Dentro de la serie de actividades «Tomando Tierra, en el Comercio Justo» tendrá lugar el 17 de diciembre de 2021 una accióndel Grupo de trabajo de la Universidad de León por el Comercio Justo, y del Grupo de Innovación Docente DerMerUle
Se trata de una actividad obligatoria y sobre la que se planteará un ejercicio evaluable en la asignatura Derecho de los Negocios Internacionales del Grado en Comercio Internacional.
TITULO: RELACIONES COMERCIALES INTERNACIONALES EN EL MARCO DEL COMERCIO JUSTO
Se celebrará el 17.12.2021 (de las 16:00 a las 18:00) en el aula 3 de la Facultad de CC Económicas de la Universidad de León.
INTERVIENEN:
Javier Mateo Oyagüe, Profesor de la Universidad de León. Grupo de Trabajo por el Comercio Justo de la Universidad de León
Javier Maillo Martín, Área de Acción Social, Cooperación y Comunicación de la Cooperativa IDEAS (Cooperativa de Comercio Justo en España). Técnico de Educación para el Desarrollo y Cooperación Internacional.
Mónica González. Grupo Comercio Justo. Ciudad de León
María Angustias Díaz Gómez, Catedrática de Derecho Mercantil de la Universidad de León
Elicio Díaz Gómez, Profesor de Derecho Mercantil de la Universidad de León
Elena Pérez Carrillo, Profesora de la Universidad de León. Coordinadora del Grupo de Innovación Docente DerMerUle
Participarán además otros miembros del GID DerMerUle y del Grupo de Trabajo por el Comercio Justo de la Universidad de León. Se trata de una sesión orientada a alumnos del Grado de Derecho de los Negocios Internacionales (especialmente Derecho de los Negocios internacionales), e y , si el aforo lo permite, admite a otros interesados que acudan al aula. En esta actividad se pone en valor el Comercio Justo, en sus distintos marcos de desarrollo operativo, y se abordan cuestiones como la vinculación con productores, contratos, centros de distribución, marcaje de calidad, entre otros que constituyen el núcleo de las operaciones comerciales internacionales. Aquí, desde la perspectiva, objetivos, metodologías y mecánica del Comercio Justo. Pueden solicitar más información en eperc@unileon.es
Recordamos que la Universidad de León forma parte del Grupo de Universidades por el Comercio Justo, contexto en el que realiza tareas de sensibilización y también práctica la sostenibilidad en sus propias mesas de contratación de la propia Institución, y es un agente activo en este tipo de comercio
Fuera del marco del Pacto Climático de Glasgow, EE.UU., la UE y otros países pusieron en marcha el Compromiso Mundial sobre el Metano, comprometiéndose a reducir en un 30% las emisiones de metano para 2030 (desde los niveles de 2020). Más de 100 países han firmado ya el compromiso, cuyo objetivo es limitar este gas de efecto invernadero especialmente potente. Algunos de los principales emisores de metano del mundo (como China, Rusia y Australia) no se comprometieron con el compromiso, lo que puede limitar su influencia en las emisiones de metano a corto plazo.
190 países se comprometieron a abandonar la generación de electricidad a partir del carbón mediante la firma de la Declaración de Transición Mundial del Carbón a la Energía Limpia el 4 de noviembre de 2021. La declaración exige a los firmantes,
aumentar rápidamente la generación de energía limpia y las medidas de eficiencia energética,
dejar de conceder permisos y proporcionar apoyo a nuevos proyectos de generación de energía con carbón sin purificar
aumentar las tecnologías y las estrategias para lograr una transición que abandone la generación de energía con carbón sin purificar en la década de 2030 (o tan pronto como sea posible después) para las principales economías, y en la década de 2040 (o tan pronto como sea posible después) a nivel mundial.
Contribuciones nacionales (NDCs) de cara a Egipto 2022
Tras la firma del Pacto Climático de Glasgow, se animó a las partes a presentar contribuciones a nivel nacional lo antes posible antes de la COP27 (que tendrá lugar en Egipto en noviembre de 2022). Las NDCs describen los esfuerzos de para reducir las emisiones nacionales y adaptarse a los impactos del cambio climático. El plazo de actualización de las NDC es más corto que el previsto en el Acuerdo de París, que contemplaba una NDC nueva/actualizada cada cinco años.
Consejo de Normas Internacionales de Sostenibilidad IFRS-ISSB y otros marcos de reporting Por su parte, la Fundación de las Normas Internacionales de Información Financiera (NIIF) puso en marcha el Consejo de Normas Internacionales de Sostenibilidad (ISSB). El ISSB tiene la intención de emitir normas de información ambiental, social y de gobierno (ESG) reconocidas a nivel mundial para las sociedades en 2022, lo que ayudará a la fragmentación actual de un mercado que está viendo aumentar rápidamente la demanda. Ver también:
Ramo Leonés de Libros (Biblioteca Facultad CC. Ecónomicas y Empresariales. León. España). By M.A.D.
LA PANDEMIA MUNDIAL DE COVID-19 NO HA FRENADO EN 2020 LAS SOLICITUDES DE REGISTRO DE DERECHOS DE PROPIEDAD INDUSTRIAL
María Angustias Díaz Gómez
Catedrática de Derecho Mercantil
Grupo de Innovación Docente de Derecho Mercantil de la Universidad de León
(GID-DerMerUle)
Como pone de manifiesto la OMPI (aquí), el registro de marcas a nivel mundial se incrementó notablemente en 2020, pese a la recesión económica mundial, dando muestras -en sus propias palabras- de la resiliencia de la clase empresarial que en una grave situación sanitaria mundial ha sido capaz de introducir nuevos productos y servicios para hacer frente a la pandemia.
El Informe de la OMPI de indicadores mundiales de propiedad intelectual revela asimismo que la actividad de presentación de solicitudes de patentes y diseños industriales creció significativamente en 2020, lo que pone de relieve que en tiempos difíciles, en el contexto sanitario en que nos movemos, se incentiva la innovación humana en un intento de solucionar este problema acuciante y sus consecuencias, y se continúa confiando en la aptitud de los derechos de propiedad industrial para seguir creciendo en el desarrollo de la actividad empresarial.
Concretamente, los datos que arroja este Informe, que recopila datos de unas 150 autoridades nacionales y regionales, son los siguientes: la presentación de solicitudes de registro de aumentó un 13,7%, la de patentes un 1,6% y la de diseños un 2%. En palabras del director general de la OMPI, Daren Tang:
“El Informe de la OMPI de indicadores mundiales de propiedad intelectual de la OMPI confirma que, a pesar de la mayor contracción económica de las últimas décadas, las solicitudes de derechos de propiedad intelectual -un sólido indicador de la innovación- mostraron una notable capacidad de resistencia durante la pandemia”.
Estas cifras, añade Daren Tang contrastan con lo que sucedió en la crisis financiera de 2008-2009, a raíz de la cual la presentación de solicitudes de patentes y registro de marcas se redujo drásticamente.
En relación con el crecimiento particularmente fuerte de las solicitudes de registro de marcas en 2020, el Sr. Tang añade: “Eso muestra cómo las empresas de todo el mundo han introducido nuevos productos y servicios en el mercado, lo que se refleja en el crecimiento de dos dígitos de la actividad de presentación de solicitudes de registro de marcas en 2020, a pesar de la enorme crisis económica. Frente a esa difícil situación, las empresas están encontrando oportunidades para llegar a los clientes de nuevas maneras, abrir nuevos mercados y llevar sus ideas al mundo utilizando la propiedad intelectual.”
PATENTES:
Hacia la Navidad. By M.A.D
– La presentación de solicitudes de patente en todo el mundo volvió a aumentar en 2020 tras acusar el descenso en 2019 por primera vez en diez años, debido a la disminución de la actividad de presentación en China. En 2020, en la oficina de PI de China se registró nuevamente un crecimiento, con 1,5 millones de solicitudes de patente es decir, lo que representa 2,5 veces más que la cantidad recibida por la oficina de patentes del segundo país de la lista, los Estados Unidos de América (597.172 solicitudes). A la oficina de los Estados Unidos les siguieron las del Japón (288.472), la República de Corea (226.759) y la Oficina Europea de Patentes (180.346). En conjunto, estas cinco oficinas acumularon el 85,1% del total mundial.
– Según este Informe, entre las 10 principales oficinas, solo tres, las de China (+6,9%), la India (+5,9%) y la República de Corea (+3,6%), registraron un aumento de las solicitudes en 2020, mientras que las de Alemania (-7,9%) y el Japón (-6,3%) experimentaron un fuerte descenso.
– Las oficinas de Alemania (62.105), la India (56.771), la Federación de Rusia (34.984), el Canadá (34.565) y Australia (29.294) también figuran entre las 10 primeras oficinas.
– Las oficinas de Asia recibieron dos tercios (66,6%) de todas las solicitudes presentadas en todo el mundo en 2020, lo que supone un crecimiento considerable desde el 51,5% en 2010, debido seguramente al crecimiento en China, así como por el aumento de la actividad en materia de PI en otras partes de Asia. Las oficinas de América del Norte representan casi una quinta parte (19,3%) del total mundial, mientras que las de Europa representan algo más de una décima parte (10,9%). En conjunto, las oficinas de África, América Latina y el Caribe y Oceanía recibieron el 3,2% del total de solicitudes en 2020. Hace una década, alrededor de cinco de cada 10 solicitudes de derechos de PI procedían de Asia; el año pasado son casi 7 de cada 10 solicitudes de PI.
– Según el citado Informe, tomando como referencia las solicitudes presentadas en el extranjero, los solicitantes con sede en los EE.UU. fueron los que más solicitudes equivalentes presentaron en el extranjero (226.297) en 2020, seguidos por los del Japón (195.906), Alemania (99.791), China (96.268) y la República de Corea (80.133).
– Las patentes en vigor en todo el mundo aumentaron un 5,9% para alcanzar unos 15,9 millones en 2020. El mayor número de patentes en vigor se registró en los EE.UU. (3,3 millones), seguidos de China (3,1 millones), el Japón (2 millones) la República de Corea (1,1 millones) y Alemania (0,8 millones).
– China fue el país que registró el mayor aumento del número de patentes en vigor en 2020 (+14,5%), seguido de Alemania (+8,1%), EE.UU. (+6,9%) y la República de Corea (+4,6%). El Japón registró un pequeño descenso (-0,7%) en 2020.
– En 2019, último año del que se dispone de datos completos, la tecnología informática fue el campo tecnológico que figuró con mayor frecuencia en las solicitudes de patente publicadas en todo el mundo, con 284.146 solicitudes publicadas, seguidos de los campos de maquinaria eléctrica (210.429), medición (182.612), comunicación digital (155.011) y tecnología médica (154.706).
MARCAS
– A tenor del Informe, en 2020 se presentaron en todo el mundo 13,4 millones de solicitudes de registro de marcas relativas a 17,2 millones de clases. El número de clases especificadas en las solicitudes aumentó un 13,7% en 2020, que representa un porcentaje considerable y muestra que por undécimo año consecutivo el crecimiento persiste. Aunque a nivel mundial la pandemia de COVID-19 produjo una disminución importante de la actividad económica, llama la atención que la presentación de solicitudes de registro de marcas creció sustancialmente en 16 de las 20 principales oficinas. Concretamente, 11 oficinas registraron un crecimiento de dos dígitos en 2020, desde Alemania, un 12,2% hasta Indonesia, un 44,3%.
– En la Oficina de PI de China se observó el mayor volumen de actividad de presentación de solicitudes [1] con un cómputo de clases de aproximadamente 9,3 millones; le siguieron los Estados Unidos de América (870.306), la República Islámica del Irán (541.750), la Oficina de Propiedad Intelectual de la Unión Europea (438.511) y la Oficina de la India (424.583), que superó a la de Japón.
– Los datos vertidos en este Informe, respecto al 2020 muestran este panorama; el 71,8% de toda la actividad de presentación de solicitudes de registro de marcas está situado en Asia, frente al 41,3% de 2010. En Europa, sin embargo, el porcentaje se ha reducido de un 34,1% a un 14,7% en 2020. La solicitudes en América del Norte supusieron el 5,9% del total mundial, mientras que el porcentaje combinado de las oficinas situadas en África, América Latina y el Caribe, y Oceanía fue del 7,7% en 2020.
– El fuerte crecimiento de la actividad de presentación de solicitudes de registro de marcas a nivel mundial podría encontrar explicación, según el Informe, en el fuerte crecimiento de las solicitudes con respecto a productos y servicios relacionados con la publicidad y la gestión empresarial; productos farmacéuticos; y productos quirúrgicos, médicos y dentales. Destacable, asimismo, es que la proporción de solicitudes relacionadas con productos farmacéuticos aumentó del 4,1% en 2019 al 4,6% en 2020, mientras que la de productos quirúrgicos, médicos y dentales aumentó del 1,5% al 2,3%.
– Este patrón de crecimiento se advierte también a escala nacional en muchos países, en los que aumenta significativamente la presentación de solicitudes de registro de marcas. Así, el crecimiento del 15,4% en la actividad relativa a las marcas en la India vino impulsado por las solicitudes presentadas por residentes con respecto a productos farmacéuticos. A su vez, en la República Islámica del Irán, los productos farmacéuticos locales fueron el tercer sector que más contribuyó al aumento general del 19,1%, por detrás de la publicidad, la gestión empresarial y el transporte.
– Se estima que en 2020 había 64,4 millones de registros de marcas activos en todo el mundo, un 11,2% más que en 2019, de los cuales 30,2 millones corresponden solo a China, seguidos de 2,6 millones en los Estados Unidos y 2,4 millones en la India.
DISEÑOS INDUSTRIALES
– Siempre según el Informe, se estima que en 2020 se presentaron en todo el mundo 1,1 millones de solicitudes de registro de diseños industriales lo que representa un aumento interanual del 2%. La oficina de PI de China recibió solicitudes que contenían 770.362 diseños en 2020, lo que corresponde al 55,5% del total mundial. Le siguieron la EUIPO (113.196) la la República de Corea (70.821), los Estados Unidos de América (50.743) y Turquía (47.653).
– Entre las 10 principales oficinas, las del Reino Unido (+9,5%) y China (+8,3%) registraron un fuerte crecimiento de la actividad de presentación de solicitudes de registro de diseños en 2020, mientras que en las de Turquía (+3,1%), la República de Corea (+2,1%) y los Estados Unidos (+1,8%) el crecimiento es más modesto.
– Son las oficinas de Asia las que acumulan el 70,9% de las solicitudes de registro de diseños presentadas en todo el mundo en 2020, en comparación con el 60,8% en 2010. Europa ve reducido el porcentaje, pasando del 31,5% en 2010 al 22,1% en 2020. El porcentaje combinado de África, América Latina y el Caribe, América del Norte y Oceanía fue del 7% en 2020.
– El número total de diseños industriales en vigor en todo el mundo aumentó un 11% en 2020 y se situó en unos 4,8 millones. El mayor número de registros en vigor correspondió a China (2,2 millones), seguido de los Estados Unidos (371.870), la República de Corea (369.526), el Japón (263.307) y la EUIPO (251.692).
– Por sectores, son los diseños relacionados con el mobiliario y los artículos domésticos (18,4%) los que suman un mayor porcentaje de solicitudes presentadas en todo el mundo en 2020, seguidos por los textiles y los accesorios (14,1%), las herramientas y las máquinas (11,6%), la electricidad y la iluminación (9,8%) y la construcción (8,5%).
OBTENCIONES VEGETALES
– En 2020 se presentaron alrededor de 22.520 solicitudes de obtenciones vegetales en todo el mundo, aumentando así un 5,1% con respecto a 2019. La Oficina competente de China recibió 8.960 solicitudes de obtenciones vegetales en 2020, representando el 39,8% del total. A China le siguieron la Oficina Comunitaria de Variedades Vegetales de la Unión Europea (3.427) y las Oficinas pertinentes de los Estados Unidos. (1.432), Ucrania (1.260) y los Países Bajos (837).
– Entre las diez oficinas principales, seis oficinas experimentaron un crecimiento de las solicitudes entre 2019 y 2020, con un crecimiento de dos dígitos en Argentina (+18,8%) y China (+14,4%). También registraron un sólido crecimiento los Países Bajos (+9,1%), la República de Corea (+4,9%) y la Federación de Rusia (+4,6%).
INDICACIONES GEOGRÁFICAS
– Conforme a los datos recibidos de 92 administraciones nacionales y regionales en 2020 había unas 65.900 indicaciones geográficas protegidas. En Alemania (14.394) se observó el número más elevado de indicaciones geográficas en vigor; le siguieron China (8.476), Hungría (7,566) y la República Checa (6.180).
– Las indicaciones geográficas en vigor relativas a “vinos y bebidas espirituosas” constituyeron aproximadamente el 56,1% del total mundial en 2020; situándose a continuación los productos agrícolas y alimentarios (38,6%) y los productos de artesanía (3,6%).
A modo de valoración personal:
Sin duda, podemos considerar positivo que los datos que se desprenden de este Informe vengan a corroborar que, efectivamente, en contextos complejos, como los de la pandemia en la que estamos inmersos, el ser humano -sea cual sea el lugar donde le toca vivir- trata de ahondar en la capacidad innovadora que lleva dentro.
Llama la atención, además, que este crecimiento de las solicitudes de Derechos de Propiedad Industrial, en una época de disminución de la actividad económica se produzca, no sólo en el ámbito de las creaciones de fondo, tales como las patentes, resolviendo problemas de fondo, algunas de importancia fundamental, como las relativas al ámbito farmacéutico, sino también en el ámbito de las creaciones de forma, esforzándose en desplegar su aptitud creadora a nivel estético, vía diseño industrial, así como en la modalidad de los signos distintivos, destacadamente en las marcas, que vienen a ampliar el abanico de posibilidades diferenciadoras de sus empresas en el mercado.
Este Informe, finalmente, viene a reafirmar el gran valor que representan los Derechos de Propiedad Industrial en las empresas.
26ª Conferencia anual (COP) de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (CMNUCC)
Entre el 31 de octubre y el 12 de noviembre de 2021, Glasgow acogió la 26ª Conferencia anual de las Partes (COP26) de la Convención Marco de las Naciones Unidas sobre el Cambio Climático (CMNUCC). Además estuvieron presentes variadas ONG y países ajenos al marco formal de la ONU Los debates de esta Conferencia culminaron con la firma del «Pacto Climático de Glasgow», un conjunto de declaraciones, compromisos y decisiones de los países que son parte de la CMNUCC y del Acuerdo de París de 2015 sobre el cambio climático.
Riotinto
En el marco del Pacto Climático de Glasgow, los países acordaron centrarse en el objetivo de limitar el calentamiento global a «muy por debajo de 2°C» (aminoración en relación con el nivel de 2010) reconociendo que para alcanzarlo se requiere una reducción rápida, profunda y sostenida de las emisiones globales, incluida la reducción de las de CO2 en un 45% para 2030 . A pesar de que el Reino Unido declaró antes de la COP26 que quería «mantener vivo el objetivo de 1,5°C», la referencia a » se mantuvo en la versión final del Pacto Climático de Glasgow, en un ejemplo del compromiso necesario para lograr un consenso entre todas las partes.
Eliminación progresiva del carbón En el documento final se pide a los países que «aceleren los esfuerzos para reducir progresivamente la energía de carbón no purificada (refiriéndose a la energía de carbón que funciona sin tecnología de captura y almacenamiento de carbono). El Pacto Climático de Glasgow es la primera decisión de la COP que menciona específicamente un combustible fósil por su nombre.
Daños. Red de Santiago. Un conjunto de países en desarrollo, que ya han empezado a sufrir los impactos negativos del cambio climático, anunciaron que van a iniciar un «diálogo» en relación con la financiación de la Red de Santiago creada bajo los auspicios de NU en la COP 2019 para abordar los daños causados por el cambio climático. La Red de Santiago contribuirá a proporcionar «apoyo técnico» para afrontar las consecuencias del cambio climático pero, por el momento no se acordó un fondo independiente para compensar a los países en desarrollo afectados por los efectos del cambio climático.
Preparando Navidad
Financiación de la transición. En la Conferencia de Glasgow señaló que los países desarrollados habían incumplido su objetivo, fijado para 2020, de aportar 100.000 millones de dólares al año en financiación climática para ayudar a los países en desarrollo. Se volvió a asumir ese compromiso para los próximos cinco años. También se pidió a los países desarrollados que «al menos dupliquen» su apoyo a las acciones de adaptación al cambio climático para 2025 en relación con los niveles de 2019.
Artículo 6 del Acuerdo de Paris. La COP26 permitió llegar a un acuerdo sobre las reglas de los mercados internacionales de carbono en virtud del artículo 6 del Acuerdo de París. Los aspectos clave de este artículo y el acuerdo correspondiente son:
La confirmación de que es necesario realizar los ajustes correspondientes en las contribuciones nacionales determinadas de los países cuando las Reducciones de Emisiones emitidas en virtud del artículo 6.4 del Acuerdo de París (A6.4ER) se venden a otro país. Esta norma evita la doble contabilización de las reducciones de las emisiones de gases de efecto invernadero.
Las Reducciones Certificadas de Emisiones emitidas en 2013-2020 por el Mecanismo de Desarrollo Limpio del Protocolo de Kioto pueden utilizarse para cumplir las primeras Contribuciones Nacionales (NDC) de cada país.
La cuota de ingresos para las transacciones de A6.4ER se ha fijado en un 5%
El 2% de todos los A6.4ER emitidos se retirarán automáticamente para crear reducciones netas de las emisiones de gases de efecto invernadero
El Tribunal General de la Unión Europea, en sentencia de 10 de noviembre de 2021 (asunto T-353/20 AC Milan/EUIPO – InterES (ACM 1899 AC MILAN), confirma que el signo que representa el escudo del club de fútbol AC Milan no puede ser objeto de un registro internacional como marca en el que se designe a la Unión para artículos de papelería y de oficina.
Y ello porque según Tribunal: La elevada similitud fonética y la similitud visual media de este signo con la marca alemana denominativa anterior MILAN provoca en los consumidores un riesgo de confusión que impide que ambos puedan protegerse simultáneamente en la Unión.
– En febrero de 2017, el club de fútbol italiano AC Milan presentó ante la Oficina de Propiedad Intelectual de la Unión Europea (EUIPO) una solicitud de registro internacional en el que se designa a la Unión Europea, en virtud del Reglamento sobre la marca de la Unión Europea, para utilizarla en artículos de papelería y de oficina, compuesta por el signo figurativo aquí reproducido:
Como recuerda el Tribunal General, un registro internacional de una marca en el que se designa a la Unión Europea produce los mismos efectos que el registro de una marca de la Unión y queda sujeto al mismo procedimiento de oposición que las solicitudes de marca de la Unión.
– En abril de 2017, la empresa alemana InterES Handels- und Dienstleistungs Gesellschaft mbH & Co. KG formuló oposición contra el registro solicitado invocando la marca alemana denominativa MILAN, solicitada en 1984 y registrada en 1988, que designa productos idénticos o similares a los recogidos en la solicitud efectuada por AC Milan. La sociedad alemana considera que, dada la similitud de la marca solicitada con su marca anterior, el registro de la marca solicitada podría provocar riesgo de confusión en el público alemán.
– Mediante resolución de 14 de febrero de 2020, la EUIPO estimó la oposición en su totalidad. El AC Milan planteó recurso contra la resolución de la EUIPO ante el Tribunal General. Y justamente en la sentencia de la que ahora damos noticia, el Tribunal General desestima el recurso en su totalidad.
A tal fin, la argumentación del Tribunal General discurre de la forma siguiente:
Otoño. By M.A. Díaz
Primero, apoyándose en diversas pruebas como facturas y material publicitario redactados en alemán, manifiesta que la marca anterior ha sido objeto de uso efectivo en Alemania.
Segundo, deja constancia el Tribunal General de que la marca anterior ha sido utilizada en el mercado alemán, tanto en la forma originalmente registrada como en una forma modificada en la que se ha añadido un elemento gráfico que representa la cabeza de un ave, parecida a una rapaz. Matiza el Tribunal General que, aunque el elemento gráfico adicional no es insignificante, no cabe considerarlo como el elemento dominante ni es susceptible de alterar el carácter distintivo del elemento denominativo que constituye la marca anterior tal y como fue registradaab initio.
Tercero, el Tribunal General puntualiza que, aunque el elemento gráfico de la marca solicitada no será ignorado por el público pertinente, particularmente por su tamaño y posición, no recaerá en él la atención de dicho público. Antes bien, será el elemento denominativo integrado por las letras «ac» y por el término «milan» el que captará la atención del público pertinente toda vez que estos últimos aparecen reproducidos en mayúsculas y en caracteres estilizados, y porque el elemento que forman supera considerablemente en longitud al elemento gráfico. Así las cosas para el Tribunal General el elemento dominante en la marca solicitada es el elemento denominativo «ac milan».
Partiendo de esta idea, de la importancia del elemento denominativo, el Tribunal General sostiene que, si bien una parte del público pertinente puede percibir el elemento denominativo «ac milan» de la marca solicitada como una referencia a un club de fútbol de la ciudad de Milán (Italia), ambos signos en conflicto, que presentan una similitud elevada en el plano fonético, remiten particularmente a la ciudad de Milán.
Por lo demás, en cuanto a la alegación de AC Milan basada en el renombre de la marca solicitada en Alemania en relación con ese club de fútbol, el Tribunal General pone de relieve la no pertinencia de la misma. Y ello porque, como hace hincapié el Tribunal, al apreciar si la similitud de los productos designados por dos marcas es suficiente para suscitar riesgo de confusión, solo debe tenerse en cuenta el renombre de la marca anterior, y no el de la marca solicitada por el club de fútbol italiano AC Milan.
Tras esta argumentación, la conclusión a la que llega el Tribunal General es que las similitudes de los dos signos en conflicto son, en su conjunto, de grado suficiente para concluir que hay riesgo de confusión.
El texto íntegro de la sentencia puede verse aquí.
Sentencia del Tribunal General de la UE T-612/2017, El 10.11.2021, el TGUE confirma la sanción impuesta a Google por la Comisión Europea en el asunto de infracción del art 102 TFUE (abuso de posición dominante) en relación con sus servicios de comparación de compras
Resumen
Los motores de búsqueda general, como el de Google Search, son infraestructuras cuya razón de ser y principal interés radica en su capacidad para identificar resultados de fuentes externas (de terceros) y para mostrarlas. En este asunto dirimido por el Tribunal General de la UE (TGUE), se debate (y confirma una sanción previa) sobre el comportamiento del motor de Google en relación con el servicio de comparación de compras. La posición de dominio del gigante tecnológico no constituye , por si misma, un supuesto sancionable. Pero, el abuso de tal posición si lo es, conforme al Derecho de la UE.
Antecedentes
Perbes-
Google puso en marcha un servicio de comparación de compras en 2002, en un tiempo en el que también lo ofrecieron otros motores de búsqueda como Alta Vista, Yahoo, AskJeeves o America On Line (AOL) ya que hasta ese momento, los procesos utilizados por los motores de búsqueda no devolvían necesariamente los resultados más relevantes, cuando se les interrogaba específicamente por compras o por noticias. De este modo, Google comenzó a ofrecer resultados de comparación de compras, primero en Estados Unidos y dos años más tarde fue introduciendo el servicio, progresivamente, en varios países europeos.
Los resultados que obtenía el motor de google a tales efectos no procedían de la aplicación de sus algoritmos ordinarios de búsqueda general a la información presentada en los sitios web – que se extrae en primer lugar mediante un proceso conocido como «crawling» por el que Google explora el contenido de la web con el fin de indexarlo, luego se selecciona para añadirlo al «índice web» de Google y, por último, se clasifica por relevancia para mostrarlo en respuesta a la consulta usuario de Internet-. Aquí, lo que mostraba la pantalla era el resultado de la aplicación de algoritmos específicos a la información contenida en una base de datos alimentada por los propios vendedores, denominada «índice de productos». Estos resultados se ofrecían primero a través de una página de búsqueda especializada, llamada Froogle, que estaba separada de la página de búsqueda general del motor de búsqueda, y luego, a partir de 2003 en Estados Unidos y de 2005 en algunos países de Europa, también estaban disponibles en la página de búsqueda general del motor de búsqueda. En este último caso, los resultados de los productos se agrupaban en las páginas de resultados generales en lo que se denominaba Product OneBox por debajo o en paralelo a los anuncios que aparecían en la parte superior o en el lateral de la página y por encima de los resultados de la búsqueda general.
Si los internautas utilizaban la página de búsqueda general para introducir su consulta en relación con un producto, las respuestas devueltas por el motor de búsqueda incluían tanto las de la búsqueda especializada como las de la búsqueda general. Cuando los internautas hacían clic en el enlace del resultado de una Product OneBox, eran conducidos directamente a la página correspondiente del sitio web del vendedor que ofrecía el producto buscado, donde podían comprarlo. Además, un enlace especial en el Product OneBox dirigía a los usuarios a una página de resultados de Froogle con una selección más amplia de resultados de productos especializados. Sin embargo, Google explica que los resultados de Froogle nunca aparecieron en los resultados de la búsqueda general, mientras que los resultados de otros motores de búsqueda especializados en la comparación de compras sí lo hicieron.
A partir de 2007, cambió la forma en que desarrollaba los resultados de los productos, abandonó el nombre de Froogle en favor de Product Search para sus páginas de búsqueda y de resultados especializados en la comparación de compras. En cuanto a los resultados de productos mostrados desde la página de búsqueda general en las páginas de resultados generales, Google enriqueció el contenido de la Product OneBox añadiendo imágenes. También diversificó los posibles resultados de la acción de hacer clic en un enlace de resultado mostrado: dependiendo de las circunstancias, los internautas eran llevados, como ya ocurría antes, directamente a la página correspondiente del sitio web del vendedor del producto buscado, donde se podía comprar el producto, o eran dirigidos a la página de resultados especializada de Búsqueda de Productos para ver más ofertas del mismo producto. Con el tiempo, el Product Onebox pasó a llamarse Product Universal en diferentes países y su presentación se hizo más atractivo
Costa galega no outono
Tras las investigaciones realizadas y mediante decisión de 27 de junio de 2017, la Comisión Europea declaró que Google había abusado de su posición dominante en el mercado de los servicios de búsqueda general en línea, en 13 países del Espacio Económico Europeo. Concretamente, la conducta infractora consistía en haber favorecido a su propio servicio de comparación de productos, posicionándolo delante de sus competidores. En efecto, la Comisión Europea constató que los resultados de las búsquedas de productos realizadas
a través del motor de búsqueda de Google se posicionaban y mostraban de forma más llamativa cuando procedían del propio servicio de comparación de compras de Google que cuando procedían de servicios de comparación de compras de la competencia. Además, estos últimos aparecían en una presentación más simple (mostrados en forma de enlaces azules), eran desechados por los algoritmos, o situados en peores puestos con mayor probabilidad que los resultados de Google. En consecuencia, la Comisión impuso a Google una sanción pecuniaria de 2.424.495.000 euros, de los cuales 523.518.000 euros se imponían solidariamente con Alphabet, su sociedad matriz
Google y Alphabet interpusieron un recurso contra la Decisión de la Comisión, ante el Tribunal General Tribunal General de la Unión Europea. Y, éste órgano jurisdiccional, mediante sentencia de 10.11.2021, desestimó el recurso.
El caso ante el Tribunal General de la UE
Por una parte, el Tribunal General considera que Google violó el Derecho de la Libre Competencia al favorecer su propio servicio de comparación de compras en sus páginas de resultados generales, mediante una representación mas atractiva y completa; y mediante un posicionamiento más favorable, al tiempo que, a través de los algoritmos de clasificación utilizados se relegan los resultados de los servicios de comparación. En su conclusión, el TGUE tiene en cuenta una serie de circunstancias concurrentes en el asunto , comenzando por la importancia del tráfico que genera el motor de búsqueda de Google para los los servicios de comparación de compras; continuando por el comportamiento de los usuarios de estos motores, que suelen concentrarse en los primeros resultados; y además la gran proporción de tráfico efectivamente desviado en un servicio de búsqueda que no puede ser reemplazado fácilmente. Estos hechos y circunstancias, y no la mera posición de dominio que , como es sabido, no basta para fundamentar una decisión de infracción de competencia, son los que subyacen en la sanción conformada por le TGUE.
El TGUE señala que las características de la página de resultados de comparación coinciden con las de un servicio esencial, desde la perspectiva de la competencia, en la medida en que actualmente no existe un sustituto que permita intercambiarla de forma económicamente viable. En cuanto al comportamiento infractor de la operadora se debe, en esencia, al trato discriminatorio que confiere con sus servicios. Así, aunque los resultados de los servicios de comparación de compras competidores fueran más relevantes, no recibían el mismo trato de posicionamiento ni de visualización que los resultados del servicio de compras comparativas de Google. E, incluso aunque Google permitió, a partir de cierto momento, a los servicios de comparación de compras de la competencia mejorar la calidad de la de sus resultados apareciendo en sus «cajas», esta mejora se realizó a cambio de una remuneración es decir, a cambio de un cambio de modelo de negocio de los competidores, que dejaban de ser competidores directos de Google para convertirse en sus clientes.
Catedral de León by M.A. Díaz
También recuerda el TGUE que existe un existe abuso de posición dominante cuando la empresa dominante, mediante el recurso a métodos diferentes de los que rigen la competencia normal, obstaculiza el mantenimiento del grado de competencia en el mercado o el crecimiento de dicha competencia, o simplemente mediante comportamientos susceptibles de restringir la competencia. Y, concretamente en este asunto, los efectos reales de la conducta en cuestión sobre el tráfico de los servicios de comparación de compras
de las páginas de resultados generales de Google, la Comisión disponía de una base suficiente para averiguar que ese tráfico representaba una parte importante de su tráfico total y no podía ser efectivamente sustituida por otras fuentes de tráfico, como la publicidad (AdWords) o las aplicaciones móviles, de modo que el resultado potencial era la desaparición de los servicios de comparación de precios, limitando además la innovación y las opciones para los consumidores, rasgos que en conjunto son característicos de los efectos de las infracciones de derecho de la competencia.
La Directiva relativa a los mercados de instrumentos financieros (Directiva 2014/65/UE, MiFID II) excluye de su ámbito de aplicación determinadas entidades. Entre ellas, a las que negocian por cuenta propia con derivados sobre materias primas o con derechos de emisión o derivados de derechos de emisión, o que prestan a clientes servicios de inversión en tales instrumentos, siempre que se trate de una actividad auxiliar con respecto a su actividad principal, considerada a nivel de grupo, y siempre que la actividad principal no sea la prestación de servicios de inversión en el sentido de la MiFID II o la realización de actividades bancarias según la Directiva 2013/36/UE. En bastantes casos por tanto, la determinación como auxiliar debe realizarse conforme a parámetro de medición de las actividades de todo un grupo.
El Reglamento Delegado (UE) 2021/1833 de la Comisión, de 14 de julio de 2021, por el que se completa la Directiva 2014/65/UE del Parlamento Europeo y del Consejo (MIFID II)mantiene la idea, coherente con el marco MIFID II, de que la evaluación debe realizarse a nivel de grupo. Los cambios principales identificados son la supresión de la prueba del volumen global del mercado contenida en el artículo 2 del Reglamento Delegado 2017/592 y la introducción de una nueva prueba consistente en un umbral de minimis. No se altera la metodología de cálculo establecida en lo que respecta a la prueba de negociación y la prueba del capital empleado, tal como se describe en el Reglamento Delegado 2017/592 excepto en lo relativo, para estas dos pruebas, al umbral correspondiente.
El Reglamento Delegado (UE) 2021/1833 fue elaborado bajo la dirección de la Dirección General de Estabilidad Financiera, Servicios Financieros y Unión de los Mercados de Capitales, de la Comisión Europea, y entra en vigor a los veinte días de su publicación, derogando al Reglamento Delegado 2017/592
El punto de partida de esta norma es que, a los efectos de MIFID II, la evaluación de si las personas y entidades negocian por cuenta propia de servicios de inversión o realizan una actividad auxiliar de su actividad principal, debe realizarse a nivel de grupo, entendido como la entidad matriz y todas sus filiales, tanto las situadas en la UE como en terceros países, independientemente de que el grupo tenga su sede dentro o fuera de la Unión.
La evaluación que sustenta dicha distinción se basa en tres pruebas alternativas denominadas «pruebas de actividad auxiliar», que deben realizarse sobre la actividad de negociación del grupo y sirven para determinar si cada una de las persona jurídicas del mismo negocian por cuenta propia prestando servicios de inversión en la UE sobre : 1) derivados sobre materias primas, 2) derechos de emisión o 3) derivados de derechos de emisión, dentro de la actividad principal del grupo, de tal modo que o bien dichas actividades no puedan considerarse auxiliares a nivel de grupo obligando a las entidades que las realizan a obtener una autorización como empresa de servicios de inversión. O si, en cambio, si la actividad de negociación analizada de esa entidad debe calificarse de auxiliar conforme a las pruebas que presenta este Reglamento Delegado, en cuyo caso no sería necesaria la mencionada autorización.
Lar 3 posibles pruebas, alternativas toman en consideración las diferentes realidades económicas subyacentes de los distintos grupos, por lo que la Comisión Europea las considera igualmente aptas, alternativas e independientes para determinar si la actividad de negociación es auxiliar de la actividad principal de un grupo específico.
PRUEBA DE MINIMIS.– Con arreglo a la primera de las pruebas alternativas, la actividad será auxiliar de la actividad principal si su exposición nocional neta pendiente en derivados sobre materias primas o derechos de emisión o sus derivados con liquidación en efectivo negociados en la UE, excluidos los negociados en un centro de negociación, es inferior a un umbral anual de 3.000 millones €.
PRUEBA DE NEGOCIACIÓN. Conforme a esta alternativa, el volumen de la actividad de negociación de una persona jurídica se compara con la actividad global de negociación del grupo en la UE. Para determinar el volumen de la actividad de negociación de la persona jurídica debe deducirse del volumen global de su actividad de negociación la suma del volumen de las operaciones realizadas a efectos de la gestión intragrupo de la liquidez o de riesgos, la reducción susceptible de medición objetiva de los riesgos vinculados directamente a la actividad comercial o de financiación de la tesorería o el cumplimiento de obligaciones de aportación de liquidez en un centro de negociación («operaciones privilegiadas»). Se deducen de la actividad de negociación los contratos en los que esa entidad del grupo que sea parte en ellos esté autorizada de conformidad con la Directiva 2014/65/UE (MIFID II) o conforme a la Directiva 2013/36/UE, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión. La actividad global de negociación del grupo en la UE comprende las operaciones privilegiadas y los contratos en los que la persona del grupo que sea parte en ellos esté autorizada de conformidad con una u otra directivas.
PRUEBA DE CAPITAL. La tercera prueba alternativa se centra en el capital empleado en la actividad analizada. Con ella se intenta tener en cuenta la realidad económica, especialmente en grupos heterogéneos como los grupos que realizan inversiones de capital significativas por ejemplo en infraestructuras e instalaciones de producción y transporte, así como otras inversiones de difícil cobertura en los mercados financieros.
Estas pruebas sirven para determinar el volumen de las actividades con derivados sobre materias primas, derechos de emisión y sus derivados en la Unión que las entidades pueden llevar a cabo sin autorización, en el seno de un mismo grupo, debido al carácter auxiliar de esas actividades en relación con la actividad principal del grupo. Y debe tenerse en cuenta que a fin de evaluar el volumen de las actividades genuinamente auxiliares llevadas a cabo por los miembros del grupo ( que están no autorizados expresamente en el sistema MIFID II) procede calcular el volumen de las actividades auxiliares del grupo utilizando criterios que excluyan , conforme a las pruebas alternativas, la actividad realizada por los miembros del grupo que estén autorizados. El cálculo de las pruebas alternativas sigue basándose en un período de tres años establecido en el Reglamento Delegado 2017/592, periodo especialmente necesario en el caso de los grupos no financieros que habitualmente no disponen de conjuntos completos y representativos de datos anuales sobre su actividad principal y actividades auxiliares. Las pruebas permiten a las entidades evaluar si rebasan los umbrales anualmente calculando, sobre datos de una media simple de tres años. Ello, sin perjuicio del derecho de la autoridad competente a solicitar en cualquier momento a cada entidad que notifique en qué se ha basado para determinar que su actividad es auxiliar de su actividad principal. Para hacer frente a la inseguridad jurídica que se les plantearía a los grupos no financieros que no disponen de un conjunto completo y representativo de datos sobre su actividad principal y sus actividades auxiliares, se prevé también el mantenimiento del período de cálculo de tres años
TOMANDO TIERRA en “Estudio e investigación en el extranjero en tiempos de COVID. Experiencias entre LEÓN y el PACÍFICO SUR”// Studying and researching abroad in times of covid-19: experiences between León (España) and the South Pacific
En el marco de la serie de actividades «Tomando Tierra» del GID DerMerUle intervendrá la Profesora SUNITA BOIS SINGH de la Universidad del Pacífico Sur y Queensland Australia en el Seminario del Grupo de Innovación Docente DerMerUle.– Área de Derecho Mercantil, Viernes 29.10.2021, 11:30- 13:00h y posterior presentacióna estudiantesen el marco de la asignatura INTERNATIONAL BUSINESS LAW. ( actividad abierta a interesados que acudan al aula indicada). octubre 2021_ CARTEL Seminario Internacional Sunita Bois 2021 Seminario y DNNII
El Delegado de Protección de Datos en el marco del REPD y la LOPDGDD
El Delegado de Protección de Datos es una figura, ya corporativa (aunque cabe su externalización) a la que corresponden funciones fundamentales de información, asesoramiento y supervisión de las políticas, estrategias y actividades relativas a la protección de datos en las organizaciones.
Sus funciones están especificadas en el artículo 39 del Reglamento Europeo de Protección de datos ( RGPD) y en los arts 34 y siguientes de la Ley Orgánica 3/2018 (LOPDGDD). Y, con más detalle en España en el documento de Directrices para los delegados de protección de datos, emitido por la Agencia Española de Protección de Datos.
El análisis de las funciones del delegado de protección de datos debe de partir necesariamente del contenido de lo dispuesto en el artículo 39 del RGPD. Y decimos, que “debe de partir” por cuanto que este precepto regula las funciones que, como mínimo tendrá atribuidas:
Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
Supervisar el cumplimiento de lo dispuesto en el Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Cooperar con la autoridad de control.
Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
Además debe ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35, RGPD. Y, conforme al apartado 4 del artículo 36 de la LOPDGDD, cuando el DPD aprecie la existencia de una vulneración relevante en materia de protección de datos, lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento
En concordancia con el RGPD, en España el artículo 36 de la LOPDGDD, especifica que este DPD actuará como interlocutor del responsable o encargado del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos, y podrá inspeccionar los procedimientos y emitir recomendaciones en el ámbito de sus competencias. Tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo, el responsable o el encargado del tratamiento, oponer a este acceso la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.
Debe subrayarse que el DPD está obligado a mantener el secreto, la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros. Y, desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento. Además, el artículo 37 de la LOPDGDD establece la función del DPD en relación con las reclamaciones presentadas por afectados. En efecto, recuérdese que en el ámbito de la protección de datos, el afectado podrá, con carácter previo a la presentación de una reclamación, dirigirse al DPD de la entidad contra la que se reclame, que comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación. Cuando el afectado presente una reclamación directamente ante la AEPD o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al DPD a fin de que este responda en el plazo de un mes. En caso de que el DPD no comunique la respuesta dada a la reclamación, la autoridad competente continuará el procedimiento.
La amplitud de funciones que abarcan todo lo relativo a la política de datos, su diseño, puesta en práctica y consecuencias se acompaña de la prohibición por parte del RGPD de que se le impongan sanciones derivads del desempeño de tales funciones como DPD. Y, debe tenerse en cuenta que cuando hablamos de sanciones no sólo nos referimos a sanciones directas, pues se le podría sancionar de manera indirecta , igualmente prohibidas, y que pueden consistir desde en no tenerle en cuenta a efectos de promoción profesional, denegarle prestaciones que otros empleados sí reciben, etc. No sólo están prohibidas las sanciones pues la simple amenaza de penalizar al DPD por motivos relacionados con el desarrollo de sus actividades está prohibida. Únicamente podrá ser sancionado e incluso destituido legítimamente por motivos distintos del desempeño de tales funciones.
El lugar del DPD dentro de la entidad responsable de datos.
Tal y como establece el artículo 38 del RGPD, el desempeño por parte del DPD de las funciones mencionadas en el Art. 39será respaldado por el responsable y el por encargado del tratamiento, quienes deberán de facilitarle los recursos necesarios para el desempeño de dichas funciones, incluyendo el acceso a los datos personales y a las operaciones de tratamiento; y para mantener sus conocimientos especializados. En especial vamos a detenernos en algunas cuestiones que, quizás no han sido objeto de suficiente atención:
Por una parte, que conforme al RGPD, la alta dirección deberá prestar apoyo activo a la labor del DPD; garantizar que el DPD cuenta con tiempo suficiente para cumplir sus funciones, así como con medios para mantenerse formado; y que se debe facilitar la puesta a disposición del DPD de apoyo desde los departamentos corporativos que gestionen recursos financieros, infraestructura, recursos y personal.
Por otra parte, en que desde la entidad debe hacerse saber a la plantilla, por medio de los canales oficiales de comunicación interna, la designación y funciones del DPD.
Además, que el DPD cuenta con un auténtico derecho, o incluso deber de formación continua.
También, que en función del tamaño y de la estructura de la organización, puede ser necesario establecer un equipo de DPD (el Delegado y su personal), o en caso de estar externalizado, un equipo organizado bajo la responsabilidad de un contacto principal designado para el cliente, el responsable de datos o entidad a la que sirve el DPD.
El DPD en relación con las decisiones corporativas
Es destacable que el Delegado de Protección de Datos, o su equipo, deben ser partícipes, desde el principio y desde el diseño de los mecanismos y sistemas de datos del responsable, de todas las cuestiones relativas a la protección de datos. También en relación con las evaluaciones de impacto de la política de datos de la entidad responsable, el RGPD menciona que éste tendrá que recabar el asesoramiento del Delegado de Protección de Datos al redactar sus memorias de evaluación. Y que, el DPD actuará como interlocutor dentro de la empresa en todo lo relativo a la tutela de datos y que por ello deberá formar parte de todos los grupos de trabajo y proyectos referidos al ejercicio del tratamiento de datos dentro de la organización. Por ello, tanto el responsable como el encargado del tratamiento, debe garantizar que el DPD participa, de forma adecuada y en tiempo oportuno, en todas las cuestiones relativas a la protección de datos personales.
En muchas organizaciones ocurrirá que buena parte de las actividades y decisiones corporativas tendrán impacto directo o indirecto en la política de datos, por ello, tal y como indica el GT29, Grupo de Trabajo compuesto por expertos independientes del Supervisor Europeo de Datos, la organización deberá garantizar que:
Se invite al DPD a participar con regularidad en reuniones con los cuadros directivos altos y medios.
Esté presente cuando se adoptan decisiones con implicaciones para la protección de datos, habiendo previamente recibido toda la información pertinente con el fin de que pueda prestar un asesoramiento adecuado.
La opinión del DPD se tenga siempre debidamente en cuenta. En caso de desacuerdo, el mencionado Grupo de Trabajo recomienda, como buena práctica, documentar los motivos por los que no se sigue el consejo del DPD.
Se consulte al DPD con prontitud una vez que se haya producido una violación de la seguridad de los datos o cualquier otro incidente.
En todo caso, el hecho de que el DPD pueda formar parte de la entidad (y no ser externalizado si así se decide en el seno de la entidad responsable de datos) no debe de entenderse en el sentido de que resulta posible que exista una relación de dependencia. Antes al contrario, como señala el considerando Art. 97RGPD, los DPD, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y, en este sentido, el apartado 3º del artículo 38, ;RGPD deja claro que “el responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Es decir, tal y como añade el Considerando 97, el DPD, sea o no empleado del responsable, debe estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. En todo caso, el DPD estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones como tal Delegado. Y, ha de desempeñar sus funciones de manera independiente y con autonomía. No se le puede instruir sobre como abordar un asunto. Tampoco se podrá influir para que mantenga una u otra postura respecto a la normativa de protección de datos y su aplicación. Esta autonomía del DPD afecta exclusivamente al ámbito de sus propias funciones como DPD que son descritas en el artículo 39 del RGPD.
¿Puede el DPD desempeñar otras funciones? .¿Podría, más concretamente ser Responsable de Seguridad (RS)?
En principio parece que si, que el DPP puede desempeñar otras funciones y cometidos. Ahora bien, en este caso el responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses(GT29) .
En relación con la independencia. El artículo 38.3 RGPD determina que el responsable y el encargado del tratamiento garantizarán que el DPD no reciba instrucciones respecto a sus funciones para poderlas desarrollar con independencia. En cuanto al RS, al poder desempeñar funciones encomendadas por el responsable y el encargado del tratamiento, no goza del mismo grado de independencia protegida. Esta circunstancia casa bien con sus respectivas funciones:
En relación con las funciones de cooperación y asesoría al responsable. El DPD informa y asesora al responsable del tratamiento y coopera con la autoridad de control con independencia del resto de figuras implicadas en la seguridad de la información, y garantiza los derechos de las personas en materia de protección de datos.
Más en particular, y en el plano de los conflictos de intereses el GT29 o Grupo de Trabajo sobre Protección de Datos del Artículo 29 del RGPD, en sus concluiones adoptadas el 5 de abril de 2017 señala para el DPD: 3.5. Conflicto de intereses. “No obstante, requiere que la organización garantice que «dichas funciones y cometidos no den lugar a conflicto de intereses». La ausencia de conflicto de intereses está estrechamente ligada al requisito de actuar de manera independiente. Aunque los DPD puedan tener otras funciones, solamente podrán confiárseles otras tareas y cometidos si estas no dan lugar a conflictos de intereses”
En relación con la seguridad de la información y el análisis de riesgos. El RS debe velar por garantizar la seguridad de la información de la organización en su conjunto incluyendo las . El DPD se centra en el análisis de riesgos sobre los derechos y libertades de las personas, el RS realiza análisis de riesgos en relación con las tecnologías de la información y las comunicaciones.
En cuanto a su posición jerárquica en el seno de una misma entidad. El DPD supervisa la labor que realiza el RS en sus tres vertientes: información, servicio y seguridad, funciones que veíamos en relación al ENS
Ponferrada. Castillo de templarios
Conclusión y recomendación:
Únicamente, y seguramente sólo en teoría, cabría la posibilidad de centralizar ambas figuras en una sola persona si se separan claramente las funciones que desempeña y se evitan conflictos de intereses. Precisamente es en el ámbito de los conflictos donde resulta difícil lograr la independencia que se exige al DPD. En términos prácticos la coincidencia de ambas figuras y funciones en una misma persona ni es fácil ni es recomendable.
Cuestión distinta es, en particular para las grandes organizaciones, la propuesta que desarrollamos en otro lugar para la creación de una red corporativa de seguridad que integre y sirva de cauce de comunicación entre ambos, con las debidas cautelas en términos de funciones y conflictos de intereses.
Así se pronuncia el Tribunal General en las sentencias de 29 de septiembre de 2021, de las que dejamos constancia.
Para entender estas Sentencias, hay que remontarse a la Decisión de 21 de marzo de 2018, en la que la Comisión impuso una multa total de aproximadamente 254 millones de euros a nueve empresas o grupos de empresas japoneses por su participación, durante diversos períodos comprendidos entre 1998 y 2012, en una práctica colusoria en el mercado de los condensadores electrolíticos de aluminio y de tantalio. Tales multas recayeron en las empresas o grupos de empresas Elna, Hitachi AIC, Holy Stone, Matsuo, Nichicon, Nippon Chemi-Con, Rubycon, Sanyo, NEC y Tokin.
El mercado de producto en el que se enmarcan estas Sentencias es el de los condensadores
By M.A. Díaz
electrolíticos empleados en casi todos los productos electrónicos, como ordenadores personales, tabletas, teléfonos, climatizadores, refrigeradores, lavadoras, productos de automóviles y aparatos industriales.
Según la Comisión la infracción se había producido en todo el territorio del Espacio Económico Europeo (EEE) y había consistido en acuerdos y/o prácticas concertadas que tenían por objeto la coordinación de las políticas de precios para estos productos. Constata que las empresas participaron en numerosas reuniones multilaterales y establecieron contactos para intercambiarse información comercial sensible, especialmente, sobre sus precios futuros y sobre sus intenciones tarifarias, así como sobre la oferta y la demanda esperada con el afán de coordinar su comportamiento futuro y evitar acometer una competencia basada en precios.
Algunas empresas ―NEC, Nichicon, Tokin, Rubycon y Nippon Chemi-Con ― interpusieron recursos ante el Tribunal General solicitando la anulación de la Decisión de la Comisión o la reducción de sus respectivas multas.
En las sentencias de 29 de septiembre de 2021, el Tribunal desestima todas las alegaciones formuladas por las empresas y mantiene las multas impuestas por la Comisión.
– En el asunto T-341/18, la Comisión consideró responsable a NEC, como sociedad matriz que poseía la totalidad del capital de Tokin, en el período comprendido entre el 1 de agosto de 2009 y el 23 de abril de 2012. Respecto al importe de la multa, la Comisión estimó que el importe de base de la multa debía incrementarse al aplicarse la circunstancia agravante de reincidencia, al haber declarado a NEC responsable de un comportamiento contrario a la competencia en la Decisión «DRAMs» de la Comisión de 19 de mayo 2010, por una infracción cometida entre el 1 de julio de 1998 y el 15 de junio de 2002.
La Comisión declaró que, aunque esa primera infracción fue sancionada cuando la infracción constatada por la Decisión impugnada se estaba llevando a cabo, procedía aplicar el incremento por reincidencia al importe de base de la multa y, por tanto, tener en cuenta la totalidad del período de la responsabilidad de NEC por la infracción, incluido el período de casi nueve meses anterior a la adopción de la Decisión DRAMs.
Para el Tribunal General la Comisión no incurrió en error de Derecho al considerar que el hecho de que NEC ya hubiese sido objeto de una declaración de infracción y de que, a pesar de esta declaración y de la sanción impuesta, hubiese seguido participando durante casi dos años en otra infracción similar constituía una reincidencia.
By M.A. Díaz
– En el asunto T-344/18, el Tribunal General recuerda los requisitos exigidos para que una empresa pueda ser beneficiaria de una reducción de la multa que se le ha impuesto en virtud de una dispensa parcial de la multa, en particular, consistentes en que la empresa aporte pruebas que permitan a la Comisión demostrar hechos adicionales que redunden en un incremento de la gravedad o de la duración de la infracción.
Al respecto, el Tribunal General confirma la conclusión de la Comisión de que las pruebas aportadas por Rubycon, acerca de un grupo de reuniones, no habían tenido incidencia en la gravedad de la infracción. Según el Tribunal General, aunque esas pruebas demuestran que, durante ese grupo de reuniones, las empresas celebraron acuerdos sobre los precios acompañados de un mecanismo de supervisión para garantizar su aplicación, no se trata de componentes autónomos de la infracción susceptibles de tener un impacto en su gravedad. Y ello porque, de un lado, dichos acuerdos formaban parte de una infracción compleja, que abarcaba, sin necesidad de calificación específica, tanto los acuerdos como las prácticas concertadas. Y, de otro, porque el mecanismo de supervisión no era una particularidad de la infracción, al realizarse la supervisión también al margen de ese mecanismo.
En el asunto T-344/18, las partes demandantes aducen también que la Comisión, respecto a algunos participantes en la práctica colusoria, les concedió un trato más favorable, al efectuarles una reducción del importe de la multa del 3 % al no quedar acreditada su participación en determinadas reuniones, privando de dicha reducción a Rubycon, que divulgó la existencia de algunas de esas reuniones.
A juicio del Tribunal General, esa alegación parte de una comparación errónea entre el concepto de «dispensa parcial de la multa», recogido en la Comunicación sobre la cooperación de 2006, y las circunstancias atenuantes que la Comisión debe tener en cuenta, enumeradas en las Directrices de 2006, al no ser las dos situaciones comparables ni fáctica ni jurídicamente.
– En los asuntos T-342/18 y T-363/18, las partes demandantes cuestionaron la competencia territorial de la Comisión toda vez que el comportamiento contrario a la competencia se centraba en Asia, sin que se haya ejecutado en el EEE ni haya tenido en este último un efecto significativo.
A este propósito, el Tribunal General recuerda que los requisitos para la aplicación territorial del artículo 101 TFUE concurren en dos supuestos: 1º) cuando las prácticas referidas en dicho precepto se llevan a cabo en el territorio del mercado interior independientemente del lugar donde se decidan, de modo que para que se cumpla el criterio de ejecución de la práctica colusoria basta con que se produzca la venta en la Unión del producto objeto de cártel, al margen de dónde se encuentren las fuentes de abastecimiento y las instalaciones de producción; 2º) cuando es previsible que las citadas prácticas produzcan un efecto inmediato y sustancial en el mercado interior. En el caso presente, los participantes en la práctica colusoria intercambiaban, en particular, información relativa a clientes que tuvieran su domicilio social en el EEE o a clientes que tuvieran fábricas en el EEE y, al mismo tiempo, coordinaban su política comercial, en función de las fluctuaciones de los tipos de cambio de divisas, incluido el euro. De esta forma, si bien los participantes en el cártel eran empresas con domicilio social en Japón y los contactos contrarios a la competencia se produjeron en Japón, puede afirmarse que estos tenían un alcance mundial, incluyendo el EEE.
En esta dirección, el l Tribunal General concluye que el criterio de la ejecución de la práctica colusoria como punto de conexión de esta con el territorio de la Unión se cumple en el caso de autos y que la Comisión consideró acertadamente que era competente.
– En el asunto T-342/18, la parte demandante argumenta que, dado que ya se habían impuesto a los participantes en la práctica colusoria multas en países terceros, la Comisión infringió el principio ne bis in idem y el principio de proporcionalidad, al imponer multas adicionales.
Para el Tribunal General el principio ne bis in idem no puede aplicarse en un caso como el presente, en el que los procedimientos tramitados y las sanciones impuestas por la Comisión, por un lado, y por las autoridades de Estados terceros, por otro, no pretenden los mismos objetivos. Así, mientras en el primer caso se trata de preservar una competencia no falseada en el EEE, la protección perseguida, en el segundo caso, atañe al mercado de países terceros. Desde esta perspectiva, y partiendo de que no existe identidad de interés jurídico protegido, concluye el Tribunal que no puede aplicarse el principio ne bis in idem.
Por lo demás, en lo concerniente a la supuesta violación del principio de proporcionalidad, que se invoca, el Tribunal General manifiesta que cualquier consideración basada en la existencia de multas impuestas por las autoridades de un tercer Estado únicamente puede ser tenida en cuenta dentro de la facultad de apreciación de que goza la Comisión al fijar las multas por infracciones del Derecho de la competencia de la Unión. Ello significa que, si bien es cierto que no cabe excluir que la Comisión tenga en cuenta multas anteriormente impuestas por las autoridades de Estados terceros, no lo es menos que no está obligada a hacerlo.
Finalmente, respecto a estas sentencias, es menester recordar, como lo hacen las sentencias, que contra las resoluciones del Tribunal General puede interponerse recurso de casación ante el Tribunal de Justicia, limitado a las cuestiones de Derecho, en un plazo de dos meses y diez días a partir de la notificación de la resolución.
Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad
Regulación prevista
Conforme a la Agenda Regulatoria de primavera de 2021 de la SEC, el Supervisor de Valores de EEUU está en vías de formular nuevas reglas que afectarán de lleno a las obligaciones de gobierno corporativo de las empresas y en concreto, a la divulgación de riesgos de seguridad cibernética. Se prevé que las mencionadas propuestas vean formalmente la luz en octubre de 2021. Estos trabajos toman base en las Orientaciones sobre Ciberseguridad de la SEC (febrero 2018) en las que ya se vinculaba el cumplimiento de distintas obligaciones de transparencia sobre riesgos de ciberseguridad con el buen gobierno. Incluso antes, en 2011 la División de Finanzas Corporativas de la SEC había publicado una Guía preliminarsobre estas cuestiones.
La Agenda ReEgFlez mencionada, ya apunta a octubre de 2021 como la fecha límite para la emisión de una propuesta. (Vea esta publicación de PubCo de 14.06.2021). En el actual entorno en el que se conoce la abundancia y dureza de ataques cibernéticos y la posibilidad de infección por ransomware, es más que posible que la SEC pueda proponer enmiendas a sus Rules de transparencia para mejorar las divulgaciones de los emisores con respecto a la gobernanza del riesgo de ciberseguridad.
Sanabria
Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética
Con anterioridad, la Guía de la SEC de 2018 sobre divulgación de seguridad cibernética abordó las obligaciones de divulgación al amparo del ordenamiento vigente, que incluía procedimientos, políticas y estrategias para el control de la seguridad, entendida en un sentido amplio, prohibiciones de aprovechar información privilegiada, o de difundir datos selectivamente, entre otros.
La Guía mencionada señala que los incidentes de ciberseguridad pueden ser el resultado de eventos no intencionales, pero también de ataques deliberados, y que pueden ser realizados por personas con información privilegiada, o por terceros.
Con respecto a las políticas, controles y procedimientos de ciberseguridad, la SEC alentó en 2018 a las empresas a adoptar y evaluar periódicamente el cumplimiento de políticas y procedimientos integrales relacionados con la ciberseguridad, en particular con los controles y procedimientos de divulgación. Además, instaba a las empresas a evaluar si sus controles y procedimientos de divulgación eran suficientemente precisos y adecuados como para localizar información sobre los riesgos e incidentes de ciberseguridad, y también para difundir el conocimiento de esos riesgos entre la alta jerarquía corporativa para permitir que la alta dirección adopte decisiones.
Conforme a la Guía mencionada (de 2018), los controles y procedimientos corporativos deben permitir a las empresas identificar los riesgos e incidentes de ciberseguridad, evaluar y analizar su impacto en el negocio de una empresa, evaluar la importancia asociada con dichos riesgos e incidentes, proporcionar comunicaciones abiertas entre expertos técnicos y asesores de divulgación. Deben ser adecuadas para realizar divulgaciones oportunas sobre dichos riesgos e incidentes.
Los controles también deben permitir que la información se comunique al personal correspondiente, para facilitar el cumplimiento de las políticas de uso de información privilegiada.
Por otro lado, y ya de lleno en consideraciones propias del Gobierno Corporativo clásico (y de las obligaciones de transparencia relacionadas), dado que las notificaciones que los principales ejecutivos, el CEO y el CFO están obligados a emitir en sus informes periódicos al supervisor abordan la efectividad de los controles corporativos, la SEC adelantaba en su Guía de 2018 que estas certificaciones deberían tener en cuenta la idoneidad de los controles y procedimientos para identificar los riesgos e incidentes de ciberseguridad.
Con respecto a la divulgación, la Guía de 2018 ya señalaba que incluso en ausencia de exigencias de divulgación especificadas normativamente en relación con los riesgos e incidentes de ciberseguridad:
La obligación de divulgar tales riesgos se entendería implícita -dependiendo de las circunstancias particulares de cada entidad- en el conjunto de obligaciones de transparencia (declaraciones ante la SEC, informes periódicos, informes anuales, etc.).
Conforme a la Regla 10b-5 (y disposiciones similares) las entidades sometidas a la supervisión de la SEC están obligadas a valorar si sus divulgaciones proporcionan todos los hechos materiales, y en ese sentido, incluir en ellas las cuestiones relativas a ciberseguridad que deban considerarse «materiales» para evitar que el conjunto de la declaración resulte engañosa. En ese sentido, el Supervisor estadounidense alentó a las empresas a utilizar el Formulario 8-K para informar al supervisor y al mercado también sobre los costos y otras consecuencias de los incidentes materiales de ciberseguridad.
En relación con esta Guía y con los futuros desarrollo que se produzcan en torno a la obligación de comunicar riesgos e incidentes cibernéticos, debemos llamar la atención sobre la dificultad de determinar si la divulgación sobre los riesgos e incidentes de ciberseguridad es necesaria. En este sentido, el Supervisor de mercados estadounidense recordaba que las empresas generalmente sopesan, entre otras cosas, la materialidad potencial de cualquier riesgo identificado. Pues bien, en el caso de incidentes cibernético, la valoración de si resultan «materiales» debe realizarse a la luz de la importancia de la información comprometida, propiamente dicha, y también del impacto (actual o probable) del incidente sobre las operaciones de la empresa. Y, este ejercicio, que se realiza ya en otros ámbitos que son susceptibles de generar riesgos y que ya son objeto de comunicación al Supervisor, ha de contemplarse también en el ámbito de los riesgos cibernéticos.
La SEC señaló que el caso Basic v. Levinson, en el que se articuló la teoría jurisprudencial de «fraude al mercado» y que sirve de pauta sobre la probabilidad de que se deriven daños relevantes, sigue siendo una parte relevante del análisis. Debe recordarse que en esta importante sentencia federal se revisaron los estándares de materiality, tomando en cuenta otra decisión previa (especialmente la de TSC Industries, Inc. v. Northway, Inc., que señala que en relación con la transparencia exigida a las empresas supervisadas «un hecho es material si existe una probabilidad sustancial de que un accionista «razonable» lo consideraría importante a la hora de decidir su voto» , pauta que se viene utilizando como referencia para el cumplimiento y la supervisión de las obligaciones de transparencia derivadas del artículo § 10(b) de la Securities Exchange Act y la Rule 10b-5 de la SEC.
La SEC también advirtió que la importancia relativa de los riesgos o incidentes de seguridad cibernética depende de su naturaleza, alcance y magnitud potencial, particularmente en lo que respecta a cualquier información comprometida para la actividad de la entidad o para sus operaciones. En ese sentido, la SEC subrayó que la información comprometida «podría incluir información de identificación personal, secretos comerciales u otra información comercial confidencial, cuya materialidad puede depender de la naturaleza del negocio, así como del alcance de la información comprometida». Y, que la materialidad “también depende del rango de daño o daños que los incidentes sean susceptibles de causar», y que abarcan desde daños reputacionales, daños financieros, hasta otros derivados de las relaciones con los clientes y proveedores y con el incremento en la posibilidad de litigios, investigaciones o de que la empresa vaya a quedar sometida a investigaciones (o sanciones) por parte de las autoridades.
Como ya es conocido en otros ámbitos, la SEC advirtió a las empresas que «eviten la divulgación genérica» (ahora relacionada con la ciberseguridad) y les instó a que proporcionen información específica que sea útil para los inversores.
Aunque se espera que las empresas «revelen los riesgos e incidentes de ciberseguridad que son importantes para los inversores, incluidas las consecuencias financieras, legales o de reputación concomitantes», la SEC dejó en claro que no se espera que proporcionen detalles o información técnica específica sobre posibles vulnerabilidades del sistema que puedan comprometer la seguridad del emisor.
Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos
Ox
A fines de 2018, según lo informado el 13.11.2018 por el WSJ , el entonces Chief accountant de la Securities and Exchange Commission’s Corporation Finance Division, , Kyle Moffatt, en su intervención en la importantísima conferencia sectorial, FEI, «Current Financial Reporting Issues Conference», instó a las empresas a alinear sus prácticas de divulgación con la guía de divulgación de ciberseguridad de la SEC, citando en particular la necesidad de abordar un debate de calado sobre riesgos de supervisión, el papel de la junta, los controles y los procedimientos internos de divulgación de datos e informaciones y las políticas de uso de información privilegiada en el contexto de la ciberseguridad. Además, advirtió que “la clave más importante es asegurarse de que existan procedimientos para asegurarse de que la información se brinde a todos los niveles de la gestión empresarial, para que todos estén al tanto de lo que sucedió y para que los problemas se pueden abordar. ‘”(Consulte esta publicación de PubCo de 14 noviembre 2014).
Estas declaraciones son, no sólo sintomáticas, sino que reflejan en buena medida la posición del sector.
La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.
En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.
A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en First American Financial Corporation, que se salda con una sanción de $487,616:
El 15 de junio de 2021, la SEC anunciaba una sanción de $487,616 contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
Como antecedentes de hecho, el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
En el curso de sus investigaciones, la SEC averiguó que el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
Por otra parte, un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.
La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.
Palencia. San Antonio
Con anterioridad, en el año 2018 Yahoo!., Inc. fue sancionada en otro expediente de la SEC que le obligó a satisfacer $ 35 millones. La SEC resolvió que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.
En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
Fundamentando su resolución sancionadora, la SEC consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia, valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
La Resolución de la SEC en este caso estableció que «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención…
Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada durante dos años) sobre los inversores. Más sobre este asunto aquí
Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.
INTERVIENEN:
