión (artículo 102 TFUE). Y ello porque, según Towercast, TDF obstaculiza la competencia en los mercados mayoristas, de producción y de distribución, de difusión de los servicios de TDT, habida cuenta que su posición ya de por sí dominante en esos mercados ha quedado significativamente reforzada.
    • La Autoridad de Competencia francesa desestimó la denuncia presentada por Towercast, de modo que ésta recurrió ante la cour d’appel de Paris (el Tribunal de Apelación de París) (Francia).
    •  El Tribunal de Apelación de París decidió suspender el procedimiento y plantear al Tribunal de Justicia la siguiente cuestión prejudicial:

«Debe interpretarse el artículo 21, apartado 1, del Reglamento [n.º 139/2004] en el sentido de que se opone a que una operación de concentración carente de dimensión comunitaria a efectos del artículo 1 del [Reglamento citado], que no alcanza los umbrales de control ex ante obligatorio establecidos por el Derecho nacional y que no ha dado lugar a un procedimiento de remisión a la Comisión Europea con arreglo al artículo 22 de dicho Reglamento, sea considerada por una autoridad nacional de competencia como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE, a la luz de la estructura de la competencia en un mercado de dimensión nacional?»

   Este órgano jurisdiccional lo que, en definitiva, plantea al Tribunal de Justicia es si una autoridad nacional de competencia puede examinar ulteriormente, a la vista de la prohibición de abuso de posición dominante establecida por el Derecho de la Unión, una operación de concentración llevada a cabo por una empresa que goza de posición dominante, cuando tal concentración se sitúa por debajo de los umbrales de volumen de negocios fijados en el Reglamento (CE) núm. 139/2004 del Consejo, de 20 de enero de 2004, sobre el control de las concentraciones entre empresas («Reglamento comunitario de concentraciones») (DO 2004, L 24, p. 1) y en la normativa nacional sobre control de concentraciones y, por tanto, no haya sido objeto de un control previo en este sentido.

Foto by M.A. Díaz

Foto by M.A. Díaz

 

En su Sentencia, el Tribunal de Justicia reconoce que una operación de concentración de dimensión no comunitaria puede ser objeto de control por las autoridades nacionales de defensa de la competencia y por los tribunales nacionales en virtud del efecto directo de la prohibición de abuso de posición dominante contemplada por el Derecho de la Unión, basándose en sus propias normas de procedimiento.

   El Tribunal de Justicia subraya, en este sentido, que, no obstante el principio de aplicación exclusiva del Reglamento a las operaciones de concentración, es el Derecho en materia de procedimiento de los Estados miembros el que se aplica a las concentraciones de dimensión no comunitaria.

    A este propósito, el Tribunal pone de relieve que el sistema de «ventanilla única» previsto por el Reglamento constituye un instrumento procedimental específico, encaminado a ser aplicado con carácter exclusivo a las concentraciones de empresas que impliquen modificaciones estructurales importantes cuyo efecto en el mercado alcance más allá de las fronteras nacionales de un Estado miembro. Con todo, añade, de ello no se desprende que el legislador de la Unión haya querido dejar sin objeto el control realizado a escala nacional de una operación de concentración basada en la prohibición de abuso de posición dominante impuesta por el Derecho primario.

    Así las cosas, manifiesta el Tribunal de Justicia que el control previo de las operaciones de dimensión comunitaria establecido por el Reglamento no excluye un control ulterior de las operaciones de concentración que no alcancen dicho umbral, toda vez que determinadas concentraciones que pueden quedar libres de un control previo, sin embargo pueden ser objeto de un control posterior.

   Precisamente, conforme a la Sentencia, habrá de tenerse en cuenta que al realizar el control ulterior basado en la prohibición del abuso de posición dominante, la autoridad nacional que conoce del asunto habrá de comprobar si el adquirente, con posición dominante en un mercado determinado y que ha adquirido el control de otra empresa en dicho mercado, ha obstaculizado sustancialmente la competencia en ese mercado, a resultas de ese comportamiento

  Considerado lo anterior, el Tribunal de Justicia declara:

“El artículo 21, apartado 1, del Reglamento (CE) n.º 139/2004 del Consejo, de 20 de enero de 2004, sobre el control de las concentraciones entre empresas, debe interpretarse en el sentido de que

no se opone a que una operación de concentración de empresas carente de dimensión comunitaria a efectos del artículo 1 de dicho Reglamento, que no alcanza los umbrales de control ex ante obligatorio previstos por el Derecho nacional y que no ha dado lugar a un procedimiento de remisión a la Comisión con arreglo al artículo 22 de dicho Reglamento, sea considerada por una autoridad de competencia de un Estado miembro como constitutiva de un abuso de posición dominante prohibido por el artículo 102 TFUE, a la luz de la estructura de la competencia en un mercado de dimensión nacional”.

