Archivo de la etiqueta: administradores sociales

Ciberseguridad europea y seguros D&O para riesgos cibernéticos

Posted on por

Los riesgos cibernéticos se han convertido en una prioridad para los consejos de administración y la alta dirección debido al incremento de brechas de datos, ataques de denegación de servicio (DDoS), ransomware y extorsión cibernética. Con la entrada en vigor del Reglamento (UE) 2016/679 (“GDPR”) en mayo de 2018 se intensificó la atención de los gestores de riesgos hacia la gestión de datos y notificaciones de incidentes. Y, a pesar de que la empresa sea consciente de los riesgos, la gestión no puede reducirse a “cumplimiento formal” o “tick‑box”: debe integrarse en la cultura de la organización a todos los niveles

  • Foca en granito.

    En este entorno, la póliza D&O tradicional puede no cubrir ciertos gastos derivados de un incidente de seguridad digital (por ejemplo, la restauración de sistemas, interrupción del negocio, costes reputacionales), de modo que es importante evaluar conjuntamente la póliza D&O y la póliza de responsabilidad cibernética (“cyber liability”).

  • Los responsables de riesgo y los asegurados  deben reflexionar  y analizar sobre cómo abordar la adquisición de seguros: identificar exposiciones, definir límites, comprender exclusiones, evaluar capacidad de respuesta del asegurador y diseñar programas aseguradores adaptados al riesgo cibernético

  • Los directores y altos cargos tienen una responsabilidad activa en la supervisión del riesgo digital. La omisión o la supervisión insuficiente no solo incrementa la exposición de la empresa, sino que también puede derivar en responsabilidad personal de los administradores. Esto refuerza la idea de que la gobernanza corporativa moderna debe integrar explícitamente la gestión de riesgos cibernéticos como elemento de control interno y estrategia empresarial. La exposición personal  de administradores, consejeros y altos cargos puede verse incrementada por la omisión de una adecuada supervisión del riesgo digital

La creciente complejidad del ecosistema digital europeo, reforzada por ENISA, la red CSIRTs, ECSO y ECCG, ha transformado la ciberseguridad en un componente esencial de la responsabilidad de los administradores. En este contexto, los seguros D&O de ciber riesgos son un instrumento complementario para gestionar la exposición legal y financiera derivada de incidentes de seguridad informática, fallos en la gobernanza o incumplimiento de obligaciones normativas europeas.

1. Riesgos cubiertos y vínculo con la gobernanza. Los seguros D&O de ciber riesgos protegen a los administradores frente a reclamaciones por

  • Falta de supervisión adecuada de la seguridad informática, incluyendo la omisión de implementar buenas prácticas recomendadas por ENISA.

  • Respuesta insuficiente ante incidentes coordinados por la red CSIRTs o por alertas de vulnerabilidad críticas en infraestructuras digitales.

  • Incumplimiento de obligaciones de gestión, reporte y certificación, especialmente en los sectores y entidades sometidos a DORA, DNIS2 y otros marcos regulados.

  • Decisiones empresariales que no integren recomendaciones de ECSO sobre innovación segura o gestión de riesgos tecnológicos, con consecuencias financieras o regulatorias.

2. D&O y cumplimiento normativo europeo

Los seguros D&O no reemplazan la diligencia del administrador, sino que la complementan, ofreciendo cobertura frente a riesgos residuales que puedan derivar en responsabilidades civiles o administrativas. La contratación de un seguro D&O para ciber riesgos debe entenderse dentro de un marco de compliance proactivo:

  • Una empresa que implementa medidas recomendadas por ENISA, sigue las alertas de CSIRTs, participa en iniciativas ECSO y certifica sus sistemas según ECCG reduce su exposición a incidentes.

  • En caso de un ciberataque que derive en pérdidas financieras o daño reputacional, el seguro D&O puede cubrir reclamaciones de accionistas, sanciones civiles o defensas legales, siempre que se demuestre que los administradores actuaron con diligencia y siguiendo los estándares europeos.

