Hacia la Directiva de Diligencia Debida de las empresas (Derechos Humanos y Medio Ambiente)

Galer铆a

La Directiva de Diligencia Debida (DDD) se presenta como un instrumento transversal de protecci贸n frente a los impactos de las empresas en materia de Derechos Humanos (DH) y en materia de medioambiente (Ma). Introduce una nueva forma de gobernanza para … Sigue leyendo

TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo

Springtime

El 9 de febrero de 2023, el Tribunal de Justicia de la Uni贸n Europea (芦TJUE禄) dict贸 sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisi贸n, el TJUE aclar贸 los criterios para evaluar si existe un conflicto de intereses entre la funci贸n de Delegado de Protecci贸n de Datos (芦DPD/DPO禄) y otras tareas o funciones asignadas al mismo DPD/DPO.

  • Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislaci贸n sobre protecci贸n de datos y las pol铆ticas adoptadas en cada organizaci贸n, y actuar como punto de contacto con las autoridades de control.
  • Para desempe帽ar eficazmente estas tareas debe operar con independencia. A tales efectos, el art铆culo 38, apartado 3, del RGPD establece espec铆ficamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al m谩s alto nivel directivo (recu茅rdese que el mismo art铆culo proh铆be despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).

En esta sentencia, el TJUE hizo hincapi茅 en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecuci贸n de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en funci贸n de otro cargo que compatibilice) determinar los objetivos y m茅todos del tratamiento de datos personales.

Ahora bien, a 聽efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluaci贸n casu铆stica, para determinar si existe un conflicto de intereses. En esta evaluaci贸n se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, as铆 como las pol铆ticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este 煤ltimo aspecto, se plante贸 la cuesti贸n de si esta prohibici贸n se opone a una legislaci贸n nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal 煤nicamente cuando exista una causa justificada, aunque el despido no est茅 relacionado con el ejercicio de las tareas del DPD/DPO. 聽Para llegar a esta conclusi贸n, el Tribunal reiter贸 que los conceptos de 芦destituir禄 y 芦sancionar禄 deben interpretarse con arreglo al lenguaje corriente (v茅ase tambi茅n la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra 芦cualquier decisi贸n que ponga fin a sus funciones, por la que se le coloque en una situaci贸n de desventaja o que constituya una sanci贸n禄. El Tribunal confirm贸 que una medida de despido por parte de un empleador puede constituir una decisi贸n de este tipo.

El Tribunal tambi茅n reiter贸 que la prohibici贸n de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relaci贸n con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo s贸lo cuando los motivos subyacentes a la decisi贸n se refieren al desempe帽o de sus funciones. El Tribunal consider贸 que cada Estado miembro es libre de establecer disposiciones espec铆ficas m谩s protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protecci贸n no menoscabe la consecuci贸n de los objetivos del RGPD. Tal menoscabo podr铆a producirse, por ejemplo, cuando la legislaci贸n nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.

  • En cuanto al conflicto de intereses, el TJUE se帽ala que el art铆culo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el art铆culo 39 del RGPD), pero impone la obligaci贸n de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
  • Sobre las circunstancias podr铆an suponer tal conflicto de intereses, el Tribunal respondi贸 de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan 芦menoscabar la ejecuci贸n de las funciones desempe帽adas por el DPD/DPO禄. M谩s concretamente, el Tribunal confirm贸 que se producir铆a un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinaci贸n de los objetivos y m茅todos de tratamiento de datos personales por su parte. Evidentemente, la determinaci贸n de objetivos o m茅todos de tratamiento de datos chocar铆a con el requisito de poder revisar de forma independiente dichos objetivos y m茅todos. La evaluaci贸n de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y pol铆ticas aplicables).

Fallo:

1)聽聽聽聽聽聽El art铆culo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protecci贸n de datos que forme parte de su plantilla por causa grave, aun cuando la destituci贸n no est茅 relacionada con el desempe帽o de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecuci贸n de los objetivos de ese Reglamento.

2)聽聽聽聽聽El art铆culo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un 芦conflicto de intereses禄, en el sentido de esta disposici贸n, cuando se encomienden a un delegado de protecci贸n de datos otras funciones o cometidos que llevar铆an a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales pol铆ticas de estos 煤ltimos.

M谩s:

 

Sanci贸n belga por conflicto entre DPD y compliance Officer

El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protecci贸n de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protecci贸n de datos (芦RGPD禄) relativos al nombramiento de un responsable de la protecci贸n de datos (芦DPD禄).

Tras la notificaci贸n de una violaci贸n de datos, la APD belga inici贸 una investigaci贸n sobre las pr谩cticas de protecci贸n de datos y el programa de privacidad de la empresa y su investigaci贸n se centr贸 en tres supuestas infracciones del RGPD,

Canaval_Oma帽a (Le贸n)

  1. el deber de cooperar con la APD;
  2. las obligaciones de rendici贸n de cuentas (evaluaciones de riesgo y violaci贸n de datos); y
  3. los requisitos relacionados con el cargo de DPD de la sociedad.

En su decisi贸n, la Sala de lo Contencioso de la APD belga solo confirm贸 la聽 infracci贸n de los requisitos del DPD del RGPD (art铆culo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a a ese DPD, la sociedad hab铆a incumplido su obligaci贸n de garantizar que su DPD est茅 libre de cualquier conflicto de intereses.

En particular, la Sala de lo Contencioso de la APD belga indic贸 en su decisi贸n que:

  • Si el DPO, como Jefe del departamento de Auditor铆a Interna, tiene poder de decisi贸n con respecto al despido de empleados, no es compatible con la funci贸n del DPO.
  • El que los departamentos que dirige la persona que act煤a como DPO de la sociedad cumplan una funci贸n independiente y consultiva en relaci贸n con los dem谩s departamentos de la empresa y, como tales, no tengan poder de decisi贸n con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
  • Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.

En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la funci贸n de jefe de departamento de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinaci贸n de funciones, existe una falta total de supervisi贸n independiente del DPO en relaci贸n con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a. Adem谩s, la APD belga indica que, debido a su doble funci贸n, el DPO puede no ser capaz de ofrecer suficientes garant铆as a los empleados afectados en t茅rminos de confidencialidad y secreto.

En vista de lo anterior, la Sala de lo Contencioso orden贸 modificar la situaci贸n e impuso una multa administrativa de 50.000 euros. (recurrible)

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

 

TJUE: RGPD y Despido del Delegado de Protecci贸n de Datos

En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunci贸 sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminaci贸n del empleo de un responsable de la protecci贸n de datos (DPO) de conformidad con el art铆culo 38 (2) y el art铆culo 6 (4) frase 2 de la Ley Federal de Protecci贸n de Datos (Bundesdatenschutzgesetz, BDSG).

No Eume- Ponte do Eume

Antecedentes

La decisi贸n del TJUE se basa en la petici贸n de decisi贸n prejudicial del Tribunal Federal de Trabajo alem谩n (Bundesarbeitsgericht, BAG) formulada mediante la decisi贸n de 30 de julio de 2020 (2 AZR 225/20). El BAG deb铆a pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.

  • El empleador, una sociedad de Derecho privado que, con arreglo a la legislaci贸n alemana, est谩 obligada a nombrar a un DPO, hab铆a puesto fin a la relaci贸n laboral de la DPO con la debida antelaci贸n debido a una medida de reestructuraci贸n. Los tribunales de primera instancia consideraron que la rescisi贸n no era v谩lida porque eran aplicables las disposiciones que regulan la rescisi贸n de la relaci贸n laboral de un DPO con arreglo al art铆culo 38, apartado 2, y al art铆culo 6, apartado 4, segunda frase, de la BDSG, por lo que la relaci贸n laboral s贸lo pod铆a haberse rescindido por 鈥渃ausa justificada鈥, en el sentido de la BDSG y el RGPD.
            • El art铆culo 6 (4) de la BDSG, establece:鈥No se pondr谩 fin a la relaci贸n laboral del responsable de la protecci贸n de datos a menos que existan hechos que den al organismo 鈥. una causa justa para poner fin a la relaci贸n laboral sin previo aviso. […]禄
  • El BAG ten铆a dudas sobre la compatibilidad de esta disposici贸n (art铆culo 6 (4) de la BDSG) con el art铆culo 38, apartado 3, frase 2, del RGPD (芦El responsable del tratamiento o el encargado del tratamiento no podr谩 despedirlo ni sancionarlo por el desempe帽o de sus funciones芦), ya que las disposiciones alemanas imponen requisitos m谩s estrictos al cese del empleo de un DPO que la disposici贸n de la legislaci贸n de la UE. En este contexto, el BAG plante贸 la siguiente pregunta al TJCE*:

芦驴Debe interpretarse el art铆culo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposici贸n de Derecho nacional, como el art铆culo 38, apartados 1 y 2, en relaci贸n con el art铆culo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisi贸n ordinaria del contrato de trabajo del delegado de protecci贸n de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempe帽o de sus funciones?禄.

En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que 聽聽los delegados de protecci贸n de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempe帽ar sus funciones y cometidos de manera independiente.聽Y que el l art铆culo 37 del RGPD, titulado 芦Designaci贸n del delegado de protecci贸n de datos禄, tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designar谩n un delegado de protecci贸n de datos siempre聽que:聽 a) el tratamiento lo lleve a cabo una autoridad u organismo p煤blico, excepto los tribunales que act煤en en ejercicio de su funci贸n judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en raz贸n de su naturaleza, alcance y/o fines, requieran una observaci贸n habitual y sistem谩tica de interesados a gran escala,聽o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categor铆as especiales de datos con arreglo al art铆culo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el art铆culo聽10.聽El art铆culo 38 del RGPD, titulado 芦Posici贸n del delegado de protecci贸n de datos禄, establece, en sus apartados 3聽y聽5: 芦3.聽El responsable y el encargado del tratamiento garantizar谩n que el delegado de protecci贸n de datos no reciba ninguna instrucci贸n en lo que respecta al desempe帽o de dichas funciones. No ser谩 destituido ni sancionado por el responsable o el encargado por desempe帽ar sus funciones. El delegado de protecci贸n de datos rendir谩 cuentas directamente al m谩s alto nivel jer谩rquico del responsable o encargado.[鈥 5. El delegado de protecci贸n de datos estar谩 obligado a mantener el secreto o la confidencialidad en lo que respecta al desempe帽o de sus funciones, de conformidad con el Derecho de la Uni贸n o de los Estados miembros.禄聽El art铆culo 39 del RGPD, titulado 芦Funciones del delegado de protecci贸n de datos禄, dispone, en su apartado 1, letra聽b): 芦El delegado de protecci贸n de datos tendr谩 como m铆nimo las siguientes funciones:鈥, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protecci贸n de datos de la Uni贸n o de los Estados miembros y de las pol铆ticas del responsable o del encargado del tratamiento en materia de protecci贸n de datos personales, incluida la asignaci贸n de responsabilidades, la concienciaci贸n y formaci贸n del personal que participa en las operaciones de tratamiento, y las auditor铆as correspondientes;…..

Merindades burgalesas

Merindades burgalesas

La respuesta del TJUE a la pregunta del BAG es que la segunda frase del art铆culo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislaci贸n nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protecci贸n de datos, que es miembro de su personal, 煤nicamente con justa causa, aunque la rescisi贸n contractual no est茅 relacionada con el desempe帽o de las tareas de dicho delegado, en la medida en que dicha legislaci贸n no menoscabe la consecuci贸n de los objetivos del RGPD.聽Seg煤n el TJCE, las disposiciones alemanas, en virtud de las cuales la relaci贸n laboral de un DPO s贸lo puede rescindirse por causa justificada, aunque la rescisi贸n no est茅 relacionada con el desempe帽o de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicaci贸n tradicional de la legislaci贸n alemana de protecci贸n del empleo favorable a los trabajadores.

El TJUE justific贸 su decisi贸n afirmando que el art铆culo 38, apartado 3, frase 2, del RGPD sirve 煤nicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relaci贸n laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero s贸lo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijaci贸n de normas sobre la protecci贸n de los DPD/DPO frente a la terminaci贸n de su relaci贸n laboral es fundamentalmente una cuesti贸n de pol铆tica social, 谩mbito en el que los Estados miembros de la UE pueden establecer disposiciones m谩s tuitivas y estrictas que el legislador de la UE, siempre dentro de unos l铆mites. As铆, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE se帽ala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podr铆an impedir la 聽rescisi贸n del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempe帽ar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD

Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerar谩n estos dos casos como 芦causas justas禄 para el despido en futuras decisiones y/o si desarrollar谩n otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuesti贸n de si existe una causa justa para el despido a煤n debe determinarse caso por caso, si bien los efectos de una rescisi贸n sobre las obligaciones derivadas del RGPD desempe帽ar谩n un papel importante a la hora de determinar si existe una causa justa para la rescisi贸n.

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

STJUE: Reparto de dividendos a socios, que son adem谩s directivos de entidades gestoras de fondos de inversi贸n. Aplicabilidad de la pol铆tica de retribuci贸n de la entidad

El Tribunal de Justicia de la UE se ha pronunciado, mediante Sentencia de 1 de agosto de 2022 reca铆da en el asunto C- 325/20, HOLD Alapkezel艖, en relaci贸n con la posibilidad de que determinados directivos de sociedades gestoras de OICVM (organismos de inversi贸n colectiva) y de FIA聽 (fondos de inversi贸n alternativa) perciban dividendos como socios de HOLD. El TJUE concluye que la pol铆tica, y el marco positivo relativo a la retribuci贸n de administradores y directivos si es aplicable a determinadas distribuciones de dividendos, de las que se benefician los directivos. Se帽ala, no obstante, que corresponde al 贸rgano jurisdiccional nacional la decisi贸n sobre si la distribuci贸n genera conflictos de intereses, fomenta el cortoplacismo contrario a los intereses de los fondos y de los inversores, y supone una medida para evitar la aplicaci贸n de las pol铆ticas retributivas.

Evening (NW)

Antecedentes:

HOLD Alapkezel艖 Befektet茅si Alapkezel艖 Zrt. (芦HOLD禄) es una entidad cuyo objeto o actividad habitual consiste en la gesti贸n de organismos de inversi贸n colectiva en valores mobiliarios (OICVM) y de fondos de inversi贸n alternativos (FIA). En 2019 fue sancionada por el Magyar Nemzeti Bank (Banco Nacional de Hungr铆a) en relaci贸n a una pr谩ctica que consiste en el abono de dividendos a algunos de sus directivos que al mismo tiempo eran, directa o indirectamente (a trav茅s de otras sociedades), accionistas mayoritarios de la propia HOLD.聽 Se trataba de directores generales, directores de inversiones o gestores de cartera, es decir, personal estrat茅gico de gesti贸n.

Como fundamento de la sanci贸n impuesta, el Banco Nacional de Hungr铆a consider贸 que, como consecuencia del reparto de dividendos sustanciales, los mencionados perceptores -socios y directivos de HOLD- pod铆an ver afectada su independencia. M谩s concretamente, el supervisor nacional justific贸 su postura afirmando que, a ra铆z de la distribuci贸n de unos beneficios muy superiores a lo que ven铆a siendo habitual, los dirigentes (y socios mayoritarios de HOLD) pasaban a estar interesados en la generaci贸n de ingresos a corto plazo. Y,聽 que en virtud de ello podr铆an llegar a asumir riesgos incompatibles con el perfil de riesgo de los fondos de inversi贸n gestionados, con el reglamento de gesti贸n de HOLD, y con los intereses de los part铆cipes de los fondos. De esta forma, y siempre seg煤n el Banco Nacional de Hungr铆a, la percepci贸n de dividendos聽 por parte de unos socios-directivos tendr铆a como consecuencia la elusi贸n del derecho positivo en lo relativo a las pol铆ticas de remuneraci贸n de administradores y altos ejecutivos en el sector de los servicios financieros.

HOLD recurri贸 contra la decisi贸n del Banco Nacional de Hungr铆a ante el F艖v谩rosi T枚rv茅nysz茅k (Tribunal Superior de Budapest, Hungr铆a), alegando que los dividendos ni constitu铆an una 芦remuneraci贸n variable禄 a sus ejecutivos , ni entraban en el 谩mbito de su pol铆tica de remuneraci贸n como entidad. HOLD se apoyaba en que -conforme a sus propias pol铆ticas de retribuciones- la parte variable de la retribuci贸n de ejecutivos es la cantidad que se les abona en funci贸n de criterios de rendimiento; mientras que el reparto de dividendos constituye un concepto distinto, ya que forma parte del derecho de propiedad del accionista. La percepci贸n de dividendos ser铆a as铆, independiente de la actividad desarrollada por sus perceptores en la entidad, de su cargo y de su rendimiento individual en el desarrollo de sus funciones. Adem谩s, a帽ad铆a HOLD, que contrariamente a lo deducido por el Banco Nacional de Hungr铆a, en todo caso el reparto en cuesti贸n intensificar铆a el inter茅s largoplacista de los ejecutivos-socios.

El F艖v谩rosi T枚rv茅nysz茅k desestim贸 el recurso. Afirm贸 que los dividendos abonados en este asunto constituyen una remuneraci贸n a los ejecutivos-socios. Su decisi贸n se aline贸 en lo fundamental con la del Banco Nacional de Hungr铆a. Este Tribunal consider贸 que la pol铆tica de retribuci贸n debe aplicarse a los dividendos abonados a las sociedades controladas por los ejecutivos que los reciben, pues redunda en el inter茅s econ贸mico de 茅stos. Se bas贸, entre otras apreciaciones, en que los dividendos, considerablemente superiores a la remuneraci贸n fija y variable habitual, generaban un inter茅s por fomentar los beneficios a corto plazo de los fondos de inversi贸n, a costa de la asunci贸n de riesgos incompatible con los intereses de los inversores. Seg煤n este Tribunal, HOLD deber铆a haber diferido el pago de, al menos, el 40% de los dividendos abonados, ajust谩ndolo al ciclo de vida de los fondos de inversi贸n gestionados y a los reembolsos de las participaciones del fondo; y deber铆a haber repartido esos聽 dividendos, en al menos tres a帽os. El F艖v谩rosi T枚rv茅nysz茅k concluy贸 que la operaci贸n analizada reflejaba un mecanismo para eludir las normas de la pol铆tica de remuneraci贸n aplicables a los ejecutivos de HOLD

La Petici贸n de Decisi贸n Prejudicial

El asunto fue remitido al K煤ria (Tribunal Supremo, Hungr铆a). El K煤ria ,聽considerando necesario obtener una interpretaci贸n de los art铆culos 14 a 14 ter de la Directiva 2009/65, del considerando 28 y del art铆culo 13, apartado 1, y de los puntos 1 y 2 del anexo II de la Directiva 2011/61, as铆 como del art铆culo 2, apartado 5, del Reglamento Delegado 2017/565, decidi贸 suspender el procedimiento y plantear al Tribunal de Justicia una cuesti贸n prejudicial:

驴Los dividendos distribuidos a [los trabajadores afectados de la demandante en el procedimiento principal]聽(a) directamente, en virtud de su derecho de propiedad como titulares de participaciones preferentes con derecho preferente a dividendos emitidas por la gestora de fondos de inversi贸n, y聽(b) [indirectamente, a trav茅s de] las sociedades unipersonales de las que son titulares, en virtud de las participaciones preferentes con derecho preferente a dividendos [emitidas por la demandante en el procedimiento principal] que poseen dichas sociedades聽驴se encuentran cubiertas por las pol铆ticas de remuneraci贸n de los gestores de fondos de inversi贸n?禄

 

Deliberaciones y sentencia del Tribunal de Justicia

El Tribunal de Justicia, dejando claro que el del Reglamento Delegado 2017/565 no resulta de aplicaci贸n en este asunto, sostuvo en cambio que el pago de dividendos a determinados ejecutivos de sociedades gestoras puede entrar en el 谩mbito de aplicaci贸n de las Directivas 2009/65 y 2011/61 sobre pol铆ticas y pr谩cticas de remuneraci贸n, aunque estos dividendos no se abonen como contraprestaci贸n de las tareas desarrolladas por los mencionados ejecutivos, sino que formen parte de sus derechos de propiedad, como socios. Concretamente, las Directivas 2009/65 y 2011/61 se aplicar铆an a tales dividendos, cuando su abono puede incitar a sus perceptores a asumir riesgos perjudiciales para los intereses de los OICVM o de los FIA gestionados, y para los inversores en tales veh铆culos.

El Tribunal de Justicia interpret贸 las Directivas 2009/65 y 2011/61 para determinar el alcance material de las pol铆ticas y pr谩cticas en materia de remuneraci贸n definidas en ellas, y su aplicabilidad al asunto controvertido.

  • Se帽al贸 que tales las pol铆ticas de retribuciones se aplican a todo tipo de retribuciones. Es decir, a cualquier pago u otro beneficio realizado a cambio de servicios profesionales prestados por los empleados de las sociedades de gesti贸n de OICVM o los gestores de FIA . En el caso de los dividendos de las acciones de una sociedad de gesti贸n de OICVM o de un gestor de FIA, aunque no se abonan como tal contrapartida, sino en virtud de un derecho derivado de la propiedad sobre las acciones de la sociedad, su reparto puede dar lugar a una pr谩ctica de elusi贸n del derecho imperativo en materia de retribuciones:
  • Por lo que respecta a la interpretaci贸n del concepto de 芦retribuci贸n禄, a efectos de la aplicaci贸n de las Directivas 2009/65 y 2011/61, el TJUE聽 estableci贸 (apartados 41 y 42) que, cuando una una disposici贸n del Derecho de la Uni贸n no hace ninguna remisi贸n expresa al Derecho de los Estados miembros para determinar su sentido y su alcance, 茅sta debe interpretarse de manera aut贸noma y uniforme en toda la Uni贸n Europea [sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos de penalizaci贸n), C-439/19, EU: C:2021:504, apartado 81, entre otros). Y, a帽adi贸 que la interpretaci贸n de una disposici贸n del Derecho de la Uni贸n exige tener en cuenta no s贸lo su texto, sino tambi茅n su contexto, as铆 como los objetivos y la finalidad perseguidos por el acto del que forma parte (sentencia de 15 de marzo de 2022, Autorit茅 des march茅s financiers, C-302/20, EU:C:2022:190, apartado 63).
  • El alto Tribunal de Luxemburgo subray贸 adem谩s, que el art铆culo 14 de la Directiva 2009/65 insta a evitar conflictos de intereses, a actuar con equidad y diligencia. Y, que聽 la Directiva 2011/61 propugna evitar conflictos de intereses y promueve el establecimiento mecanismos de gobernanza adecuados a ese efecto.
  • Se apoy贸 el TJUE, adicionalmente, en el tenor del apartado 11 de la Recomendaci贸n n潞 3 del Banco Nacional de Hungr铆a, de 9 de febrero de 2017, (relativa a la aplicaci贸n de las pol铆ticas de remuneraci贸n):芦Cuando los empleados de las organizaciones a las que se aplica la pol铆tica de remuneraci贸n tengan tambi茅n una participaci贸n mayoritaria en esa organizaci贸n o en una de sus filiales, la pol铆tica de remuneraci贸n debe definirse teniendo en cuenta esa circunstancia especial. Se debe garantizar, para cada empleado, que la pol铆tica de remuneraci贸n cumple los requisitos de las disposiciones pertinentes de la [Ley n潞 CCXXXVII de 2013 sobre las entidades de cr茅dito y las empresas financieras] y de la [Ley n潞 CXXXVIII de 2007 sobre las empresas de inversi贸n y los operadores de bolsas de productos y sobre las normas que rigen sus actividades] y el contenido de la presente recomendaci贸n禄.
  • El TJUE aludi贸 a otros elementos que deben verificarse para determinar la licitud del abono de dividendos en las circunstancias expuestas, como el tama帽o y el tipo de participaciones que poseen los ejecutivos-socios, los derechos de voto vinculados a ellas, la pol铆tica y el proceso de toma de decisiones para la distribuci贸n de los beneficios de la entidad, entre otros.

En su Sentencia, el Tribunal de Justicia de la Uni贸n Europea afirm贸 que debe evitarse cualquier modo de remuneraci贸n variable, articulada mediante instrumentos o m茅todos que supongan, en realidad, una elusi贸n de los requisitos de las Directivas 2009/65 y 2011/61, que regulan las pol铆ticas y pr谩cticas de remuneraci贸n.聽 Establece, que si la pol铆tica o la pr谩ctica de abono de dividendos fomenta la asunci贸n de riesgos incompatibles con los perfiles de riesgo; o con el reglamento o los documentos constitutivos de los OICVM o FIA gestionados; o si perjudica los intereses de los OICVM o FIA y de sus inversores, se estar铆a propiciando la inaplicaci贸n de las exigencias de las Directivas 2009/65 y 2011/61 relativas a las pol铆ticas y pr谩cticas de remuneraci贸n. Por ello, el pago de dividendos en tales condiciones debe someterse a los principios que rigen las pol铆ticas y pr谩cticas de remuneraci贸n de directivos.

En este contexto, el TJUE a帽adi贸 que corresponde al 贸rgano jurisdiccional remitente comprobar, en particular, si existe una relaci贸n entre los beneficios obtenidos por los OICVM y los FIA, los obtenidos por la gestora, y el reparto de dividendos. Es decir, el 贸rgano jurisdiccional nacional debe verificar si los perceptores de dividendos -en el caso concreto y como consecuencia del reparto- tendr铆an inter茅s en que los OICVM y los FIA obtengan los mayores beneficios posibles a corto plazo. Este ser铆a el caso, por ejemplo, si el OICVM o el FIA abonase a la gestora una comisi贸n de rendimiento por superar un objetivo de rentabilidad durante un per铆odo de referencia determinado y si esta comisi贸n fuera redistribuida, total o parcialmente por 茅sta en forma de dividendos, a una serie de empleados- directivos, o a otras empresas controladas, independientemente de los resultados globales obtenidos por el OICVM o el FIA en el per铆odo y, en particular, de las p茅rdidas sufridas por el OICVM o el FIA.

Somewhere (NW)

Por otra parte, el Tribunal de Justicia estableci贸, que su interpretaci贸n de las Directivas sobre retribuci贸n es conforme con el art铆culo 17, apartado 1, de la Carta de los Derechos Fundamentales de la Uni贸n Europea. Este precepto consagra el derecho de propiedad y es aplicable a la titularidad de acciones y al derecho a percibir dividendos como los del presente asunto. El Tribunal de Justicia considera que la interpretaci贸n de las Directivas 2009/65 y 2011/61 en el sentido precedente no tiene por efecto cuestionar el derecho de propiedad de ciertos socios que son adem谩s聽 directivos. Y que por tanto, no constituye una privaci贸n de la propiedad en el sentido del art铆culo 17, apartado 1, segunda frase, de la Carta. La aplicaci贸n de los principios que rigen las pol铆ticas y pr谩cticas de remuneraci贸n a los dividendos representa una regulaci贸n del uso de la propiedad, que es admitida en el sentido de la tercera frase del apartado 1 del art铆culo 17 de la Carta. Las restricciones a los derechos de los accionistas, que son una de las consecuencias de este caso, son proporcionadas. Cumplen las condiciones exigidas por la Carta y est谩n previstas en tanto en las Directivas 2009/65 y 2011/61 como en el derecho positivo nacional; no menoscaban la esencia del derecho de propiedad y responden a objetivos de inter茅s general reconocidos por la Uni贸n, a saber, la protecci贸n de los inversores y la estabilidad del sistema financiero.

 

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

Sanciones de la SEC en materia ESG

El 23 de mayo, la SEC anunci贸 por vez primera que una de sus resoluciones sancionadoras estaban fundamentadas en la labor de su Grupo de Trabajo ESG constituido en marzo de 2021 para identificar las lagunas materiales o las declaraciones err贸neas en la divulgaci贸n de los riesgos clim谩ticos por parte de los emisores en virtud de las normas [de la SEC] existentes禄.

Esta primera resoluci贸n sancionadora es;聽 ADMINISTRATIVE PROCEEDING File No. 3-20867, BNY MELLON INVESTMENT ADVISER, INC (respondent).

La SEC, concretamente, impuso una multa de 1,5 millones de d贸lares a BNY Mellon Investment Adviser Inc, una filial propiedad de BNY Mellon, por presuntos fallos en la divulgaci贸n de informaci贸n sobre ASG. La entidad supuestamente enga帽贸 a los clientes haci茅ndoles creer que ciertas inversiones hab铆an sido sometidas a las llamadas revisiones de calidad ESG cuando no era as铆.

Santiago de Compostela. By M.A. D铆az.

En concreto, la supuesta divulgaci贸n inexacta se realiz贸 entre julio de 2018 y septiembre de 2021 en folletos y otros materiales en los que BNY Mellon Investment Adviser representaba o daba a entender que todas las inversiones de los fondos se hab铆an sometido a una revisi贸n de calidad ESG. En realidad, la orden afirma que 芦numerosas inversiones en acciones y/o bonos corporativos… no ten铆an una puntuaci贸n de revisi贸n de calidad ESG en el momento de la inversi贸n.禄 La entidad no admiti贸 ni neg贸 las conclusiones, pero acept贸 una orden de cese y desistimiento, la censura y la sanci贸n civil de 1,5 millones de d贸lares. BNY Mellon tambi茅n 芦emprendi贸 r谩pidamente禄 acciones correctivas, como la actualizaci贸n de sus materiales de divulgaci贸n y la cooperaci贸n con la Comisi贸n.

芦Como ilustra esta acci贸n, la Comisi贸n har谩 responsables a los asesores de inversi贸n cuando no describan con precisi贸n la incorporaci贸n de factores ASG en su proceso de selecci贸n de inversiones禄, declar贸 Adam S. Aderton, codirector de la Unidad de Gesti贸n de Activos de la Divisi贸n de Ejecuci贸n de la SEC y miembro del grupo de trabajo sobre ASG. El tiempo dir谩 cu谩ntas acciones de aplicaci贸n adicionales ser谩n iniciadas por el grupo de trabajo ESG, en particular si se aprueban las normas de divulgaci贸n del cambio clim谩tico y otras normas de divulgaci贸n relacionadas con ESG propuestas por la SEC.

 

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

Propuestas de reformas en Solvencia II- (2).- Resoluci贸n y rescate de entidades aseguradoras y reaseguradoras

Sigue de esta entrada anterior

Orilla

Beiramar

Como ve铆amos, la Comisi贸n Europea ha propuesto recientemente reformas en la Directiva Solvencia II (Directiva 2009/138/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) .聽

Las reformas se materializan principalmente, en una Propuesta de Directiva sobre la proporcionalidad, la calidad de la supervisi贸n, la transparencia, garant铆as a largo plazo, instrumentos macro prudenciales, riesgos de sostenibilidad, y supervisi贸n de grupos y trasfronteriza. 聽聽(COM (2021) 581 final) (22.09.2021), presentado recientemente aqu铆. 聽 Y, en otra Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco para la recuperaci贸n y la resoluci贸n de las empresas de seguros o reaseguros, y por la que se modifican las Directivas 2002/47/CE, 2004/25/CE, 2009/138/CE y (UE) 2017/1132 y los Reglamentos (UE) n.潞 1094/2010 y (UE) n.潞 648/2012 聽 Este texto, ahora objeto de atenci贸n聽 se inspira, con las adaptaciones necesarias, en recientes trabajos聽 nacionales e internacionales sobre resoluci贸n y rescate, dentro de los que destacan estos:

Antecedentes

  • El Reglamento (UE) 2021/23 del Parlamento Europeo y del Consejo de 16 de diciembre de 2020 sobre un marco para el rescate y la resoluci贸n de entidades de contrapartida central y por el que se modifican los Reglamentos (UE) n.潞 1095/2010, (UE) n.潞 648/2012, (UE) n.潞 600/2014, (UE) n.潞 806/2014 y (UE) 2015/2365 y las Directivas 2002/47/CE, 2004/25/CE, 2007/36/CE, 2014/59/UE y (UE) 2017/1132 ; y
  • El Reglamento (UE) 2021/23 del Parlamento Europeo y del Consejo de 16 de diciembre de 2020 sobre un marco para el rescate y la resoluci贸n de Bancos.
  • Tambi茅n, en buena medida, el Informe EIOPA-BoS/17-148 de 5.07.2017 ; y el informe EIOPA de 2020, EIOPA-BoS-20/749 de 17 de diciembre
  • Por otra parte, estas propuestas tienen apoyo en determinados trabajos internacionales como los del Financial Stability Board que en octubre de 2014 elabor贸 su documento 鈥淐uestiones Clave (KA)鈥 sobre reg铆menes de resoluci贸n eficaces para el sector de los seguros y que estaba dirigido a cualquier aseguradora que pudiera resultar ser sist茅micamente significativa o incluso cr铆tica en caso de insolvencia. Tambi茅n, el FSB public贸 orientaciones complementarias sobre estrategias y planes de resoluci贸n eficaces en junio de 2016 y una Metodolog铆a de Evaluaci贸n de KA de agosto de 2020. En paralelo, la Asociaci贸n Internacional de Supervisores de Seguros (IAIS) adopt贸 en noviembre de 2019 un conjunto de Principios B谩sicos de Seguros para todas las empresas de seguros y reaseguros, as铆 como un Marco Com煤n para los Grupos de Seguros Internacionalmente Activos (IAIG) que detalla las normas para la planificaci贸n de la recuperaci贸n preventiva.
  • Y, no deja de ser relevante, como antecedente de esta reforma, que algunos Estados miembros como Pa铆ses Bajos, Francia o Ruman铆a cuentan ya con marcos espec铆ficos. Inspiran esta parte de la reforma y en un futuro podr谩n mantenerse vigentes en tanto que respeten los m谩rgenes de armonizaci贸n de la Propuesta.

Fundamento del establecimiento de un r茅gimen de rescate e insolvencia en entidades del sector asegurador

Barbanz贸ns

Barbanz贸ns

Si bien en los procedimientos de insolvencia normales, el objetivo principal es maximizar el valor de los activos de la empresa en inter茅s de los acreedores, en el sector de la prestaci贸n de servicios de seguros y reaseguros, las dificultades de estas entidades se transmiten inmediatamente a los asegurados en el sentido de que necesitan聽 mantener su protecci贸n aseguradora, o bien si a la luz de la insolvencia deviene imposible, encontrar alternativas al seguro contratado a un coste razonable, lo que supone una dificultad especial en el caso de los seguros de vida. Adem谩s, los procesos de insolvencias se propongan en el tiempo con lo que pueden transcurrir muchos a帽os antes de que el proceso de insolvencia concluya. En ese periodo se genera incertidumbre, sobre todo en lo que respecta a los cobros de indemnizaciones.

Por otra parte, en el contexto de los grupos transfronterizos, las consecuencias se multiplican y ampl铆an surtiendo efectos en distintas jurisdicciones.

Y, en el caso de crisis de una entidad de reaseguro, la insolvencia f谩cilmente conlleva consecuencias sist茅micas.

 

Con esta reforma, el legislador europeo atiende a la necesidad de mantener los servicios cr铆ticos dentro del sector asegurador, incluso en situaciones cercanas a la insolvencia. Es decir, mantener las funciones cr铆ticas de los seguros para los asegurados y garantizar una transferencia fluida de sus carteras de seguros, logrando al mismo tiempo resultados similares a los de los procedimientos de insolvencia normales en cuanto a la asignaci贸n de p茅rdidas a accionistas y acreedores.

El nuevo marco se basar谩 en la prevenci贸n y la preparaci贸n. 聽Las aseguradoras y reaseguradoras sometidas al 谩mbito de Solvencia II/R deber谩n elaborar planes de recuperaci贸n preventivos para fomentar su preparaci贸n. Y tendr谩n que facilitar la adopci贸n de medidas correctivas r谩pidas cuando se enfrenten a escenarios de estr茅s. Esta obligaci贸n se exigir谩 conforme a criterios de proporcionalidad.

Las autoridades de resoluci贸n deben elaborar planes de resoluci贸n sobre c贸mo hacer frente a cualquier forma de dificultad financiera que supere los recursos existentes de la aseguradora o reaseguradora. Si las autoridades de resoluci贸n identifican obst谩culos a la resoluci贸n durante el proceso de planificaci贸n y preparaci贸n, pueden exigir que se adopte una decisi贸n sobre la situaci贸n financiera de la aseguradora. Y pueden exigir a la entidad en crisis que adopte las medidas adecuadas para simplificar su estructura a fin de garantizar que pueda resolverse sin suponer un coste de rescate p煤blico.

Por otra parte, las autoridades supervisoras estar谩n facultadas para intervenir en una fase temprana para hacer frente al deterioro de la situaci贸n financiera al incumplimiento de los requisitos normativos exigidos a las aseguradoras y evitar la escalada. Tambi茅n se dotan a las autoridades nacionales de otros instrumentos de resoluci贸n.

Se pretende minimizar el impacto de la insolvencia sobre la econom铆a y el sistema financiero, as铆 como lograr la continuidad de la protecci贸n de los seguros para los titulares de las p贸lizas, los beneficiarios y los perjudicados. Por ello se facilitar谩 la trasferencia de actividades y carteras viables de la entidad de seguros cuando sea posible

En lo relativo a los grupos transfronterizos, dado que algunos grupos de seguros tienen una actividad transfronteriza y, en algunos casos, incluso mundial, la propuesta promueve una coordinaci贸n adecuada de las medidas de resoluci贸n en un contexto transfronterizo para proteger a los asegurados, a la econom铆a real y a la estabilidad financiera. Y establece una serie de principios. Por un lado, deber谩n respetarse los nuevos requisitos de confidencialidad. Por otro, los 贸rganos de resoluci贸n se establecer谩n bajo la direcci贸n 煤nica de una autoridad de resoluci贸n del grupo, con la participaci贸n de EIOPA. Esta Autoridad europea facilitar谩 la cooperaci贸n de las autoridades, contribuir谩 a la coherencia y mediar谩 si es necesario.

脕rtabra

Los principales instrumentos de resoluci贸n contemplados son:

1.- Reducci贸n de valor o conversi贸n de instrumentos de capital (como acciones), instrumentos de deuda (como obligaciones) y otros instrumentos de capital para hacer frente a las deudas y pasivos admisibles. As铆, los accionistas y los acreedores generales asumir谩n las p茅rdidas en primer lugar y se facilitar谩 el ejercicio de otras actividades de resoluci贸n, como una liquidaci贸n previa a la insolvencia, ventas (por ejemplo de partes de la actividad de la entidad en crisis), pr茅stamos u otros compromisos temporales (puente) , disgregaci贸n de activos y pasivos con posibles ventas de parte del negocio a efectos de capitalizar la actividad que permanezca en la entidad o en el grupo. O incluso con trasferencia de una parte de la actividad de la entidad en crisis a un organismo p煤blico en modo coordinado con la puesta en marcha de instrumentos de resoluci贸n, entre otros.

2.- Se retirar谩 la autorizaci贸n a las aseguradoras en crisis para concluir nuevos contratos de seguro (o reaseguro), limitando su actividad a la cartera existente.

3.- En caso de resoluci贸n, 茅sta se somete a control estricto y a la demostraci贸n de que se realiza en inter茅s p煤blico. La propuesta de Directiva incorpora salvaguardias adecuadas para proteger los intereses de las partes interesadas afectadas, en especial atendiendo a que los acreedores no queden en peor situaci贸n de lo que har铆an en una insolvencia com煤n.

 

 

Propuestas de reformas en Solvencia II- (1)

La Comisi贸n Europea ha propuesto recientemente reformas en la Directiva Solvencia II (Directiva 2009/138/CE del Parlamento Europeo y del Consejo de 25 de noviembre de 2009 sobre el seguro de vida, el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II) .聽

A prop贸sito de Solvencia II

Llamamos Solvencia II a un amplio paquete normativo en el que destaca la Directiva 2009/138/CE,聽 y un conjunto de Actos delegados que se basan en ella y que se agrupan en el Reglamento Delegado (UE) 2015/35. Ambos se acompa帽an de Regulatory technical standards y de聽 Implementing technical standards,聽 y Guidelines de la Autoridad Europea de Seguros y Fondos de Pensiones Ocupacionales (EIOPA) . Estas 煤ltimas incorporan la obligaci贸n de los supervisores nacionales de cumplirlas o bien de explicar porque difieren de ellas. Tambi茅n forman parte de este conjunto, en un sentido amplio, normas soft que contribuyen a una aplicaci贸n coherente en la UE de Solvencia II.聽La Directiva 2009/138/CE fue objeto de una primera modificaci贸n antes de entrar en vigor con la Directiva 2014/51/CE (que incorpor贸 el ajuste por volatilidad y el ajuste por casamiento). Y de sucesivas modificaciones que tambi茅n se han reflejado en los actos delegados, comenzando por el Reglamento Delegado (UE) 2016/467. En junio de 2019 se produjo una reforma muy importante sobre el c谩lculo del capital de solvencia obligatorio (SCR) .

El primer pilar de Solvencia II establece y desarrolla las exigencias de capital conforme al nivel real de riesgo asumido por cada entidad. Se diferencia el MCR (minimum capital requirement) por debajo del cual la entidad debe adoptar medidas especiales para garantizar la solvencia. Y el SCR (solvency capital requirement) que ser铆a un nivel de recursos 贸ptimo y refleja el nivel de capital que permite a una entidad absorber p茅rdidas significativas e imprevistas. Por ello, deber铆a ser calculado teniendo en cuenta el nivel de exposici贸n a riesgos derivados de cada entidad, en funci贸n de sus actividades y operaciones. 聽m谩s estrictos en materia de capital que se aplicar谩n gradualmente hasta 2032, que afectan a algunas aseguradoras y re aseguradoras .聽 El segundo pilar de Solvencia II es el del control interno, o gesti贸n interna de riesgos por parte de las entidades aseguradoras y reaseguradoras que deben contar con sistemas al efecto de este control interno, peri贸dico, y apoyarse en evaluaciones independientes. El tercer pilar de desarrollo de Solvencia II es el de la transparencia, informaci贸n, y disciplina de mercado, responsabilidad frente al supervisor.

Parador de San Marcos. Le贸n.

Parador de San Marcos. Le贸n.

Reformas propuestas a finales de 2021

Las reformas se materializan principalmente, en una Propuesta de Directiva sobre la proporcionalidad, la calidad de la supervisi贸n, la transparencia, garant铆as a largo plazo, instrumentos macroprudenciales, riesgos de sostenibilidad, y supervisi贸n de grupos y trasfronteriza. 聽 (COM(2021) 581 final) (22.09.2021). Este documento se presenta como una actualizaci贸n general de la Directiva 2009/138/CE para adaptarla a la experiencia de los primeros a帽os de aplicaci贸n, y para orientar el sector a su contribuci贸n efectiva a la recuperaci贸n de Europa post COVID-19, a la realizaci贸n de la Uni贸n de Mercados de Capitales y al Acuerdo Verde Europeo.

Adem谩s, forma parte de la reforma una Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se establece un marco para la recuperaci贸n y la resoluci贸n de las empresas de seguros o reaseguros, y por la que se modifican las Directivas 2002/47/CE, 2004/25/CE, 2009/138/CE y (UE) 2017/1132 y los Reglamentos (UE) n.潞 1094/2010 y (UE) n.潞 648/2012 COM(2021) 582 final 聽Este texto (objeto de otra entradilla) se inspira, con las adaptaciones necesarias en recientes 聽nacionales y trabajos internacionales sobre resoluci贸n y rescate, a los que aludiremos

Queda fuera de la reforma, al menos por el momento, el establecimiento de mecanismos o sistemas de garant铆a (SGS) comunes para la UE en materia de insolvencia de aseguradoras.

Valderueda. Le贸n

Valderueda. Le贸n

Aspectos a destacar y objetivos de Solvencia II/R:

Requisitos de capital. La Comisi贸n Europea mantiene, en esta reforma, el objetivo de evitar el deterioro de la posici贸n de solvencia de las aseguradoras a nivel de la UE. No incorpora un endurecimiento general de los requisitos de capital por considerar que la situaci贸n es bastante s贸lida del sector de los seguros en Europa. Sin embargo, si establece algunos requisitos

Proporcionalidad en la exigencia de requisitos de capital. . Solvencia II es un conjunto de normas que 聽prev茅 su aplicaci贸n proporcionada a las (re)aseguradoras m谩s peque帽as . Sin embargo, el principio de proporcionalidad que ya est谩 vigente no ha producido el resultado deseado, por lo que se justifican, en esta propuesta de reforma, 聽normas m谩s concretas para dotarle de m谩s eficacia.

M谩rgenes de riesgo. La propuesta de la Comisi贸n modifica el marco para que las fluctuaciones del mercado a corto plazo, la volatilidad, 聽no afecten excesivamente a la posici贸n de solvencia de las aseguradoras a corto plazo. Tambi茅n se revisar谩n los actos Delegados relacionados con Solvencia II para reducir el impacto en el balance de las aseguradoras de las turbulencias del mercado a corto plazo.

Aumentar la presencia del sector asegurador en la inversi贸n. La industria aseguradora gestiona billones de activos y representa un pilar importante de la industria financiera europea. Adem谩s, sus pasivos se materializan a largo plazo como lo que las entidades aseguradoras y reaseguradoras podr铆an proporcionar financiaci贸n de capital a largo plazo a las empresas. Con todo, en los 煤ltimos 20 a帽os han desinvertido en acciones a largo plazo. Por ello, la reforma se orienta a incentivar la presencia de este sector en la inversi贸n en capital productivo en la UE. As铆, dentro de las anunciadas modificaciones del Acto Delegado de Solvencia II, se revisar谩n 聽los criterios de elegibilidad de las clases de activos de renta variable a largo plazo en los que se permite la inversi贸n. Con ello las aseguradoras se beneficiar谩n de un tratamiento preferente del capital cuando inviertan en instrumentos de capital a largo plazo. Adem谩s, las reformas modificaran el calculo del capital exigido a las aseguradoras en el sentido de que la 聽carga de capital se modular谩 en funci贸n de la evoluci贸n de los mercados burs谩tiles lo que supone un incentivo y facilita la inversi贸n.

Incorporaci贸n del sector asegurador a la econom铆a verde. Esta reforma reforzar谩 la gesti贸n de los riesgos clim谩ticos por parte de las aseguradoras y reaseguradoras en el sentido de introducir una exigencia de an谩lisis de escenarios de cambio clim谩tico a largo plazo en sus operaciones. La Autoridad Europea de Seguros y Fondos de Pensiones (EIOPA) llevar谩 a cabo pruebas de resistencia clim谩tica centralizadas en el sector de los (re)seguros y la Comisi贸n pondr谩 en marcha un Di谩logo sobre la Resiliencia Clim谩tica y explorar谩 formas de mejorar la recopilaci贸n de datos sobre p茅rdidas aseguradas. En esta l铆nea, la reforma establece los dos mandatos para la Autoridad Europea de Seguros y Pensiones de Jubilaci贸n (EIOPA)

  • revisar las nuevas pruebas sobre las inversiones perjudiciales para el medio ambiente o la sociedad con vistas a posibles cambios en la f贸rmula est谩ndar de Solvencia II y elaborar un informe a m谩s tardar en 2023;
  • revisar peri贸dicamente los datos sobre las tendencias de la frecuencia y la gravedad de las cat谩strofes naturales y la exposici贸n de las aseguradoras y reaseguradoras de la UE a dichas cat谩strofes con vistas a posibles cambios en los m贸dulos de riesgo de cat谩strofe de la f贸rmula est谩ndar de Solvencia II.

    Catedral. Le贸n

    Catedral. Le贸n

Grupos. Solvencia II se ocup贸 de los grupos de aseguradoras, para superar la situaci贸n anterior en que la supervisi贸n se realizaba pr谩cticamente por entidades individuales. Ahora se pretende mejorar las disposiciones relativas a grupos.

 

En cuanto al rescate e insolvencia de entidades aseguradoras y reaseguradoras, continuaremos en otra entrada

 

Gobierno corporativo y ciberseguridad. Sanciones聽 de la SEC por faltas de gesti贸n y de transparencia de riesgos de ciberseguridad en 聽EEUU

La Divisi贸n de Sanciones (enforcement) de la SEC est谩 dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense聽 de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relaci贸n con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.

En algunos casos, la intervenci贸n p煤blica vinculada a fallas en la seguridad cibern茅tica de determinadas entidades se ha traducido en聽 la imposici贸n de sanciones por faltar, los emisores, a la obligaci贸n de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibern茅tica. En este sentido, el supervisor utiliza el concepto de 芦fallos en el control de riesgos禄 o el de 芦no revelar riesgos禄 para fundamentar jur铆dicamente su intervenci贸n.

A modo de ejemplo veamos el asunto 芦FAFC禄 decidido en 2021 donde se identifican un conjunto de malas pr谩cticas internas y externas en聽 First American Financial Corporation, que se salda con una sanci贸n de $487,616:

  • El 15 de junio de 2021, la SEC anunciaba una sanci贸n聽 de $487,616聽 contra First American Financial Corporation (FAFC). El montante de esta multa se calcul贸 teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracci贸n, y por lo tanto se adopt贸 una cease and desist order. De no haber mediado tal actitud el montante hubiera sido m谩s elevado
    • Como antecedentes de hecho,聽 el 24 de mayo de 2014 un periodista hab铆a comunicado a la FAFC que hab铆a verificado un fallo en la aplicaci贸n llamada 芦EAGLEPRO禄 que esa entidad utilizaba para compartir im谩genes de documentos. El problema afectaba a 800 millones de im谩genes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las im谩genes afectadas inclu铆an datos personales sensibles, tales como n煤meros de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo d铆a en que recibi贸 la mencionada comunicaci贸n, la FAFC hizo p煤blico un comunicado de prensa alertando sobre la situaci贸n. Y, tan s贸lo 4 d铆as despu茅s, es decir el d铆a 28 de mayo, present贸 a la SEC el formulario previsto para notificar riesgos, el llamado 芦FORM-8-K禄 que dio lugar a una investigaci贸n por parte del supervisor.
      • En el curso de sus investigaciones, la SEC averigu贸 que聽 el conjunto de problemas que se hab铆an identificado, hechos p煤blicos y notificados se deb铆an a malas pr谩cticas internas que recaen en el n煤cleo de la gobernanza corporativa.
        • Por una parte, si bien los fallos de seguridad eran conocidos en las instancias t茅cnicas de la FAFC, la alta direcci贸n de FAFC no hab铆a sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones peri贸dicas exigidas para cumplir plenamente con sus deberes de transparencia, y tambi茅n por ello la notificaci贸n a la SEC del 28 de mayo de 2018 la comunicaci贸n reglamentaria mediante el FORM-8-K hab铆a sido tard铆a.
        • Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconoc铆an que la vulnerabilidad en cuesti贸n hab铆a sido localizada tiempo atr谩s por parte del personal especializado en seguridad, no se hab铆a procedido a su correcci贸n. Ello daba lugar a la prolongaci贸n y agravamiento de sus efectos.
        • Adem谩s, el Supervisor averigu贸 que se hab铆an producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
          • En efecto, las im谩genes de documentos incluidos en el repositorio de la compa帽铆a que conten铆an informaci贸n personal no p煤blica deb铆an haber estado etiquetadas mediante procesos automatizados que asignar铆an una leyenda de seguridad, de modo que s贸lo聽 podr铆an transmitirse a trav茅s de paquetes seguros que requer铆an la verificaci贸n de la contrase帽a por parte del destinatario de la informaci贸n empaquetada. Pero en realidad, el proceso de etiquetado se realiz贸 manualmente y, seg煤n pudo observarse en un an谩lisis interno de 2018, decenas de millones de im谩genes de documentos se clasificaron err贸neamente.
          • Por otra parte,聽 un fallo t茅cnico en 2014 hab铆a permitido a los usuarios alterar los d铆gitos en una URL para ver otras im谩genes de documentos a las que no deber铆an haber tenido acceso.
          • Tambi茅n, ciertas im谩genes transmitidas a trav茅s de paquetes no seguros se almacenaron en motores de b煤squeda disponibles p煤blicamente.

La imposici贸n de sanciones derivadas de incidentes cibern茅ticos abre la cuesti贸n de la base jur铆dica de las mismas. Pues bien, el supervisor de valores norteamericano se bas贸聽 en este asunto en una normativa cl谩sica en la regulaci贸n de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir informaci贸n al mercado 鈥渕antengan controles y procedimientos de divulgaci贸n dise帽ados para garantizar que la informaci贸n que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los per铆odos de tiempo especificados en las reglas y formularios de la SEC 芦. Es decir, la sanci贸n se apoy贸 jur铆dicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas espec铆ficamente relacionadas con la ciberseguridad.

Palencia. San Antonio

Con anterioridad, en el a帽o 2018 Yahoo!., Inc.聽 fue sancionada en otro expediente de la SEC que le oblig贸 a satisfacer聽 $ 35 millones. La SEC resolvi贸聽 que Yahoo! Inc. hab铆a actuado enga帽osamente frente a sus inversores al no revelar que hab铆a sido objeto de una de las violaciones de datos m谩s graves del mundo, en la que los piratas inform谩ticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.

  • En este caso, tambi茅n el supervisor acus贸 a la tecnol贸gica de no haber establecido controles de seguridad de informaci贸n adecuados, y de haber incurrido en malas pr谩cticas en la divulgaci贸n de informaci贸n y notificaci贸n a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que ten铆an impacto en el mercado y en sus inversores. Tambi茅n se le acus贸 de que sus controles de transparencia fueron defectuosos.
  • Fundamentando su resoluci贸n sancionadora, la SEC聽 consider贸 probado que, a fines de 2014, Yahoo hab铆a conocido una violaci贸n cibern茅tica masiva por parte de piratas inform谩ticos asociados con la Federaci贸n de Rusia,聽 valorando que afect贸 a m谩s de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracci贸n de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y n煤meros de tel茅fono).
  • La Resoluci贸n de la SEC en este caso estableci贸 que聽 芦La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracci贸n, incluido c贸mo y d贸nde deber铆a haberse comunicado en las difusiones p煤blicas de Yahoo o si el hecho de la infracci贸n se podr铆a traducir en publicidad enga帽osa … Adem谩s, los equipos legales y de alta gerencia de Yahoo no compartieron informaci贸n sobre la violaci贸n con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgaci贸n de la compa帽铆a… Yahoo no mantuvo controles y procedimientos de divulgaci贸n dise帽ados para garantizar que los informes del equipo de seguridad de la informaci贸n de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atenci贸n…聽
  • A帽adi贸 el supervisor que cuando dos a帽os m谩s tarde, ya en septiembre de 2016, la compa帽铆a emiti贸 un comunicado de prensa en el que revelaba la violaci贸n de datos, comunicado que adjunt贸 como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotizaci贸n y valor en bolsa de Yahoo descendi贸 en casi聽 $ 1.3 mil millones en un d铆a, lo que dejaba claro el grave impacto de la noticia (ocultada聽 durante dos a帽os) sobre los inversores. M谩s sobre este asunto aqu铆聽

Los anteriores asuntos permiten establecer que, sin perjuicio de que se est谩 avanzando en Estados Unidos en desarrollos regulatorios espec铆ficos en el 谩mbito de la ciberseguridad, la pr谩ctica supervisora ya ha decantado la aplicaci贸n al 谩mbito tecnol贸gico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.

 

M谩s sobre estas cuestiones:

 

Fortaleza digital en el sector financiero y protecci贸n de datos. A prop贸sito del dictamen del Supervisor Europeo de Protecci贸n de Datos

Se comenta en esta entrada聽 un reciente dictamen del Supervisor Europeo de Protecci贸n de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el 谩mbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24聽de聽septiembre de 2020, la Comisi贸n Europea adopt贸 una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o聽1060/2009, (UE) n.o聽648/2012, (UE) n.o聽600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aqu铆). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye tambi茅n una Propuesta de Reglamento relativo a los mercados de criptoactivos (el 芦Reglamento MiCA), una propuesta sobre un r茅gimen piloto de las infraestructuras del mercado basadas en la tecnolog铆a de registro descentralizado 聽y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA est谩 siendo objeto de an谩lisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacu贸 recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. D铆az

  • En el texto del Dictamen, el SEPD recuerda que cualquier operaci贸n de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA聽 debe tener como referente聽 聽los requisitos de protecci贸n de datos conforme al RGPD y en particular su art铆culo 6, como condici贸n b谩sica para asegurar la salvaguardia de los derechos individuales.
    • Con car谩cter general, ello implica que las entidades financieras deber铆an incorporar a su marco de resiliencia operativa digital mecanismos espec铆ficos y s贸lidos de gobernanza de protecci贸n de datos. Ello incluir铆a sistemas para la determinaci贸n de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, as铆 como de las actividades de tratamiento que tendr谩n lugar.
    • M谩s en particular, considera el SEPD que el sector financiero debe adoptar c贸digos de conducta conformes al art 40 RGPD en los que se dise帽en y delimiten las funciones relativas al tratamiento de datos, as铆 como los procesos de tratamiento justo y transparente
  • Dado que en el 谩mbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitaci贸n del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y m谩s concretamente,聽 recomienda a las entidades financieras que adopten medidas para garantizar que la informaci贸n sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco a帽os, o antes si ya no es necesaria. Y, de modo relacionado, en relaci贸n con la publicaci贸n de multas administrativas,聽 recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protecci贸n de los datos personales de las personas f铆sicas.

 

  • En cuanto a la notificaci贸n de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protecci贸n de datos entre las que directamente reciban estas notificaciones. As铆, el SEPD se帽ala que, en su entender, la redacci贸n del considerando 42 de la Propuesta ser铆a incompatible con el art铆culo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protecci贸n de datos del considerando 42 de la Propuesta que las sit煤a como receptoras indirectas de las notificaciones, y modificar el art铆culo 17 para incluir una聽 obligaci贸n de notificaci贸n聽 directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protecci贸n de datos.
      • Este considerando 42, en la redacci贸n inicial de la Comisi贸n Europea establece que: 芦Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un 谩mbito que corre mucho m谩s riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras f铆sicas de TIC sufran da帽os, debe mejorarse significativamente la notificaci贸n de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificaci贸n de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigi茅ndoles que informen 煤nicamente a sus autoridades competentes. Aunque todas las entidades financieras estar铆an sujetas a esta notificaci贸n, no todas ellas deber铆an verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar 煤nicamente los incidentes graves relacionados con las TIC. La notificaci贸n directa permitir铆a a los supervisores financieros acceder a informaci贸n sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta informaci贸n a las autoridades p煤blicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protecci贸n de datos y autoridades policiales o judiciales en caso de incidentes de car谩cter delictivo). La informaci贸n sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva m谩s amplia禄.聽Pues bien, frente a esta redacci贸n, el art 33 del RGPD establece la obligaci贸n del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violaci贸n de la seguridad de los datos personales, sin dilaci贸n indebida y, de ser posible, a
        72 horas despu茅s de que haya tenido constancia de ella, a menos que sea improbable que dicha violaci贸n de la seguridad constituya un riesgo para los derechos y las libertades de las personas f铆sicas. A帽ade el art 33 RGPD que si la notificaci贸n a la autoridad de control no se efectuase en el plazo de 72 horas, deber谩 ir acompa帽ada de indicaci贸n de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacci贸n inicial, alude a la notificaci贸n directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protecci贸n de datos, circunstancia que el SEPD sugiere subsanar
  • En relaci贸n con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer pa铆s, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del cap铆tulo V del RGPD con arreglo a su interpretaci贸n en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems聽(C-311/18), tambi茅n conocido simplemente como聽Schrems II. El TJUE declar贸 es esa sentencia聽 la invalidez de la decisi贸n de adecuaci贸n relativa al Privacy Shield (escudo de Privacidad) mientras que legitim贸 las transferencias al amparo de las cl谩usulas contractuales tipo (Standard Contractual Clauses) aprobadas聽 por la Comisi贸n Europea. Las consideraciones del fallo聽 impactan en las transferencias de datos desde los Estados miembros de la Uni贸n Europea a pa铆ses fuera del bloque comunitario, incluyendo aquellos en Am茅rica y, especialmente, a los que no han obtenido una decisi贸n de adecuaci贸n.
    • Como es sabido, la Uni贸n Europea ha adoptado un sistema de regulaci贸n horizontal a trav茅s del cual se aprobaron normas generales comprehensivas en materia de protecci贸n de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a pa铆ses que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con聽 Estados Unidos de Am茅rica聽 result贸 necesario tener en cuenta que en este pa铆s se carece de una norma general en materia de protecci贸n de datos personales, aunque existen聽 regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisi贸n de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,聽 un sistema de autorregulaci贸n al cual las empresas en ese pa铆s pod铆an adherir, comprometi茅ndose a respetar ciertas reglas establecidos en su texto. La Comisi贸n Europea declar贸 adecuado este sistema en el a帽o 2000, mediante su (hoy derogada) Decisi贸n de la Comisi贸n, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuaci贸n de la protecci贸n conferida por los principios de puerto seguro para la protecci贸n de la vida privada y las correspondientes preguntas m谩s frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de Am茅rica
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,聽 el Sr Schrems inici贸 una reclamaci贸n contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protecci贸n de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, suced铆a que en Estados Unidos, los datos pod铆an est谩n sujetos a un control estatal por parte de las agencias de investigaci贸n gubernamentales, pr谩ctica que pod铆a afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explic贸 que una gran parte de los datos personales se transfer铆a a Facebook Inc., bas谩ndose en cl谩usulas tipo de protecci贸n de datos.
      • Schrems cuestion贸 la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposici贸n de las autoridades estadounidenses, como la National Security Agency聽(NSA) y la聽Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consider贸 que聽 el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicit贸 al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protecci贸n de datos inici贸 un procedimiento ante el Tribunal Superior de Irlanda y 茅ste elev贸 una cuesti贸n prejudicial al Tribunal de Justicia Europeo sobre la interpretaci贸n de las disposiciones que validan las transferencias internacionales al amparo de las cl谩usulas contractuales tipo y el聽 Safe Harbor.
      • El聽 TJUE valid贸 las transferencias internacionales al amparo de las cl谩usulas contractuales tipo, pero, declar贸 inv谩lido al Safe Harbor. Es decir, consider贸 que las cl谩usulas contractuales tipo son una alternativa v谩lida para legitimar la transferencia a pa铆ses que no posean legislaci贸n adecuada. Sin embargo, en su interpretaci贸n estableci贸 que estas cl谩usulas obligan a las partes a聽 un control activo de la normativa del pa铆s de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenci贸 que el Safe Harbor聽no proporciona una adecuada protecci贸n y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Uni贸n Europea a los Estados Unidos.
      • La declaraci贸n de invalidez del Safe Harbor se bas贸 en dos cuestiones principales. Por una parte que las limitaciones de la protecci贸n de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilizaci贸n por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Uni贸n Europea. Adem谩s, subray贸 el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel pa铆s. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declar贸 inv谩lidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulaci贸n deriv贸 en聽 un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobaci贸n del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que聽 dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el a帽o 2016 la Comisi贸n Europea declar贸 v谩lidas las transmisiones de datos聽 certificadas bajo el r茅gimen del Privacy Shield (Decisi贸n de Ejecuci贸n (UE) 2016/1250 de la Comisi贸n, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuaci贸n de la protecci贸n conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificaci贸n por el que las entidades estadounidenses se comprometen a cumplir聽 principios de protecci贸n de la vida privada 鈥攁 saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios聽 establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisi贸n de Ejecuci贸n (UE) 2016/1250 de la Comisi贸n, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuaci贸n de la protecci贸n conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar 煤nicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas f铆sicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades聽 responsables de la trasferencia internacional de dato a EEUU a聽 establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relaci贸n con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resoluci贸n que conceda un recurso efectivo

Primavera, by M.A. D铆az

  • Finalmente, el SEPD recomienda modificar el art铆culo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetraci贸n guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producci贸n activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedar谩n sometidas a DORA en caso de aprobarse, estar谩n sujetas tambi茅n al RGPD. Y desde esa perspectiva el Dictamen comentado podr铆a resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atenci贸n sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en 茅l no resultasen incorporadas en la Directiva Digital Resilience.

Responsabilidad de administradores por incumplimiento del deber de vigilancia. El 芦test禄 Caremark y jurisprudencia reciente de Delaware

En esta entrada de da cuenta de la importancia de las medidas de gobernanza para la supervisi贸n y control por parte del consejo de administraci贸n, sobre la declaraci贸n de responsabilidad de administradores (y altos ejecutivos). Para ello, nos servimos de recientes resoluciones judiciales de la judicatura estadounidense, y en concreto, de la del estado de Delaware. Cabe subrayar que para apreciar el alcance de esta jurisprudencia debe partirse de la concepci贸n de deber de diligencia (deber fiduciario) apreciada conforme al llamado 芦test Caremark禄 fruto de jurisprudencia anterior.

Conforme al leading case 聽Caremark ( In re Caremark Int鈥檒 Inc. Derivative Litigation 698 A.2d 959 (Del.Ch. 1996), los miembros del consejo tienen el deber de vigilar y supervisar el cumplimiento normativo, la viabilidad operativa y el desempe帽o financiero de la sociedad

El est谩ndar de conducta 鈥Caremark鈥 se basa en la verificaci贸n de si el consejo de administraci贸n fue, o no fue diligente, en el sentido de no poner en funcionamiento mecanismos de comunicaci贸n y de control destinados a hacer llegar al consejo informaciones sobre el funcionamiento de la empresa (y por tanto facilitar el ejercicio de la diligencia del ordenado empresario a trav茅s del control, la supervisi贸n, la vigilancia). 聽Incluso cuando estos mecanismos de 鈥渞eporting鈥 y control existan, los administradores y consejeros tambi茅n pueden incurrir en incumplimientos si los obvian o no los tienen en cuenta. Adem谩s, para deducir condenas de responsabilidad civil, Caremark exige prueba de actos (u omisiones) espec铆ficos de los que se pueda聽 establecer la concurrencia de una suerte de negligencia grave (mala fe) de los consejeros. Las demandas de responsabilidad de administradores que se basan en el test Caremark se fundamentan, por tanto, 聽en los procedimientos de gobernanza interna de las sociedades y de ah铆 viene consider谩ndose que (conforme a la聽 influyente jurisprudencia de Delaware) es recomendable que los consejeros y ejecutivos puedan demostrar su labor de vigilancia y atenci贸n al cumplimiento normativo, especialmente en relaci贸n con situaciones como las derivadas de investigaciones de los supervisores, en las que se exige de ellos un nivel de cuidado elevado y por lo tanto pueden ser acusados de negligencia.Y, para facilitar la prueba eximente los titulares del 贸rgano de administraci贸n y los altos ejecutivos se apoyan en distintos mecanismos reconocidos para el control de riesgos que incluir铆an desde programas de compliance, a comisiones delegadas de riesgos o protocolos de actuaci贸n.

Mencionamos algunas decisiones recientes para ilustrar, con cierto grado de detalle, como opera este principio.

Richardson v. Clark (MoneyGram. 2020 WL 7861335 (Del. Ch. 31 de diciembre de 2020)

La demanda de responsabilidad de administradores y altos ejecutivos fue desestimada

MoneyGram es una empresa especializada en trasferencias monetarias que hab铆a sido objeto de investigaciones (y sanciones) por blanqueo de capitales, en virtud de las cuales estaba sometida a un programa de indemnizaciones a favor de algunos afectados por sus actividades. Para realizar el seguimiento del programa que le fue impuesto, puso en marcha mecanismos internos de compliance legal que estaban destinados, precisamente, a cumplir el programa de indemnizaciones y a evitar que las actividades corporativas continuasen en la l铆nea de las que motivaron la imposici贸n de sanciones.聽 Sin embargo, los problemas y errores de ejecuci贸n en su operativa causaron desajustes en el programa de indemnizaciones (que no dejaba de ser una sanci贸n), por lo que fue ampliado de modo que el nivel de las indemnizaciones que MoneyGram hubo de satisfacer se increment贸.

En el a帽o 2020 los accionistas interpusieron una acci贸n derivativa de responsabilidad contra los 聽consejeros y altos ejecutivos de MoneyGram. Las alegaciones de los demandantes consist铆an (sustancialmente) en no hab铆an sido diligentes en la ejecuci贸n del programa de compliance en el sentido de que se produjeron errores y retrasos en el cumplimiento del programa de indemnizaciones. Alegaron, y evidenciaron que MoneyGram聽 hab铆a actuado con lentitud y sin eficacia en relaci贸n con las indemnizaciones que deb铆a abonar y que sus directivos hab铆an ignorado las alertas recibidas la autoridad que supervisaba el mencionado programa de indemnizaciones. Si bien tales acusaciones estaban, en conjunto, fundamentadas, el Tribunal tuvo en cuenta que la demanda no hab铆a se hab铆a apoyado en hechos o actuaciones concretas de las que pudiese deducirse mala fe (una suerte de negligencia grave en ese ordenamiento) en el desempe帽o de la funci贸n de vigilancia de los directivos acusados. A帽ad铆a la Delaware Court of Chancery, que conforme al test Caremark, 聽el hecho de que un programa de cumplimiento no fuese adecuado o no tuviera mucho 茅xito no era suficiente para derivar responsabilidad civil de consejeros y altos ejecutivos.

Fisher v.Sanborn (LendingClub) 2021 WL 1197577 (Del. Ch. 30 de marzo de 2021).

En este asunto la acci贸n derivativa de responsabilidad contra consejeros y altos ejecutivos tambi茅n fue desestimada.

Lari帽o. A Coru帽a

LendingClub opera una plataforma online que pone en contacto a inversores con potenciales solicitantes de cr茅dito. En 2016, la Federal Trade Commission (FTC) inici贸 una investigaci贸n por posibles pr谩cticas enga帽osas y desleales con los consumidores por parte de LendingClub. Dos a帽os m谩s tarde, en virtud de los resultados de la investigaci贸n, la FTC interpuso acciones judiciales. Sobre esa base,聽 un accionista demand贸 聽al consejo de LendingClub mediante una acci贸n derivativa alegando que no hab铆a puesto en marcha un mecanismo adecuado de control de las actividades que eran competencia de los consejeros; que hab铆a obviado conscientemente su deber de supervisar el cumplimiento de deberes聽 derivados de la legislaci贸n de protecci贸n de consumidores y que hab铆an realizado afirmaciones enga帽osas y falsas especialmente a los inversores.

La Court of Chancery rechaz贸 todos estos argumentos de la demanda. Por un lado se帽al贸, a favor de los demandados, 聽que el consejo de administraci贸n contaba con una comisi贸n delegada de riesgos, que 茅sta recib铆a informaci贸n actualizada de las quejas de los consumidores, 聽que conoc铆a el proceso de la FTC y que debat铆a peri贸dicamente sobre estas cuestiones. Por todo ello este Tribunal consider贸 que no pod铆a afirmarse que los demandados no se hubieran esforzado en supervisar el cumplimiento de la legislaci贸n de consumidores. 聽Por otra parte, afirm贸 que el hecho de que se hubiesen realizado investigaciones e incluso acciones judiciales por parte del supervisor no demostraba que los consejeros supiesen, ni que debieran haber sabido que la sociedad estaba violando las leyes. Finalmente, la Court of Chancery se bas贸 en que el demandante no hab铆a probado que los administradores actuasen de mala fe ni aportado evidencia de hechos concretos por los que pudiera deducirse que los administradores sab铆an que la corporaci贸n incumpl铆a la ley, ni tampoco hechos de los que se pudiera deducir que los mandatarios hab铆an mentido deliberadamente a los inversores en relaci贸n con las investigaciones de la FTC

Marchand v. Barnhill聽, 212 A.3d 805 (Del. 2019)

La acci贸n de responsabilidad fue estimada

Blue Bell Creameries USA, Inc, uno de los mayores fabricantes de helados de Estados Unidos, sufri贸 un brote de listeria a principios de 2015. La incapacidad de esta corporaci贸n para contener la propagaci贸n de la listeria en sus plantas de fabricaci贸n hizo que 茅sta se extendiese en sus productos. Tres personas murieron como resultado del brote. La empresa retir贸 entonces todos sus productos, cerr贸 la producci贸n en todas sus plantas y despidi贸 a m谩s de un tercio de su plantilla.

Coimbra

Coimbra

Los accionistas tambi茅n sufrieron p茅rdidas porque, tras el cierre operativo, Blue Bell conoci贸 una crisis de liquidez que le oblig贸 a aceptar una inversi贸n de capital privado en virtud del cual la participaci贸n en el capital de los accionistas iniciales qued贸 dilu铆da. Un accionista present贸 una demanda derivativa contra dos altos ejecutivos y contra聽 administradores de Blue Bell, alegando el incumplimiento de las obligaciones fiduciarias de los demandados. La demanda se fundamentaba, m谩s concretamente,聽 en que los ejecutivos -el presidente y聽 director general, y el聽 vicepresidente de operaciones- incumplieron sus deberes de diligencia y lealtad al ignorar, a sabiendas, los riesgos de contaminaci贸n y al no supervisar la seguridad de las operaciones de fabricaci贸n de alimentos de Blue Bell.

La demanda present贸 hechos concretos que apoyaban razonablemente la alegaci贸n de que la administraci贸n de Blue Bell no hab铆a implantado ning煤n sistema para supervisar el cumplimiento de los deberes de seguridad alimentaria de Blue Bell.聽 El hecho de que un consejo de administraci贸n 芦no intente garantizar la existencia de un sistema razonable de informaci贸n y comunicaci贸n禄 equivale a un acto de 芦mala fe禄 contrario a sus deberes fiduciarios. Cuando un demandante puede evidenciar que el consejo de administraci贸n no ha realizado ning煤n esfuerzo para asegurarse de que est谩 informado de asuntos relativos a cumplimiento que son cr铆ticos para el funcionamiento de la empresa,聽 cumple los requisitos del exignte test Caremark para atribuir responsabilidad a sus miembros.

As铆 en Marchand, el Tribunal Supremo de Delaware determin贸 que el consejo de una empresa de helados que no contaba con sistemas para controlar la seguridad alimentaria, hab铆a incumplido su deber fiduciario.

ARES. Trabajos preliminares hacia una Propuesta de Directiva Europea para un Gobierno Corporativo Sostenible

Conoc铆amos a trav茅s de la reciente Winter Newsletter de Corporance, la importancia que los asesores de voto de inversores est谩n reconociendo al impacto de las distintas perspectivas de Desarrollo Sostenible sobre la adopci贸n corporativa de decisiones, as铆 como聽 los trabajos preliminares para la posible adopci贸n de una Propuesta de Directiva sobre Gobierno Corporativo Responsable por parte de la Comisi贸n Europea.

La sostenibilidad se presentar铆a ahora, no tanto como un esfuerzo exclusivamente social o ambiental, ni siquiera como un tema vinculado 煤nicamente al reporting de informaci贸n no financiera . Por el contrario, la visi贸n largoplacista聽 e incluso 芦institucional禄 en el sentido econ贸mico y jur铆dico m谩s cl谩sico constituir铆a un pilar muy importante en la reforma que se anuncia en ciernes.聽 En efecto, conforme al n estudio encargado por la Comisi贸n Europea 芦Study on directors鈥 duties and sustainable corporate governance芦, la presi贸n hacia el rendimiento financiero cortoplacista que reciben los directivos de muchas entidades, especialmente las sociedades cotizadas en mercados oficiales de valores, podr铆a poner en peligro una visi贸n m谩s a largo plazo que permita el mantenimiento y el crecimiento de las actividades corporativas a largo plazo. Este trabajo muestra , a nivel de tendencia en toda la UE y tambi茅n con datos detallados, crecientes pagos de dividendos y recompra de acciones; que ha ido acompa帽ada de un fuerte descenso en la proporci贸n entre inversi贸n empresarial (gastos de capital, gastos en I+D) e ingresos netos. En paralelo se ha identificado, tambi茅n como resultado de las presiones cortoplacistas,聽 que frente a las alzas en las retribuciones a ejecutivos, los trabajadores no ejecutivos, cuyos salarios no se vinculan ni a la percepci贸n de capital, ni a recibir sumas vinculadas al precio de los valores corporativos, se ha estabilizado o incluso disminuido.

La presi贸n cortoplacista reduce la capacidad de las empresas para integrar las consideraciones de sostenibilidad en las estrategias y decisiones empresariales.聽 As铆, se generan obst谩culos para la integraci贸n de los aspectos medioamientales y sociales en las operaciones corporativas y en sus cadenas de suministro. Pero adem谩s, no se aprobechan plenamente las posibilidades de inversi贸n que se apoyan en la sostenibilidad. Y, subyace en el fondo una cuesti莽on normativa plenamente relacionada con el Derecho Mercantil y con los derechos de los administradores en la formulaci贸n que estos reciben en los distintos ordenamientos nacionales, con alguna excepci贸n. Y por ello, la futura Propuesta ARES tendr谩 como objetivo mejorar el marco regulatorio del derecho de sociedades y el gobierno corporativo. Se pretende que proporcione mejores incentivos para que las empresas se centren en la creaci贸n de valor sostenible a m谩s largo plazo, ampar谩ndose en el objetivo de alinear mejor los intereses de la empresa, de sus accionistas, grupos de inter茅s y de la sociedad.

M谩s sobre esta materia: