La Comisión Nacional del Mercado de Valores (CNMV) ha publicado el “Informe sobre la supervisión por la CNMV de la información no financiera y principales áreas de revisión del ejercicio siguiente. Ejercicio 2022”. La obligatoriedad de elaborar el Estado de … Sigue leyendo
Archivo de la etiqueta: Gobierno Corporativo
Hacia la Directiva de Diligencia Debida de las empresas (Derechos Humanos y Medio Ambiente)
Galería
La Directiva de Diligencia Debida (DDD) se presenta como un instrumento transversal de protección frente a los impactos de las empresas en materia de Derechos Humanos (DH) y en materia de medioambiente (Ma). Introduce una nueva forma de gobernanza para … Sigue leyendo
TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo
El 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea («TJUE») dictó sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisión, el TJUE aclaró los criterios para evaluar si existe un conflicto de intereses entre la función de Delegado de Protección de Datos («DPD/DPO») y otras tareas o funciones asignadas al mismo DPD/DPO.
- Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislación sobre protección de datos y las políticas adoptadas en cada organización, y actuar como punto de contacto con las autoridades de control.
- Para desempeñar eficazmente estas tareas debe operar con independencia. A tales efectos, el artículo 38, apartado 3, del RGPD establece específicamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al más alto nivel directivo (recuérdese que el mismo artículo prohíbe despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).
En esta sentencia, el TJUE hizo hincapié en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecución de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en función de otro cargo que compatibilice) determinar los objetivos y métodos del tratamiento de datos personales.
Ahora bien, a efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluación casuística, para determinar si existe un conflicto de intereses. En esta evaluación se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, así como las políticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este último aspecto, se planteó la cuestión de si esta prohibición se opone a una legislación nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal únicamente cuando exista una causa justificada, aunque el despido no esté relacionado con el ejercicio de las tareas del DPD/DPO. Para llegar a esta conclusión, el Tribunal reiteró que los conceptos de «destituir» y «sancionar» deben interpretarse con arreglo al lenguaje corriente (véase también la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra «cualquier decisión que ponga fin a sus funciones, por la que se le coloque en una situación de desventaja o que constituya una sanción». El Tribunal confirmó que una medida de despido por parte de un empleador puede constituir una decisión de este tipo.
El Tribunal también reiteró que la prohibición de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relación con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo sólo cuando los motivos subyacentes a la decisión se refieren al desempeño de sus funciones. El Tribunal consideró que cada Estado miembro es libre de establecer disposiciones específicas más protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protección no menoscabe la consecución de los objetivos del RGPD. Tal menoscabo podría producirse, por ejemplo, cuando la legislación nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.
- En cuanto al conflicto de intereses, el TJUE señala que el artículo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el artículo 39 del RGPD), pero impone la obligación de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
- Sobre las circunstancias podrían suponer tal conflicto de intereses, el Tribunal respondió de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan «menoscabar la ejecución de las funciones desempeñadas por el DPD/DPO». Más concretamente, el Tribunal confirmó que se produciría un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinación de los objetivos y métodos de tratamiento de datos personales por su parte. Evidentemente, la determinación de objetivos o métodos de tratamiento de datos chocaría con el requisito de poder revisar de forma independiente dichos objetivos y métodos. La evaluación de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y políticas aplicables).
1) El artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.
2) El artículo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.
Más:
- Esta conclusión es coherente con las directrices del Grupo de Trabajo del Artículo 29 sobre los responsables de la protección de datos de 2017.
Sanción belga por conflicto entre DPD y compliance Officer
El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protección de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protección de datos («RGPD») relativos al nombramiento de un responsable de la protección de datos («DPD»).
Tras la notificación de una violación de datos, la APD belga inició una investigación sobre las prácticas de protección de datos y el programa de privacidad de la empresa y su investigación se centró en tres supuestas infracciones del RGPD,
- el deber de cooperar con la APD;
- las obligaciones de rendición de cuentas (evaluaciones de riesgo y violación de datos); y
- los requisitos relacionados con el cargo de DPD de la sociedad.
En su decisión, la Sala de lo Contencioso de la APD belga solo confirmó la infracción de los requisitos del DPD del RGPD (artículo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gestión de Riesgos y Auditoría a ese DPD, la sociedad había incumplido su obligación de garantizar que su DPD esté libre de cualquier conflicto de intereses.
En particular, la Sala de lo Contencioso de la APD belga indicó en su decisión que:
- Si el DPO, como Jefe del departamento de Auditoría Interna, tiene poder de decisión con respecto al despido de empleados, no es compatible con la función del DPO.
- El que los departamentos que dirige la persona que actúa como DPO de la sociedad cumplan una función independiente y consultiva en relación con los demás departamentos de la empresa y, como tales, no tengan poder de decisión con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
- Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gestión de Riesgos y Auditoría, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.
En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la función de jefe de departamento de Cumplimiento Normativo, Gestión de Riesgos y Auditoría la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinación de funciones, existe una falta total de supervisión independiente del DPO en relación con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gestión de Riesgos y Auditoría. Además, la APD belga indica que, debido a su doble función, el DPO puede no ser capaz de ofrecer suficientes garantías a los empleados afectados en términos de confidencialidad y secreto.
En vista de lo anterior, la Sala de lo Contencioso ordenó modificar la situación e impuso una multa administrativa de 50.000 euros. (recurrible)
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
TJUE: RGPD y Despido del Delegado de Protección de Datos
En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunció sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminación del empleo de un responsable de la protección de datos (DPO) de conformidad con el artículo 38 (2) y el artículo 6 (4) frase 2 de la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG).
Antecedentes
La decisión del TJUE se basa en la petición de decisión prejudicial del Tribunal Federal de Trabajo alemán (Bundesarbeitsgericht, BAG) formulada mediante la decisión de 30 de julio de 2020 (2 AZR 225/20). El BAG debía pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.
- El empleador, una sociedad de Derecho privado que, con arreglo a la legislación alemana, está obligada a nombrar a un DPO, había puesto fin a la relación laboral de la DPO con la debida antelación debido a una medida de reestructuración. Los tribunales de primera instancia consideraron que la rescisión no era válida porque eran aplicables las disposiciones que regulan la rescisión de la relación laboral de un DPO con arreglo al artículo 38, apartado 2, y al artículo 6, apartado 4, segunda frase, de la BDSG, por lo que la relación laboral sólo podía haberse rescindido por “causa justificada”, en el sentido de la BDSG y el RGPD.
-
-
-
-
- El artículo 6 (4) de la BDSG, establece:…No se pondrá fin a la relación laboral del responsable de la protección de datos a menos que existan hechos que den al organismo …. una causa justa para poner fin a la relación laboral sin previo aviso. […]»
-
-
-
-
- El BAG tenía dudas sobre la compatibilidad de esta disposición (artículo 6 (4) de la BDSG) con el artículo 38, apartado 3, frase 2, del RGPD («El responsable del tratamiento o el encargado del tratamiento no podrá despedirlo ni sancionarlo por el desempeño de sus funciones«), ya que las disposiciones alemanas imponen requisitos más estrictos al cese del empleo de un DPO que la disposición de la legislación de la UE. En este contexto, el BAG planteó la siguiente pregunta al TJCE*:
«¿Debe interpretarse el artículo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposición de Derecho nacional, como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisión ordinaria del contrato de trabajo del delegado de protección de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempeño de sus funciones?».
En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y que el l artículo 37 del RGPD, titulado «Designación del delegado de protección de datos», tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que: a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. El artículo 38 del RGPD, titulado «Posición del delegado de protección de datos», establece, en sus apartados 3 y 5: «3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.[…] 5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.» El artículo 39 del RGPD, titulado «Funciones del delegado de protección de datos», dispone, en su apartado 1, letra b): «El delegado de protección de datos tendrá como mínimo las siguientes funciones:…, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;…..
La respuesta del TJUE a la pregunta del BAG es que la segunda frase del artículo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislación nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protección de datos, que es miembro de su personal, únicamente con justa causa, aunque la rescisión contractual no esté relacionada con el desempeño de las tareas de dicho delegado, en la medida en que dicha legislación no menoscabe la consecución de los objetivos del RGPD. Según el TJCE, las disposiciones alemanas, en virtud de las cuales la relación laboral de un DPO sólo puede rescindirse por causa justificada, aunque la rescisión no esté relacionada con el desempeño de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicación tradicional de la legislación alemana de protección del empleo favorable a los trabajadores.
El TJUE justificó su decisión afirmando que el artículo 38, apartado 3, frase 2, del RGPD sirve únicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relación laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero sólo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijación de normas sobre la protección de los DPD/DPO frente a la terminación de su relación laboral es fundamentalmente una cuestión de política social, ámbito en el que los Estados miembros de la UE pueden establecer disposiciones más tuitivas y estrictas que el legislador de la UE, siempre dentro de unos límites. Así, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE señala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podrían impedir la rescisión del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempeñar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD
Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerarán estos dos casos como «causas justas» para el despido en futuras decisiones y/o si desarrollarán otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuestión de si existe una causa justa para el despido aún debe determinarse caso por caso, si bien los efectos de una rescisión sobre las obligaciones derivadas del RGPD desempeñarán un papel importante a la hora de determinar si existe una causa justa para la rescisión.
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
STJUE: Reparto de dividendos a socios, que son además directivos de entidades gestoras de fondos de inversión. Aplicabilidad de la política de retribución de la entidad
El Tribunal de Justicia de la UE se ha pronunciado, mediante Sentencia de 1 de agosto de 2022 recaída en el asunto C- 325/20, HOLD Alapkezelő, en relación con la posibilidad de que determinados directivos de sociedades gestoras de OICVM (organismos de inversión colectiva) y de FIA (fondos de inversión alternativa) perciban dividendos como socios de HOLD. El TJUE concluye que la política, y el marco positivo relativo a la retribución de administradores y directivos si es aplicable a determinadas distribuciones de dividendos, de las que se benefician los directivos. Señala, no obstante, que corresponde al órgano jurisdiccional nacional la decisión sobre si la distribución genera conflictos de intereses, fomenta el cortoplacismo contrario a los intereses de los fondos y de los inversores, y supone una medida para evitar la aplicación de las políticas retributivas.
Antecedentes:
HOLD Alapkezelő Befektetési Alapkezelő Zrt. («HOLD») es una entidad cuyo objeto o actividad habitual consiste en la gestión de organismos de inversión colectiva en valores mobiliarios (OICVM) y de fondos de inversión alternativos (FIA). En 2019 fue sancionada por el Magyar Nemzeti Bank (Banco Nacional de Hungría) en relación a una práctica que consiste en el abono de dividendos a algunos de sus directivos que al mismo tiempo eran, directa o indirectamente (a través de otras sociedades), accionistas mayoritarios de la propia HOLD. Se trataba de directores generales, directores de inversiones o gestores de cartera, es decir, personal estratégico de gestión.
Como fundamento de la sanción impuesta, el Banco Nacional de Hungría consideró que, como consecuencia del reparto de dividendos sustanciales, los mencionados perceptores -socios y directivos de HOLD- podían ver afectada su independencia. Más concretamente, el supervisor nacional justificó su postura afirmando que, a raíz de la distribución de unos beneficios muy superiores a lo que venía siendo habitual, los dirigentes (y socios mayoritarios de HOLD) pasaban a estar interesados en la generación de ingresos a corto plazo. Y, que en virtud de ello podrían llegar a asumir riesgos incompatibles con el perfil de riesgo de los fondos de inversión gestionados, con el reglamento de gestión de HOLD, y con los intereses de los partícipes de los fondos. De esta forma, y siempre según el Banco Nacional de Hungría, la percepción de dividendos por parte de unos socios-directivos tendría como consecuencia la elusión del derecho positivo en lo relativo a las políticas de remuneración de administradores y altos ejecutivos en el sector de los servicios financieros.
HOLD recurrió contra la decisión del Banco Nacional de Hungría ante el Fővárosi Törvényszék (Tribunal Superior de Budapest, Hungría), alegando que los dividendos ni constituían una «remuneración variable» a sus ejecutivos , ni entraban en el ámbito de su política de remuneración como entidad. HOLD se apoyaba en que -conforme a sus propias políticas de retribuciones- la parte variable de la retribución de ejecutivos es la cantidad que se les abona en función de criterios de rendimiento; mientras que el reparto de dividendos constituye un concepto distinto, ya que forma parte del derecho de propiedad del accionista. La percepción de dividendos sería así, independiente de la actividad desarrollada por sus perceptores en la entidad, de su cargo y de su rendimiento individual en el desarrollo de sus funciones. Además, añadía HOLD, que contrariamente a lo deducido por el Banco Nacional de Hungría, en todo caso el reparto en cuestión intensificaría el interés largoplacista de los ejecutivos-socios.
El Fővárosi Törvényszék desestimó el recurso. Afirmó que los dividendos abonados en este asunto constituyen una remuneración a los ejecutivos-socios. Su decisión se alineó en lo fundamental con la del Banco Nacional de Hungría. Este Tribunal consideró que la política de retribución debe aplicarse a los dividendos abonados a las sociedades controladas por los ejecutivos que los reciben, pues redunda en el interés económico de éstos. Se basó, entre otras apreciaciones, en que los dividendos, considerablemente superiores a la remuneración fija y variable habitual, generaban un interés por fomentar los beneficios a corto plazo de los fondos de inversión, a costa de la asunción de riesgos incompatible con los intereses de los inversores. Según este Tribunal, HOLD debería haber diferido el pago de, al menos, el 40% de los dividendos abonados, ajustándolo al ciclo de vida de los fondos de inversión gestionados y a los reembolsos de las participaciones del fondo; y debería haber repartido esos dividendos, en al menos tres años. El Fővárosi Törvényszék concluyó que la operación analizada reflejaba un mecanismo para eludir las normas de la política de remuneración aplicables a los ejecutivos de HOLD
La Petición de Decisión Prejudicial
El asunto fue remitido al Kúria (Tribunal Supremo, Hungría). El Kúria , considerando necesario obtener una interpretación de los artículos 14 a 14 ter de la Directiva 2009/65, del considerando 28 y del artículo 13, apartado 1, y de los puntos 1 y 2 del anexo II de la Directiva 2011/61, así como del artículo 2, apartado 5, del Reglamento Delegado 2017/565, decidió suspender el procedimiento y plantear al Tribunal de Justicia una cuestión prejudicial:
«¿Los dividendos distribuidos a [los trabajadores afectados de la demandante en el procedimiento principal] (a) directamente, en virtud de su derecho de propiedad como titulares de participaciones preferentes con derecho preferente a dividendos emitidas por la gestora de fondos de inversión, y (b) [indirectamente, a través de] las sociedades unipersonales de las que son titulares, en virtud de las participaciones preferentes con derecho preferente a dividendos [emitidas por la demandante en el procedimiento principal] que poseen dichas sociedades ¿se encuentran cubiertas por las políticas de remuneración de los gestores de fondos de inversión?»
Deliberaciones y sentencia del Tribunal de Justicia
El Tribunal de Justicia, dejando claro que el del Reglamento Delegado 2017/565 no resulta de aplicación en este asunto, sostuvo en cambio que el pago de dividendos a determinados ejecutivos de sociedades gestoras puede entrar en el ámbito de aplicación de las Directivas 2009/65 y 2011/61 sobre políticas y prácticas de remuneración, aunque estos dividendos no se abonen como contraprestación de las tareas desarrolladas por los mencionados ejecutivos, sino que formen parte de sus derechos de propiedad, como socios. Concretamente, las Directivas 2009/65 y 2011/61 se aplicarían a tales dividendos, cuando su abono puede incitar a sus perceptores a asumir riesgos perjudiciales para los intereses de los OICVM o de los FIA gestionados, y para los inversores en tales vehículos.
El Tribunal de Justicia interpretó las Directivas 2009/65 y 2011/61 para determinar el alcance material de las políticas y prácticas en materia de remuneración definidas en ellas, y su aplicabilidad al asunto controvertido.
- Señaló que tales las políticas de retribuciones se aplican a todo tipo de retribuciones. Es decir, a cualquier pago u otro beneficio realizado a cambio de servicios profesionales prestados por los empleados de las sociedades de gestión de OICVM o los gestores de FIA . En el caso de los dividendos de las acciones de una sociedad de gestión de OICVM o de un gestor de FIA, aunque no se abonan como tal contrapartida, sino en virtud de un derecho derivado de la propiedad sobre las acciones de la sociedad, su reparto puede dar lugar a una práctica de elusión del derecho imperativo en materia de retribuciones:
- Por lo que respecta a la interpretación del concepto de «retribución», a efectos de la aplicación de las Directivas 2009/65 y 2011/61, el TJUE estableció (apartados 41 y 42) que, cuando una una disposición del Derecho de la Unión no hace ninguna remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance, ésta debe interpretarse de manera autónoma y uniforme en toda la Unión Europea [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos de penalización), C-439/19, EU: C:2021:504, apartado 81, entre otros). Y, añadió que la interpretación de una disposición del Derecho de la Unión exige tener en cuenta no sólo su texto, sino también su contexto, así como los objetivos y la finalidad perseguidos por el acto del que forma parte (sentencia de 15 de marzo de 2022, Autorité des marchés financiers, C-302/20, EU:C:2022:190, apartado 63).
- El alto Tribunal de Luxemburgo subrayó además, que el artículo 14 de la Directiva 2009/65 insta a evitar conflictos de intereses, a actuar con equidad y diligencia. Y, que la Directiva 2011/61 propugna evitar conflictos de intereses y promueve el establecimiento mecanismos de gobernanza adecuados a ese efecto.
- Se apoyó el TJUE, adicionalmente, en el tenor del apartado 11 de la Recomendación nº 3 del Banco Nacional de Hungría, de 9 de febrero de 2017, (relativa a la aplicación de las políticas de remuneración):«Cuando los empleados de las organizaciones a las que se aplica la política de remuneración tengan también una participación mayoritaria en esa organización o en una de sus filiales, la política de remuneración debe definirse teniendo en cuenta esa circunstancia especial. Se debe garantizar, para cada empleado, que la política de remuneración cumple los requisitos de las disposiciones pertinentes de la [Ley nº CCXXXVII de 2013 sobre las entidades de crédito y las empresas financieras] y de la [Ley nº CXXXVIII de 2007 sobre las empresas de inversión y los operadores de bolsas de productos y sobre las normas que rigen sus actividades] y el contenido de la presente recomendación».
- El TJUE aludió a otros elementos que deben verificarse para determinar la licitud del abono de dividendos en las circunstancias expuestas, como el tamaño y el tipo de participaciones que poseen los ejecutivos-socios, los derechos de voto vinculados a ellas, la política y el proceso de toma de decisiones para la distribución de los beneficios de la entidad, entre otros.
En su Sentencia, el Tribunal de Justicia de la Unión Europea afirmó que debe evitarse cualquier modo de remuneración variable, articulada mediante instrumentos o métodos que supongan, en realidad, una elusión de los requisitos de las Directivas 2009/65 y 2011/61, que regulan las políticas y prácticas de remuneración. Establece, que si la política o la práctica de abono de dividendos fomenta la asunción de riesgos incompatibles con los perfiles de riesgo; o con el reglamento o los documentos constitutivos de los OICVM o FIA gestionados; o si perjudica los intereses de los OICVM o FIA y de sus inversores, se estaría propiciando la inaplicación de las exigencias de las Directivas 2009/65 y 2011/61 relativas a las políticas y prácticas de remuneración. Por ello, el pago de dividendos en tales condiciones debe someterse a los principios que rigen las políticas y prácticas de remuneración de directivos.
En este contexto, el TJUE añadió que corresponde al órgano jurisdiccional remitente comprobar, en particular, si existe una relación entre los beneficios obtenidos por los OICVM y los FIA, los obtenidos por la gestora, y el reparto de dividendos. Es decir, el órgano jurisdiccional nacional debe verificar si los perceptores de dividendos -en el caso concreto y como consecuencia del reparto- tendrían interés en que los OICVM y los FIA obtengan los mayores beneficios posibles a corto plazo. Este sería el caso, por ejemplo, si el OICVM o el FIA abonase a la gestora una comisión de rendimiento por superar un objetivo de rentabilidad durante un período de referencia determinado y si esta comisión fuera redistribuida, total o parcialmente por ésta en forma de dividendos, a una serie de empleados- directivos, o a otras empresas controladas, independientemente de los resultados globales obtenidos por el OICVM o el FIA en el período y, en particular, de las pérdidas sufridas por el OICVM o el FIA.
Por otra parte, el Tribunal de Justicia estableció, que su interpretación de las Directivas sobre retribución es conforme con el artículo 17, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea. Este precepto consagra el derecho de propiedad y es aplicable a la titularidad de acciones y al derecho a percibir dividendos como los del presente asunto. El Tribunal de Justicia considera que la interpretación de las Directivas 2009/65 y 2011/61 en el sentido precedente no tiene por efecto cuestionar el derecho de propiedad de ciertos socios que son además directivos. Y que por tanto, no constituye una privación de la propiedad en el sentido del artículo 17, apartado 1, segunda frase, de la Carta. La aplicación de los principios que rigen las políticas y prácticas de remuneración a los dividendos representa una regulación del uso de la propiedad, que es admitida en el sentido de la tercera frase del apartado 1 del artículo 17 de la Carta. Las restricciones a los derechos de los accionistas, que son una de las consecuencias de este caso, son proporcionadas. Cumplen las condiciones exigidas por la Carta y están previstas en tanto en las Directivas 2009/65 y 2011/61 como en el derecho positivo nacional; no menoscaban la esencia del derecho de propiedad y responden a objetivos de interés general reconocidos por la Unión, a saber, la protección de los inversores y la estabilidad del sistema financiero.
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
Sanciones de la SEC en materia ESG
El 23 de mayo, la SEC anunció por vez primera que una de sus resoluciones sancionadoras estaban fundamentadas en la labor de su Grupo de Trabajo ESG constituido en marzo de 2021 para identificar las lagunas materiales o las declaraciones erróneas en la divulgación de los riesgos climáticos por parte de los emisores en virtud de las normas [de la SEC] existentes».
Esta primera resolución sancionadora es; ADMINISTRATIVE PROCEEDING File No. 3-20867, BNY MELLON INVESTMENT ADVISER, INC (respondent).
La SEC, concretamente, impuso una multa de 1,5 millones de dólares a BNY Mellon Investment Adviser Inc, una filial propiedad de BNY Mellon, por presuntos fallos en la divulgación de información sobre ASG. La entidad supuestamente engañó a los clientes haciéndoles creer que ciertas inversiones habían sido sometidas a las llamadas revisiones de calidad ESG cuando no era así.
En concreto, la supuesta divulgación inexacta se realizó entre julio de 2018 y septiembre de 2021 en folletos y otros materiales en los que BNY Mellon Investment Adviser representaba o daba a entender que todas las inversiones de los fondos se habían sometido a una revisión de calidad ESG. En realidad, la orden afirma que «numerosas inversiones en acciones y/o bonos corporativos… no tenían una puntuación de revisión de calidad ESG en el momento de la inversión.» La entidad no admitió ni negó las conclusiones, pero aceptó una orden de cese y desistimiento, la censura y la sanción civil de 1,5 millones de dólares. BNY Mellon también «emprendió rápidamente» acciones correctivas, como la actualización de sus materiales de divulgación y la cooperación con la Comisión.
«Como ilustra esta acción, la Comisión hará responsables a los asesores de inversión cuando no describan con precisión la incorporación de factores ASG en su proceso de selección de inversiones», declaró Adam S. Aderton, codirector de la Unidad de Gestión de Activos de la División de Ejecución de la SEC y miembro del grupo de trabajo sobre ASG. El tiempo dirá cuántas acciones de aplicación adicionales serán iniciadas por el grupo de trabajo ESG, en particular si se aprueban las normas de divulgación del cambio climático y otras normas de divulgación relacionadas con ESG propuestas por la SEC.
Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha
Propuestas de reformas en Solvencia II- (2).- Resolución y rescate de entidades aseguradoras y reaseguradoras
Sigue de esta entrada anterior
Como veíamos, la Comisión Europea ha propuesto recientemente reformas en la Directiva Solvencia II (Directiva 2009/138/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) .
Las reformas se materializan principalmente, en una Propuesta de Directiva sobre la proporcionalidad, la calidad de la supervisión, la transparencia, garantías a largo plazo, instrumentos macro prudenciales, riesgos de sostenibilidad, y supervisión de grupos y trasfronteriza. (COM (2021) 581 final) (22.09.2021), presentado recientemente aquí. Y, en otra Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco para la recuperación y la resolución de las empresas de seguros o reaseguros, y por la que se modifican las Directivas 2002/47/CE, 2004/25/CE, 2009/138/CE y (UE) 2017/1132 y los Reglamentos (UE) n.º 1094/2010 y (UE) n.º 648/2012 Este texto, ahora objeto de atención se inspira, con las adaptaciones necesarias, en recientes trabajos nacionales e internacionales sobre resolución y rescate, dentro de los que destacan estos:
Antecedentes
- El Reglamento (UE) 2021/23 del Parlamento Europeo y del Consejo de 16 de diciembre de 2020 sobre un marco para el rescate y la resolución de entidades de contrapartida central y por el que se modifican los Reglamentos (UE) n.º 1095/2010, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 806/2014 y (UE) 2015/2365 y las Directivas 2002/47/CE, 2004/25/CE, 2007/36/CE, 2014/59/UE y (UE) 2017/1132 ; y
- El Reglamento (UE) 2021/23 del Parlamento Europeo y del Consejo de 16 de diciembre de 2020 sobre un marco para el rescate y la resolución de Bancos.
- También, en buena medida, el Informe EIOPA-BoS/17-148 de 5.07.2017 ; y el informe EIOPA de 2020, EIOPA-BoS-20/749 de 17 de diciembre
- Por otra parte, estas propuestas tienen apoyo en determinados trabajos internacionales como los del Financial Stability Board que en octubre de 2014 elaboró su documento “Cuestiones Clave (KA)” sobre regímenes de resolución eficaces para el sector de los seguros y que estaba dirigido a cualquier aseguradora que pudiera resultar ser sistémicamente significativa o incluso crítica en caso de insolvencia. También, el FSB publicó orientaciones complementarias sobre estrategias y planes de resolución eficaces en junio de 2016 y una Metodología de Evaluación de KA de agosto de 2020. En paralelo, la Asociación Internacional de Supervisores de Seguros (IAIS) adoptó en noviembre de 2019 un conjunto de Principios Básicos de Seguros para todas las empresas de seguros y reaseguros, así como un Marco Común para los Grupos de Seguros Internacionalmente Activos (IAIG) que detalla las normas para la planificación de la recuperación preventiva.
- Y, no deja de ser relevante, como antecedente de esta reforma, que algunos Estados miembros como Países Bajos, Francia o Rumanía cuentan ya con marcos específicos. Inspiran esta parte de la reforma y en un futuro podrán mantenerse vigentes en tanto que respeten los márgenes de armonización de la Propuesta.
Fundamento del establecimiento de un régimen de rescate e insolvencia en entidades del sector asegurador
Si bien en los procedimientos de insolvencia normales, el objetivo principal es maximizar el valor de los activos de la empresa en interés de los acreedores, en el sector de la prestación de servicios de seguros y reaseguros, las dificultades de estas entidades se transmiten inmediatamente a los asegurados en el sentido de que necesitan mantener su protección aseguradora, o bien si a la luz de la insolvencia deviene imposible, encontrar alternativas al seguro contratado a un coste razonable, lo que supone una dificultad especial en el caso de los seguros de vida. Además, los procesos de insolvencias se propongan en el tiempo con lo que pueden transcurrir muchos años antes de que el proceso de insolvencia concluya. En ese periodo se genera incertidumbre, sobre todo en lo que respecta a los cobros de indemnizaciones.
Por otra parte, en el contexto de los grupos transfronterizos, las consecuencias se multiplican y amplían surtiendo efectos en distintas jurisdicciones.
Y, en el caso de crisis de una entidad de reaseguro, la insolvencia fácilmente conlleva consecuencias sistémicas.
Con esta reforma, el legislador europeo atiende a la necesidad de mantener los servicios críticos dentro del sector asegurador, incluso en situaciones cercanas a la insolvencia. Es decir, mantener las funciones críticas de los seguros para los asegurados y garantizar una transferencia fluida de sus carteras de seguros, logrando al mismo tiempo resultados similares a los de los procedimientos de insolvencia normales en cuanto a la asignación de pérdidas a accionistas y acreedores.
El nuevo marco se basará en la prevención y la preparación. Las aseguradoras y reaseguradoras sometidas al ámbito de Solvencia II/R deberán elaborar planes de recuperación preventivos para fomentar su preparación. Y tendrán que facilitar la adopción de medidas correctivas rápidas cuando se enfrenten a escenarios de estrés. Esta obligación se exigirá conforme a criterios de proporcionalidad.
Las autoridades de resolución deben elaborar planes de resolución sobre cómo hacer frente a cualquier forma de dificultad financiera que supere los recursos existentes de la aseguradora o reaseguradora. Si las autoridades de resolución identifican obstáculos a la resolución durante el proceso de planificación y preparación, pueden exigir que se adopte una decisión sobre la situación financiera de la aseguradora. Y pueden exigir a la entidad en crisis que adopte las medidas adecuadas para simplificar su estructura a fin de garantizar que pueda resolverse sin suponer un coste de rescate público.
Por otra parte, las autoridades supervisoras estarán facultadas para intervenir en una fase temprana para hacer frente al deterioro de la situación financiera al incumplimiento de los requisitos normativos exigidos a las aseguradoras y evitar la escalada. También se dotan a las autoridades nacionales de otros instrumentos de resolución.
Se pretende minimizar el impacto de la insolvencia sobre la economía y el sistema financiero, así como lograr la continuidad de la protección de los seguros para los titulares de las pólizas, los beneficiarios y los perjudicados. Por ello se facilitará la trasferencia de actividades y carteras viables de la entidad de seguros cuando sea posible
En lo relativo a los grupos transfronterizos, dado que algunos grupos de seguros tienen una actividad transfronteriza y, en algunos casos, incluso mundial, la propuesta promueve una coordinación adecuada de las medidas de resolución en un contexto transfronterizo para proteger a los asegurados, a la economía real y a la estabilidad financiera. Y establece una serie de principios. Por un lado, deberán respetarse los nuevos requisitos de confidencialidad. Por otro, los órganos de resolución se establecerán bajo la dirección única de una autoridad de resolución del grupo, con la participación de EIOPA. Esta Autoridad europea facilitará la cooperación de las autoridades, contribuirá a la coherencia y mediará si es necesario.
Los principales instrumentos de resolución contemplados son:
1.- Reducción de valor o conversión de instrumentos de capital (como acciones), instrumentos de deuda (como obligaciones) y otros instrumentos de capital para hacer frente a las deudas y pasivos admisibles. Así, los accionistas y los acreedores generales asumirán las pérdidas en primer lugar y se facilitará el ejercicio de otras actividades de resolución, como una liquidación previa a la insolvencia, ventas (por ejemplo de partes de la actividad de la entidad en crisis), préstamos u otros compromisos temporales (puente) , disgregación de activos y pasivos con posibles ventas de parte del negocio a efectos de capitalizar la actividad que permanezca en la entidad o en el grupo. O incluso con trasferencia de una parte de la actividad de la entidad en crisis a un organismo público en modo coordinado con la puesta en marcha de instrumentos de resolución, entre otros.
2.- Se retirará la autorización a las aseguradoras en crisis para concluir nuevos contratos de seguro (o reaseguro), limitando su actividad a la cartera existente.
3.- En caso de resolución, ésta se somete a control estricto y a la demostración de que se realiza en interés público. La propuesta de Directiva incorpora salvaguardias adecuadas para proteger los intereses de las partes interesadas afectadas, en especial atendiendo a que los acreedores no queden en peor situación de lo que harían en una insolvencia común.
Propuestas de reformas en Solvencia II- (1)
La Comisión Europea ha propuesto recientemente reformas en la Directiva Solvencia II (Directiva 2009/138/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) .
A propósito de Solvencia II
Llamamos Solvencia II a un amplio paquete normativo en el que destaca la Directiva 2009/138/CE, y un conjunto de Actos delegados que se basan en ella y que se agrupan en el Reglamento Delegado (UE) 2015/35. Ambos se acompañan de Regulatory technical standards y de Implementing technical standards, y Guidelines de la Autoridad Europea de Seguros y Fondos de Pensiones Ocupacionales (EIOPA) . Estas últimas incorporan la obligación de los supervisores nacionales de cumplirlas o bien de explicar porque difieren de ellas. También forman parte de este conjunto, en un sentido amplio, normas soft que contribuyen a una aplicación coherente en la UE de Solvencia II. La Directiva 2009/138/CE fue objeto de una primera modificación antes de entrar en vigor con la Directiva 2014/51/CE (que incorporó el ajuste por volatilidad y el ajuste por casamiento). Y de sucesivas modificaciones que también se han reflejado en los actos delegados, comenzando por el Reglamento Delegado (UE) 2016/467. En junio de 2019 se produjo una reforma muy importante sobre el cálculo del capital de solvencia obligatorio (SCR) .
El primer pilar de Solvencia II establece y desarrolla las exigencias de capital conforme al nivel real de riesgo asumido por cada entidad. Se diferencia el MCR (minimum capital requirement) por debajo del cual la entidad debe adoptar medidas especiales para garantizar la solvencia. Y el SCR (solvency capital requirement) que sería un nivel de recursos óptimo y refleja el nivel de capital que permite a una entidad absorber pérdidas significativas e imprevistas. Por ello, debería ser calculado teniendo en cuenta el nivel de exposición a riesgos derivados de cada entidad, en función de sus actividades y operaciones. más estrictos en materia de capital que se aplicarán gradualmente hasta 2032, que afectan a algunas aseguradoras y re aseguradoras . El segundo pilar de Solvencia II es el del control interno, o gestión interna de riesgos por parte de las entidades aseguradoras y reaseguradoras que deben contar con sistemas al efecto de este control interno, periódico, y apoyarse en evaluaciones independientes. El tercer pilar de desarrollo de Solvencia II es el de la transparencia, información, y disciplina de mercado, responsabilidad frente al supervisor.
Reformas propuestas a finales de 2021
Las reformas se materializan principalmente, en una Propuesta de Directiva sobre la proporcionalidad, la calidad de la supervisión, la transparencia, garantías a largo plazo, instrumentos macroprudenciales, riesgos de sostenibilidad, y supervisión de grupos y trasfronteriza. (COM(2021) 581 final) (22.09.2021). Este documento se presenta como una actualización general de la Directiva 2009/138/CE para adaptarla a la experiencia de los primeros años de aplicación, y para orientar el sector a su contribución efectiva a la recuperación de Europa post COVID-19, a la realización de la Unión de Mercados de Capitales y al Acuerdo Verde Europeo.
Además, forma parte de la reforma una Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco para la recuperación y la resolución de las empresas de seguros o reaseguros, y por la que se modifican las Directivas 2002/47/CE, 2004/25/CE, 2009/138/CE y (UE) 2017/1132 y los Reglamentos (UE) n.º 1094/2010 y (UE) n.º 648/2012 COM(2021) 582 final Este texto (objeto de otra entradilla) se inspira, con las adaptaciones necesarias en recientes nacionales y trabajos internacionales sobre resolución y rescate, a los que aludiremos
Queda fuera de la reforma, al menos por el momento, el establecimiento de mecanismos o sistemas de garantía (SGS) comunes para la UE en materia de insolvencia de aseguradoras.
Aspectos a destacar y objetivos de Solvencia II/R:
Requisitos de capital. La Comisión Europea mantiene, en esta reforma, el objetivo de evitar el deterioro de la posición de solvencia de las aseguradoras a nivel de la UE. No incorpora un endurecimiento general de los requisitos de capital por considerar que la situación es bastante sólida del sector de los seguros en Europa. Sin embargo, si establece algunos requisitos
Proporcionalidad en la exigencia de requisitos de capital. . Solvencia II es un conjunto de normas que prevé su aplicación proporcionada a las (re)aseguradoras más pequeñas . Sin embargo, el principio de proporcionalidad que ya está vigente no ha producido el resultado deseado, por lo que se justifican, en esta propuesta de reforma, normas más concretas para dotarle de más eficacia.
Márgenes de riesgo. La propuesta de la Comisión modifica el marco para que las fluctuaciones del mercado a corto plazo, la volatilidad, no afecten excesivamente a la posición de solvencia de las aseguradoras a corto plazo. También se revisarán los actos Delegados relacionados con Solvencia II para reducir el impacto en el balance de las aseguradoras de las turbulencias del mercado a corto plazo.
Aumentar la presencia del sector asegurador en la inversión. La industria aseguradora gestiona billones de activos y representa un pilar importante de la industria financiera europea. Además, sus pasivos se materializan a largo plazo como lo que las entidades aseguradoras y reaseguradoras podrían proporcionar financiación de capital a largo plazo a las empresas. Con todo, en los últimos 20 años han desinvertido en acciones a largo plazo. Por ello, la reforma se orienta a incentivar la presencia de este sector en la inversión en capital productivo en la UE. Así, dentro de las anunciadas modificaciones del Acto Delegado de Solvencia II, se revisarán los criterios de elegibilidad de las clases de activos de renta variable a largo plazo en los que se permite la inversión. Con ello las aseguradoras se beneficiarán de un tratamiento preferente del capital cuando inviertan en instrumentos de capital a largo plazo. Además, las reformas modificaran el calculo del capital exigido a las aseguradoras en el sentido de que la carga de capital se modulará en función de la evolución de los mercados bursátiles lo que supone un incentivo y facilita la inversión.
Incorporación del sector asegurador a la economía verde. Esta reforma reforzará la gestión de los riesgos climáticos por parte de las aseguradoras y reaseguradoras en el sentido de introducir una exigencia de análisis de escenarios de cambio climático a largo plazo en sus operaciones. La Autoridad Europea de Seguros y Fondos de Pensiones (EIOPA) llevará a cabo pruebas de resistencia climática centralizadas en el sector de los (re)seguros y la Comisión pondrá en marcha un Diálogo sobre la Resiliencia Climática y explorará formas de mejorar la recopilación de datos sobre pérdidas aseguradas. En esta línea, la reforma establece los dos mandatos para la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA)
- revisar las nuevas pruebas sobre las inversiones perjudiciales para el medio ambiente o la sociedad con vistas a posibles cambios en la fórmula estándar de Solvencia II y elaborar un informe a más tardar en 2023;
- revisar periódicamente los datos sobre las tendencias de la frecuencia y la gravedad de las catástrofes naturales y la exposición de las aseguradoras y reaseguradoras de la UE a dichas catástrofes con vistas a posibles cambios en los módulos de riesgo de catástrofe de la fórmula estándar de Solvencia II.
Grupos. Solvencia II se ocupó de los grupos de aseguradoras, para superar la situación anterior en que la supervisión se realizaba prácticamente por entidades individuales. Ahora se pretende mejorar las disposiciones relativas a grupos.
En cuanto al rescate e insolvencia de entidades aseguradoras y reaseguradoras, continuaremos en otra entrada
Gobierno corporativo y ciberseguridad. Sanciones de la SEC por faltas de gestión y de transparencia de riesgos de ciberseguridad en EEUU
La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.
En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.
A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en First American Financial Corporation, que se salda con una sanción de $487,616:
- El 15 de junio de 2021, la SEC anunciaba una sanción de $487,616 contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
- Como antecedentes de hecho, el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
- En el curso de sus investigaciones, la SEC averiguó que el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
- Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
- Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
- Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
- En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
- Por otra parte, un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
- También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.
- En el curso de sus investigaciones, la SEC averiguó que el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
- Como antecedentes de hecho, el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.
Con anterioridad, en el año 2018 Yahoo!., Inc. fue sancionada en otro expediente de la SEC que le obligó a satisfacer $ 35 millones. La SEC resolvió que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.
- En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
- Fundamentando su resolución sancionadora, la SEC consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia, valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
- La Resolución de la SEC en este caso estableció que «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención…
- Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada durante dos años) sobre los inversores. Más sobre este asunto aquí
Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.
Más sobre estas cuestiones:
- Nota de prensa de SEC 2021-169
- Nota de prensa de SEC 2011-86
- Comentario, Lederer aqui
- Más general (prensa) la ciberseguridad como riesgo de empresa
Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos
Se comenta en esta entrada un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos
El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo
Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,
- En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA debe tener como referente los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
- Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
- Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
- Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente, recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas, recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.
- En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una obligación de notificación directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
-
- Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso. - Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
- Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
-
- En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea. Las consideraciones del fallo impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
- Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con Estados Unidos de América resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos, un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
- Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
- Concretamente, el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
- Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
- La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el Safe Harbor.
- El TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
- La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
- El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
- Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades responsables de la trasferencia internacional de dato a EEUU a establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo
- Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.
El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.
Responsabilidad de administradores por incumplimiento del deber de vigilancia. El «test» Caremark y jurisprudencia reciente de Delaware
En esta entrada de da cuenta de la importancia de las medidas de gobernanza para la supervisión y control por parte del consejo de administración, sobre la declaración de responsabilidad de administradores (y altos ejecutivos). Para ello, nos servimos de recientes resoluciones judiciales de la judicatura estadounidense, y en concreto, de la del estado de Delaware. Cabe subrayar que para apreciar el alcance de esta jurisprudencia debe partirse de la concepción de deber de diligencia (deber fiduciario) apreciada conforme al llamado «test Caremark» fruto de jurisprudencia anterior.
Conforme al leading case Caremark ( In re Caremark Int’l Inc. Derivative Litigation 698 A.2d 959 (Del.Ch. 1996), los miembros del consejo tienen el deber de vigilar y supervisar el cumplimiento normativo, la viabilidad operativa y el desempeño financiero de la sociedad
El estándar de conducta “Caremark” se basa en la verificación de si el consejo de administración fue, o no fue diligente, en el sentido de no poner en funcionamiento mecanismos de comunicación y de control destinados a hacer llegar al consejo informaciones sobre el funcionamiento de la empresa (y por tanto facilitar el ejercicio de la diligencia del ordenado empresario a través del control, la supervisión, la vigilancia). Incluso cuando estos mecanismos de “reporting” y control existan, los administradores y consejeros también pueden incurrir en incumplimientos si los obvian o no los tienen en cuenta. Además, para deducir condenas de responsabilidad civil, Caremark exige prueba de actos (u omisiones) específicos de los que se pueda establecer la concurrencia de una suerte de negligencia grave (mala fe) de los consejeros. Las demandas de responsabilidad de administradores que se basan en el test Caremark se fundamentan, por tanto, en los procedimientos de gobernanza interna de las sociedades y de ahí viene considerándose que (conforme a la influyente jurisprudencia de Delaware) es recomendable que los consejeros y ejecutivos puedan demostrar su labor de vigilancia y atención al cumplimiento normativo, especialmente en relación con situaciones como las derivadas de investigaciones de los supervisores, en las que se exige de ellos un nivel de cuidado elevado y por lo tanto pueden ser acusados de negligencia.Y, para facilitar la prueba eximente los titulares del órgano de administración y los altos ejecutivos se apoyan en distintos mecanismos reconocidos para el control de riesgos que incluirían desde programas de compliance, a comisiones delegadas de riesgos o protocolos de actuación.
Mencionamos algunas decisiones recientes para ilustrar, con cierto grado de detalle, como opera este principio.
Richardson v. Clark (MoneyGram. 2020 WL 7861335 (Del. Ch. 31 de diciembre de 2020)
La demanda de responsabilidad de administradores y altos ejecutivos fue desestimada
MoneyGram es una empresa especializada en trasferencias monetarias que había sido objeto de investigaciones (y sanciones) por blanqueo de capitales, en virtud de las cuales estaba sometida a un programa de indemnizaciones a favor de algunos afectados por sus actividades. Para realizar el seguimiento del programa que le fue impuesto, puso en marcha mecanismos internos de compliance legal que estaban destinados, precisamente, a cumplir el programa de indemnizaciones y a evitar que las actividades corporativas continuasen en la línea de las que motivaron la imposición de sanciones. Sin embargo, los problemas y errores de ejecución en su operativa causaron desajustes en el programa de indemnizaciones (que no dejaba de ser una sanción), por lo que fue ampliado de modo que el nivel de las indemnizaciones que MoneyGram hubo de satisfacer se incrementó.
En el año 2020 los accionistas interpusieron una acción derivativa de responsabilidad contra los consejeros y altos ejecutivos de MoneyGram. Las alegaciones de los demandantes consistían (sustancialmente) en no habían sido diligentes en la ejecución del programa de compliance en el sentido de que se produjeron errores y retrasos en el cumplimiento del programa de indemnizaciones. Alegaron, y evidenciaron que MoneyGram había actuado con lentitud y sin eficacia en relación con las indemnizaciones que debía abonar y que sus directivos habían ignorado las alertas recibidas la autoridad que supervisaba el mencionado programa de indemnizaciones. Si bien tales acusaciones estaban, en conjunto, fundamentadas, el Tribunal tuvo en cuenta que la demanda no había se había apoyado en hechos o actuaciones concretas de las que pudiese deducirse mala fe (una suerte de negligencia grave en ese ordenamiento) en el desempeño de la función de vigilancia de los directivos acusados. Añadía la Delaware Court of Chancery, que conforme al test Caremark, el hecho de que un programa de cumplimiento no fuese adecuado o no tuviera mucho éxito no era suficiente para derivar responsabilidad civil de consejeros y altos ejecutivos.
Fisher v.Sanborn (LendingClub) 2021 WL 1197577 (Del. Ch. 30 de marzo de 2021).
En este asunto la acción derivativa de responsabilidad contra consejeros y altos ejecutivos también fue desestimada.
LendingClub opera una plataforma online que pone en contacto a inversores con potenciales solicitantes de crédito. En 2016, la Federal Trade Commission (FTC) inició una investigación por posibles prácticas engañosas y desleales con los consumidores por parte de LendingClub. Dos años más tarde, en virtud de los resultados de la investigación, la FTC interpuso acciones judiciales. Sobre esa base, un accionista demandó al consejo de LendingClub mediante una acción derivativa alegando que no había puesto en marcha un mecanismo adecuado de control de las actividades que eran competencia de los consejeros; que había obviado conscientemente su deber de supervisar el cumplimiento de deberes derivados de la legislación de protección de consumidores y que habían realizado afirmaciones engañosas y falsas especialmente a los inversores.
La Court of Chancery rechazó todos estos argumentos de la demanda. Por un lado señaló, a favor de los demandados, que el consejo de administración contaba con una comisión delegada de riesgos, que ésta recibía información actualizada de las quejas de los consumidores, que conocía el proceso de la FTC y que debatía periódicamente sobre estas cuestiones. Por todo ello este Tribunal consideró que no podía afirmarse que los demandados no se hubieran esforzado en supervisar el cumplimiento de la legislación de consumidores. Por otra parte, afirmó que el hecho de que se hubiesen realizado investigaciones e incluso acciones judiciales por parte del supervisor no demostraba que los consejeros supiesen, ni que debieran haber sabido que la sociedad estaba violando las leyes. Finalmente, la Court of Chancery se basó en que el demandante no había probado que los administradores actuasen de mala fe ni aportado evidencia de hechos concretos por los que pudiera deducirse que los administradores sabían que la corporación incumplía la ley, ni tampoco hechos de los que se pudiera deducir que los mandatarios habían mentido deliberadamente a los inversores en relación con las investigaciones de la FTC
Marchand v. Barnhill , 212 A.3d 805 (Del. 2019)
La acción de responsabilidad fue estimada
Blue Bell Creameries USA, Inc, uno de los mayores fabricantes de helados de Estados Unidos, sufrió un brote de listeria a principios de 2015. La incapacidad de esta corporación para contener la propagación de la listeria en sus plantas de fabricación hizo que ésta se extendiese en sus productos. Tres personas murieron como resultado del brote. La empresa retiró entonces todos sus productos, cerró la producción en todas sus plantas y despidió a más de un tercio de su plantilla.
Los accionistas también sufrieron pérdidas porque, tras el cierre operativo, Blue Bell conoció una crisis de liquidez que le obligó a aceptar una inversión de capital privado en virtud del cual la participación en el capital de los accionistas iniciales quedó diluída. Un accionista presentó una demanda derivativa contra dos altos ejecutivos y contra administradores de Blue Bell, alegando el incumplimiento de las obligaciones fiduciarias de los demandados. La demanda se fundamentaba, más concretamente, en que los ejecutivos -el presidente y director general, y el vicepresidente de operaciones- incumplieron sus deberes de diligencia y lealtad al ignorar, a sabiendas, los riesgos de contaminación y al no supervisar la seguridad de las operaciones de fabricación de alimentos de Blue Bell.
La demanda presentó hechos concretos que apoyaban razonablemente la alegación de que la administración de Blue Bell no había implantado ningún sistema para supervisar el cumplimiento de los deberes de seguridad alimentaria de Blue Bell. El hecho de que un consejo de administración «no intente garantizar la existencia de un sistema razonable de información y comunicación» equivale a un acto de «mala fe» contrario a sus deberes fiduciarios. Cuando un demandante puede evidenciar que el consejo de administración no ha realizado ningún esfuerzo para asegurarse de que está informado de asuntos relativos a cumplimiento que son críticos para el funcionamiento de la empresa, cumple los requisitos del exignte test Caremark para atribuir responsabilidad a sus miembros.
Así en Marchand, el Tribunal Supremo de Delaware determinó que el consejo de una empresa de helados que no contaba con sistemas para controlar la seguridad alimentaria, había incumplido su deber fiduciario.