  • Desde la perspectiva del mercado asegurador, la existencia de certificaciones europeas y la adopción de buenas prácticas se traduce en menores primas, reflejando la menor probabilidad de reclamaciones por negligencia en ciberseguridad.

  • La gestión del riesgo cibernético no puede limitarse a un enfoque “tick‑box” o cumplimiento mínimo. Debe integrarse en la cultura organizativa, involucrando a todos los niveles: desde la alta dirección hasta los empleados que manejan datos sensibles. Esta integración cultural facilita la detección temprana de incidentes y la respuesta coordinada, elementos críticos para limitar daños y preservar la reputación corporativa (Marsh, más abajo).

3. Integración en la estrategia de gobernanza

Para los administradores, la relación entre las estructuras europeas de ciberseguridad y los seguros D&O implica:

  • Evaluar riesgos: identificar qué activos, procesos y sistemas críticos podrían generar responsabilidades en caso de fallo de seguridad.

  • Adoptar medidas preventivas: implementación de estándares y certificaciones europeas, participación en alertas y ejercicios de CSIRTs, seguimiento de recomendaciones de ENISA y ECSO.

  • Documentar decisiones: mantener evidencia de políticas, procedimientos y medidas adoptadas para demostrar diligencia ante reclamaciones potenciales.

  • Contratar cobertura D&O adecuada: asegurar que la póliza cubre riesgos cibernéticos emergentes, incluyendo brechas de datos, ataques de ransomware o fallos en la gestión de proveedores críticos.

4. Medias previas  a contratar el seguro.

Evaluación integral de riesgos.

Antes de contratar un seguro D&O o cibernético, la empresa debe identificar los riesgos críticos a los que están expuestos los administradores, incluyendo fallos en seguridad de la información, brechas de datos, ataques de ransomware y fallos de proveedores.   La evaluación debe integrar la normativa europea de ciberseguridad  y los estándares de certificación aplicables. También se deben analizar otras coberturas contratadas por la empresa, en particular si se cuenta con pólizas de ciber riesgos , por evitar duplicidades o solapamientos de cobertura, pero también para evitar incurrir en situaciones de infra seguro o de falta de cobertura

Selección de coberturas adecuadas

Las pólizas deben cubrir responsabilidades derivadas de decisiones negligentes o incumplimientos regulatorios relacionados con la ciberseguridad. Abundando en lo que se acaba de indicar, es fundamental revisar la interacción entre D&O y seguros cibernéticos y evitar superposiciones o lagunas de cobertura.

Integración con la gobernanza corporativa

Los administradores deben documentar políticas y procedimientos de ciberseguridad, evidenciando cumplimiento con estándares europeos y buenas prácticas. La existencia de certificaciones, adopción de estándares o buenas prácticas reconocidas y la participación en alertas CSIRTs reduce el riesgo de reclamaciones y, por tanto, el coste del seguro.

Gestión del siniestro

A nivel de empresa, conviene establecer protocolos claros de notificación de incidentes, asegurando coordinación entre la empresa, los administradores y la aseguradora. También, definir responsabilidades internas y externas, evitando conflictos entre la gestión del siniestro y la defensa de los administradores.

Formación y actualización continua

Los administradores deben recibir formación sobre ciberriesgos, obligaciones regulatorias y evolución tecnológica. Entre las buenas prácticas destacables está la de realizar simulacros de incidentes y revisiones periódicas de las coberturas de seguro D&O, alineadas con la estrategia de ciberseguridad de la empresa.

Diferencias entre las coberturas de las pólizas de responsabilidad de administradores y directivos (D&O) y las pólizas de responsabilidad cibernética (“cyber liability”) frente a incidentes de ciberseguridad, enfatizando la importancia de un programa de seguros combinado para cubrir riesgos de manera integral (Recomendaciones de  la aseguradora Aon, en el enlace que se facilita más abajo).

Las pólizas D&O protegen principalmente a directivos frente a reclamaciones por actos de gestión, incumplimientos  de los fiduciarios o mala gestión, pero no están diseñadas, en principio, para ciber riesgos. Por ello, por ejemplo, pueden contar con exclusiones de gastos generados por un ciberataque, como notificaciones a afectados o recuperación de sistemas (Aon).

Piedritas de la playa sobre fondo azul

Las pólizas cibernéticas cubren tanto daños “first‑party” (la propia organización: investigación forense, restauración, interrupción del negocio, reputación) como “third‑party” (terceros afectados: demandas, defensa, indemnizaciones) ante incidentes cibernéticos

La activación de cobertura D&O al uso tras un ciberincidente depende de la redacción de la póliza. Es habitual hoy encontrar exclusiones específicas para daños cibernéticos , por lo que tal eventualidad debe ser considerada y negociada antes de contratar .

Se recomienda un programa combinado de D&O y póliza cibernética, con redacción adecuada, para gestionar de manera completa los riesgos cibernéticos (Aon), teniendo en cuenta que:

  • En compañías cotizadas, la cobertura habitual D&O por eventos cibernéticos suele limitarse a reclamaciones de accionistas y no a demandas de clientes o terceros afectados (indicado por Aon).

  • En compañías no cotizadas, la cobertura D&O tiende a ser más amplia, pero los aseguradores están incorporando exclusiones explícitas para riesgos cibernéticos (indicado por Aon).

  • Dado el aumento de incidentes cibernéticos y su complejidad, los consejos de administración y equipos de dirección deben considerar la gestión del riesgo cibernético como una cuestión de gobernanza corporativa, revisando coberturas, documentación y procedimientos de respuesta

Ver También

Aon. “Responding to Cyber Attacks: How Directors and Officers and Cyber Policies Differ.” Aon Insights, 24 Jul. 2024. Disponible en: https://www.aon.com/en/insights/articles/responding-to-cyber-attacks-how-directors-and-officers-and-cyber-policies-differ

Duque, Ruth. “Las pólizas cibernéticas y su implicación para el órgano de Administración” (1 octubre 2024) (https://www.cuatrecasas.com/es/spain/servicios-financieros-seguros/art/seguros-proteccion-administradore)

Marsh. “Understanding cyber Directors & Officers liability risks and buying insurance.” White paper (UK), Marsh, 2018. Disponible en: https://www.marsh.com/content/dam/marsh/Documents/PDF/UK-en/Understanding%20Cyber%20Directors%20&%20Officers%20Liability%20Risks%20and%20Buying%20Insurance.pdf

 

 

Régimen sancionador. Incumplimiento del deber de depósito de cuentas anuales de las sociedades

Posted on por

El Real Decreto 2/2021, de 12 de enero, por el que se aprueba el Reglamento de desarrollo de la Ley 22/2015 de Auditoría de Cuentas, refuerza, en su Disposición Adicional Undécima (DA 11ª), el régimen sancionador relacionado con el incumplimiento del deber de depósito anual de cuentas, (régimen sancionador del artículo 283 del la Ley de Sociedades de Capital). Contribuye a definir ese procedimiento sancionador y los criterios para la imposición de las sanciones correspondientes.

El artículo 279 de la Ley de Sociedades de Capital establece la obligación de los administradores de depositar en el Registro Mercantil las cuentas anuales de la sociedad, acompañada de la certificación de los acuerdos de la junta general de accionistas que aprueben dichas cuentas.

Azalea rosa

Los principales aspectos del régimen sancionador son los siguientes:

  1. Los registradores mercantiles del domicilio de la sociedad que incumpla a obligación de depósito de las cuentas anuales son los encargados de gestionar y tramitar los procedimientos sancionadores correspondientes.
  2. El plazo para resolver y notificar la resolución del procedimiento sancionador es de seis meses a partir de la adopción del acuerdo para iniciar el procedimiento. Ello sin perjuicio de la posibilidad de suspensión del mismo; así como de la posibilidad de prórrogas de acuerdo con la legislación administrativa aplicable.
  3. Los criterios para establecer el monto de la sanción en caso de incumplimiento son los siguientes:
    1. La sanción será de 0.5 por mil del monto total de los bienes, más 0.5 por mil de las ventas incluidas en la última declaración tributaria presentada ante las Autoridades Tributarias (la Última Declaración Tributaria),  que deberá ser aportada.
    2. En caso de no presentarse la Última Declaración Tributaria, la sanción se fijará en el 2% del capital social según los datos inscritos en el Registro Mercantil.
    3. En el caso de que se aporte la Última Declaración y el resultado de aplicar los porcentajes antes mencionados a la suma de las partidas de activos y ventas sea mayor al 2% del capital social, la sanción se calcula reduciendo el monto del capital social en 10%.

Según establece el artículo 283.1 del texto refundido de la Ley de Sociedades de Capital, la sanción pecuniaria debe ser de entre 1.200 y 60.000 € y, en el caso de que la sociedad tenga una facturación anual superior a 6 millones de euros. El límite máximo de la La multa por cada año de retraso aumentará en 300.000 €.

Acción individual. Alegado incumplimiento de contrato imputable al administrador, que no prospera

Posted on por

Acción individual de responsabilidad contra el administrador de una sociedad promotora que recibió dinero a cuenta del precio de una vivienda comprada sobre plano, y no llegó a entregar al comprador un aval individual. Setentencia del Tribunal Supremo, Sala Primera, Sección Primera de 29.01.2019 (Ecli: ES:TS:2019:223).

En el asunto comentado, el comprador de una vivienda interpuso una acción individual de responsabilidad frente  al administrador de la promotora para que le indemnice el perjuicio sufrido al no haber recuperado el dinero entregado a cuenta, a  consecuencia del incumplimiento de la obligación de entregarle un aval individualizado. Reclamó en ese concepto 48.150 euros, más intereses. La acción individual no prospera al no identificar el TS incumplimiento de los deberes del administrador en el ejercicio de su cargo.

En cuanto a los hechos subyacentes, cabe destacar que la vivienda en cuestión había sido terminada, dentro del plazo pactado, el 30 de junio de 2008, aunque la licencia de primera ocupación fue otorgada el 24 de febrero de 2010. Entre las dos fechas, el 25 de febrero de 2009, el comprador remitió un burofax a la vendedora para comunicar la resolución del contrato por incumplimiento de la obligación de entrega de la vivienda. El 10 de marzo de 2009,la promotora comunicó su deseo de otorgar la escritura pública. Siguiendo en este transcurso de acontecimientos, el comprador interpuso la acción individual de responsabilidad contra el administrador de la sociedad promotora.

Palloza, Sobrarriba (León)

En relación con las obligaciones de los administradores de sociedades promotoras tienen la obligación de cumplir y respetar las normas,  incluidas las de carácter sectorial que afectan a la actividad social o sectorial, como aquí sería la Ley 57/1968 que impone al promotor que recibe del comprador dinero a cuenta del precio de la compraventa de un inmueble pendiente de construcción, el deber de prestar un aval o seguro que garantice la eventual obligación de devolución de las cantidades entregadas a cuenta en  caso de incumplimiento. El cumplimiento de este deber objetivo de garantía, exige a los administradores en el ejercicio de su cargo, emplear la diligencia de un ordenado empresario y cumplir los deberes impuestos por las leyes, conforme a lo dispuesto en el artículo. 225.1 LSC, ello en beneficio de la sociedad y también en relación con los terceros directamente afectados por su actuación. La infracción de este deber de diligencia supone un incumplimiento de una obligación de la sociedad, que es imputable a los administradores negligentes en el ejercicio de sus funciones en el cargo que corresponden a su actuación como órgano social. Sin embargo, como recuerda el  TS en esta sentencia: «En principio, del daño causado a terceros responde la sociedad, sin perjuicio de que ésta pueda repetir contra sus administradores una vez reparado, mediante el ejercicio de la acción social de responsabilidad (conforme a los artículos 238 a 240 LCS ). Pero además, el art. 241 LCS permite una acción individual contra los administradores, cuando en el ejercicio de sus funciones incumplen normas específicas que se imponen a su actividad social. Añade el TS que en ese caso tales normas, en concreto, tienden a proteger al más débil, en este caso, al comprador de una vivienda que anticipa su precio antes de serle entregada, y sufre directamente el daño como consecuencia del incumplimiento de sus obligaciones». 

En estos supuestos, el incumplimiento de la obligación de garantizar la devolución de las cantidades causa daño al comprador que tendría derecho de optar, de acuerdo con el art. 3 de la Ley 57/1968  entre la prórroga del contrato o su resolución con devolución de las cantidades anticipadas, y que a  consecuencia del incumplimiento no podría ejercer esa opciçon, al no hallarse garantizadas las sumas entregadas.

Sin embargo, la acción individual  sólo puede tener éxito si se cumplen sus requisitos y en este sentido trae a colación el TS que la jurisprudencia del TS sobre la acción individual en relación con el incumplimiento de la obligación de entrega del aval o garantía prevista en la Ley 57/68 para asegurar la devolución de las cantidades entregadas a cuenta del precio de la vivienda comprada sobre plano está contenida en la STS 242/2014, de 23 de mayo , y en la posterior sentencia 131/2016, de 3 de marzo , que la ratifica y compendia.

  • La sentencia 131/2016, de 3 de marzo explicita en qué medida el incumplimiento del mencionado deber impuesto por la Ley 57/1968 al promotor, que recibe del comprador dinero a cuenta del precio de la compraventa de un inmueble pendiente de construcción, puede generar la responsabilidad del administrador de la sociedad promotora.Yasí, adapta los requisitos tradicionales de la acción individual a este caso: (i) incumplimiento de una norma, en concreto, la Ley 57/1968, debido al comportamiento omisivo de los administradores; (ii) imputabilidad de tal conducta omisiva a los administradores; (iii) que la conducta antijurídica, culposa o negligente, sea susceptible de producir un  daño; (iv) que el daño sea directo frente al tercero que contrata, sin necesidad de lesionar los intereses de la sociedad; y (v) que exista una relación de causalidad entre la conducta contraria a la ley y el daño directo ocasionado al tercero.
    • Clarifica que el incumplimiento de una norma legal sectorial, de ius cogens , cuyo cumplimiento se impone como deber de diligencia del administrador, se conecta con el ámbito de sus funciones (arts. 225, 226, 236 y 241 LSC), por lo que le es directamente imputable».
  • Además, La sentencia 242/2014, de 23 de mayo , advierte del riesgo de extender de forma indiscriminada la responsabilidad contractual asumida por la sociedad a sus administradores, en caso de incumplimiento de la sociedad: «(N)o puede aplicarse de forma indiscriminada la vía de la responsabilidad individual de los administradores por cualquier incumplimiento en el marco de las relaciones obligatorias que nacen de los contratos, pues, como ha señalado esta Sala (STS 30 de mayo de 2008 ) supondría olvidar e ir en contra de los principios fundamentales de las sociedades de capital, como son la personalidad jurídicas de las mismas, su autonomía patrimonial y su exclusiva responsabilidad por las deudas sociales, u olvidar el principio de que los contratos sólo producen efecto entre las partes que lo otorgan, como proclama el art. 1257 CC . «La responsabilidad de los administradores en ningún caso se puede conectar al hecho objetivo del incumplimiento o defectuoso cumplimiento de las relaciones contractuales, convirtiéndose en garantes de las deudas sociales o en supuestos de fracasos de empresa que han derivado en desarreglos económicos que, en caso de insolvencia, pueden desencadenar otro tipo de responsabilidades en el marco de otra y otras normas«.

London’s Eye

La acción individual relativiza el alcance de los efectos del contrato a quienes fueron parte, porque la responsabilidad se liga no directamente al incumplimiento de la sociedad, sino al incumplimiento de los deberes de diligencia del administrador. Por ello , en sentido contrario, puede ocurrir que aun existiendo un  incumplimiento de la sociedad, su administrador no hubiera incurrido en responsabilidad, al acreditarse que no existió una infracción de sus deberes de diligencia.

Subraya el TS que esa debe ser la conducta objeto de enjuiciamiento en una acción individual de responsabilidad: no el incumplimiento contractual de la sociedad, sino el quebrantamiento de los deberes de diligencia de su administrador en relación con el cumplimiento de una prescripción legal grave. En el presente caso, antes de firmarse el contrato con el comprador demandante y entregar este la parte del precio aplazado convenida (18 de diciembre de 2007), la sociedad promotora ya tenía concertada la póliza colectiva de avales. Y además, antes del plazo de entrega de las viviendas, en septiembre de 2008, la promotora había requerido a una entidad bancaria para que otorgara el aval individual a favor de la compradora, circunstancia de la que se deduce que el administrador no fue negligente. Así mismo, considera acreditado el TS que la construcción fue terminada en tiempo y que el retraso en la entrega no fue imputable a la sociedad, ni al administrador.

 

 Cierre de hecho. Daños directos causados a los acreedores. Acción individual de RC de administradores sociales. STS 3433/2016

Posted on por

La STS de 13.07.2016 , casación e infracción procesal acogía la pretensión de condena  de un administrador social frente a una acreedora en el marco del ejercicio y consiguientes recursos de una acción individual.  El TS concluye que resulta procedente la estimación la acción de responsabilidad y condenar al administrador demandado al pago del perjuicio sufrido por la demandada como consecuencia del cierre de hecho de la sociedad deudora, que ha supuesto el incumplimiento de los deberes de liquidación ordenada de la sociedad.  Previa recomendación de lectura del comentario sobre esta resolución, publicado por el Prof Juan Sánchez – Calero (29.09.2016) en su blog,  y la noticia de Pedro Moreno , noticias jurídicas, o VLEX, destacamos:

vidrierascatedralleon

  • La acción u omisión del administrador consiste, en este caso, en que  el administrador no procedió a la disolución ordenada de la sociedad, y además, entregó varios pagarés para el pago de los servicios prestados, sabiendo o debiendo conocer (que) su importe no se haría efectivo
  • El daño causado de modo directo sobre el patrimonio del acreedor viene representado por el importe de los créditos que, como consecuencia de aquel ilícito orgánico, la demandante no pudo cobrar.
  • En cuanto a la prueba, se señala que debe atribuirse a(l).., administrador la carga de la prueba de aquellos hechos respecto de los que tiene mayor facilidad probatoria. Añade, inter alia, el TS que el demandado además de no liquidar la empresa o proceder a una liquidación no hace saber a dónde fue a parar lo obtenido con la venta de activos que él mismo demandado había señalado, y respecto de cuyo paradero a él corresponde la prueba por hallarse en posición de evidenciarla (mientras que la demandante no lo está).
    • Reproducimos aquí un estracto del comentario del Profesor Sánchez-Calero  de 29.09.2016 antes referido: «La doctrina jurisprudencial no implica revestir a la acción individual de una mayor severidad material. Sus presupuestos siguen siendo los mismos. Lo que es incuestionable es que tal doctrina debe alertar a los administradores demandados a la hora de desplegar una especial diligencia probatoria en orden a acreditar la falta de alguno de los requisitos o presupuestos esenciales de esa acción. No bastará ya la simple defensa basada en que el actor no lo hizo. La acción individual presenta así un régimen probatorio especial que no cabe desconocer»

Se subraya en esta sentencia que no se trata de dirimir una acción por deudas sociales contra el administrador por no haber iniciado el proceso liquidatorio (Art 367 LSC). Tampoco de una acción de reintegración a la sociedad (acción social, Art 134 LSA, 238 TRLSC) sino de una acción de resarcimiento de daños directos causados por acciones y omisiones del administrador, contra el acreedor demandante, es decir, de una acción individual de responsabilidad (Art 135 LSA, Art 241 TRLSC). Implica una especial aplicación de responsabilidad extracontractual que cuenta con una regulación propia, especializada respecto de la genérica prevista en el art. 1902 CC. Una responsabilidad por «ilícito orgánico»,  contraída en el desempeño de sus funciones del cargo. El TS recuerda que existe algún antecedente de admisión de la acción individual de responsabilidad para indemnizar daños a acreedores por impago de sus créditos como consecuencia del cierre de facto de la actividad empresarial de la sociedad (por ejemplo, la Sentencia 261/2007, de 14 de marzo