La Sentencia completa puede verse aquí.

Geolocalización y protección de datos

Posted on por

Como es sabido, los datos de ubicación, pueden servir para inferir y conocer diversa información personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compañías de servicios digitales, con base en prácticas de geolocalización irrespetuosas con el ordenamiento.

Invierno. By M.A. Díaz

  • En noviembre 2022, un grupo de 40 Attorney General  (fiscales generales) de Minesota en EEUU  llegó a un acuerdo con Google LLC, a raíz de una sobre la presunta violación por parte de la compañía de las correspondientes normativas estatales de protección del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalización. Poco antes, se había alcanzado un acuerdo similar en Arizona. Según ha trascendido, Google habría trasmitido  la errónea impresión de que cuando los usuarios desactivaban los servicios de seguimiento de localización la compañía dejaría de recopilar datos de geolocalización sobre ellos. En realidad, Google seguía acumulando estos datos y luego los ofrecía a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de dólares, así como facilitar a los usuarios información adicional al activar o desactivar un determinado ajuste relacionado con la localización; y tiene que asegurar que la obtención de información clave sobre el seguimiento de la localización sea «insoslayable» para los usuarios , así como proporcionar información detallada sobre los tipos de datos de localización que recopila y utiliza. Más aquí
  • En la UE, dado que los sistemas de geolocalización capturan, almacenan y analizan la información geográfica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicación el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimación. Cuando el dispositivo sea propiedad de una persona física será necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalización se instale en un dispositivo responsabilidad de una empresa, se podrá legitimar por interés legítimo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recuérdese que el art. 20.3 del Estatuto de los Trabajadores permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constitución Española, en coherencia además con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibición del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopción de la medida. La noción de “fines” del art. 5.1.c RGPD, relativo al principio de minimización, excluye todo intento de aprovecharse de los datos de carácter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Además, los datos de localización se deben conservar exclusivamente durante el tiempo oportuno en función de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localización deberá restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma legítima en función de sus finalidades. Por consiguiente, los empresarios deberán adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducción de medidas de verificación e identificación.

 

Además de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalización estarán sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habrán de llevar un registro de las actividades de tratamiento que efectúen bajo su responsabilidad (art. 30 RGPD).
  2. El análisis de riesgos con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad. En este documento se van a recoger las medidas técnicas y organizativas de seguridad que garanticen la protección de los datos personales, y que demuestren la adecuación con el GDPR, teniendo en consideración los derechos e intereses legítimos de las personas físicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluación de impacto (DPIA) en el caso el tratamiento se realice a gran escala e implique la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público (art. 35.4 RGPD).

 Ver también 

En España, en enero de 2023, Audiencia Nacional anuló una decisión de la AEPD en la que sostuvo que la empresa Virgin telco había actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalización. El asunto había sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresión inglesa None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relación con los acuerdos de trasmisión de datos a EEUU). La ONG especializada en protección de datos recurrió una decisión de la AEPD. NOYB sostenía que la información sobre geolocalización es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en España solicitó acceder a sus datos de geolocalización. Le fueron denegados por lo que reclamó ante la AEPD. La agencia dio la razón a la empresa por lo que Noyb recurrió esa decisión en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en España están obligados a almacenar datos de geolocalización de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa información a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado sólo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anuló la decisión inicial de la AEPD. Ver aquí  la web de esta ONG

TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo

Posted on por

Springtime

El 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea («TJUE») dictó sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisión, el TJUE aclaró los criterios para evaluar si existe un conflicto de intereses entre la función de Delegado de Protección de Datos («DPD/DPO») y otras tareas o funciones asignadas al mismo DPD/DPO.

  • Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislación sobre protección de datos y las políticas adoptadas en cada organización, y actuar como punto de contacto con las autoridades de control.
  • Para desempeñar eficazmente estas tareas debe operar con independencia. A tales efectos, el artículo 38, apartado 3, del RGPD establece específicamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al más alto nivel directivo (recuérdese que el mismo artículo prohíbe despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).

En esta sentencia, el TJUE hizo hincapié en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecución de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en función de otro cargo que compatibilice) determinar los objetivos y métodos del tratamiento de datos personales.

Ahora bien, a  efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluación casuística, para determinar si existe un conflicto de intereses. En esta evaluación se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, así como las políticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este último aspecto, se planteó la cuestión de si esta prohibición se opone a una legislación nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal únicamente cuando exista una causa justificada, aunque el despido no esté relacionado con el ejercicio de las tareas del DPD/DPO.  Para llegar a esta conclusión, el Tribunal reiteró que los conceptos de «destituir» y «sancionar» deben interpretarse con arreglo al lenguaje corriente (véase también la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra «cualquier decisión que ponga fin a sus funciones, por la que se le coloque en una situación de desventaja o que constituya una sanción». El Tribunal confirmó que una medida de despido por parte de un empleador puede constituir una decisión de este tipo.

El Tribunal también reiteró que la prohibición de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relación con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo sólo cuando los motivos subyacentes a la decisión se refieren al desempeño de sus funciones. El Tribunal consideró que cada Estado miembro es libre de establecer disposiciones específicas más protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protección no menoscabe la consecución de los objetivos del RGPD. Tal menoscabo podría producirse, por ejemplo, cuando la legislación nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.

  • En cuanto al conflicto de intereses, el TJUE señala que el artículo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el artículo 39 del RGPD), pero impone la obligación de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
  • Sobre las circunstancias podrían suponer tal conflicto de intereses, el Tribunal respondió de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan «menoscabar la ejecución de las funciones desempeñadas por el DPD/DPO». Más concretamente, el Tribunal confirmó que se produciría un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinación de los objetivos y métodos de tratamiento de datos personales por su parte. Evidentemente, la determinación de objetivos o métodos de tratamiento de datos chocaría con el requisito de poder revisar de forma independiente dichos objetivos y métodos. La evaluación de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y políticas aplicables).

Fallo:

1)      El artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.

2)      El artículo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.

Más:

 

Sanción belga por conflicto entre DPD y compliance Officer

Posted on por

El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protección de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protección de datos («RGPD») relativos al nombramiento de un responsable de la protección de datos («DPD»).

Tras la notificación de una violación de datos, la APD belga inició una investigación sobre las prácticas de protección de datos y el programa de privacidad de la empresa y su investigación se centró en tres supuestas infracciones del RGPD,

Canaval_Omaña (León)

  1. el deber de cooperar con la APD;
  2. las obligaciones de rendición de cuentas (evaluaciones de riesgo y violación de datos); y
  3. los requisitos relacionados con el cargo de DPD de la sociedad.

En su decisión, la Sala de lo Contencioso de la APD belga solo confirmó la  infracción de los requisitos del DPD del RGPD (artículo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gestión de Riesgos y Auditoría a ese DPD, la sociedad había incumplido su obligación de garantizar que su DPD esté libre de cualquier conflicto de intereses.

En particular, la Sala de lo Contencioso de la APD belga indicó en su decisión que:

  • Si el DPO, como Jefe del departamento de Auditoría Interna, tiene poder de decisión con respecto al despido de empleados, no es compatible con la función del DPO.
  • El que los departamentos que dirige la persona que actúa como DPO de la sociedad cumplan una función independiente y consultiva en relación con los demás departamentos de la empresa y, como tales, no tengan poder de decisión con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
  • Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gestión de Riesgos y Auditoría, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.

En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la función de jefe de departamento de Cumplimiento Normativo, Gestión de Riesgos y Auditoría la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinación de funciones, existe una falta total de supervisión independiente del DPO en relación con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gestión de Riesgos y Auditoría. Además, la APD belga indica que, debido a su doble función, el DPO puede no ser capaz de ofrecer suficientes garantías a los empleados afectados en términos de confidencialidad y secreto.

En vista de lo anterior, la Sala de lo Contencioso ordenó modificar la situación e impuso una multa administrativa de 50.000 euros. (recurrible)

Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha