Estás navegando por el archivo de Gobierno Corporativo.

Sanciones  de la SEC por falta de transparencia de riesgos de ciberseguridad en  EEUU

el 15 septiembre, 2021 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense  de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.

En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en  la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.

A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en  First American Financial Corporation, que se salda con una sanción de $487,616:

  • El 15 de junio de 2021, la SEC anunciaba una sanción  de $487,616  contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
    • Como antecedentes de hecho,  el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
      • En el curso de sus investigaciones, la SEC averiguó que  el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
        • Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
        • Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
        • Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
          • En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo  podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
          • Por otra parte,  un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
          • También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.

La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó  en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.

Palencia. San Antonio

Con anterioridad, en el año 2018 Yahoo!., Inc.  fue sancionada en otro expediente de la SEC que le obligó a satisfacer  $ 35 millones. La SEC resolvió  que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.

  • En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
  • Fundamentando su resolución sancionadora, la SEC  consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia,  valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
  • La Resolución de la SEC en este caso estableció que  «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención… 
  • Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi  $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada  durante dos años) sobre los inversores. Más sobre este asunto aquí 

Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.

 

Más sobre estas cuestiones:

  • Nota de prensa de SEC 2021-169
  • Nota de prensa de SEC 2011-86
  • Comentario, Lederer aqui

 

Fortaleza digital en el sector financiero y protección de datos. A propósito del dictamen del Supervisor Europeo de Protección de Datos

el 9 agosto, 2021 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

Se comenta en esta entrada  un reciente dictamen del Supervisor Europeo de Protección de Datos sobre la Propuesta DORA, con las objeciones formuladas por este supervisor especialmente en el ámbito de la gobernanza interna de datos en las instituciones financieras, de las notificaciones de incidentes a las autoridades y de la trasferencia internacional de datos

El 24 de septiembre de 2020, la Comisión Europea adoptó una Propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014 y (UE) n.o 909/2014, que ya ha sido objeto de comentarios en este blog (aquí). Como es sabido, esta Propuesta DORA forma parte de un paquete de medidas que incluye también una Propuesta de Reglamento relativo a los mercados de criptoactivos (el «Reglamento MiCA»), una propuesta sobre un régimen piloto de las infraestructuras del mercado basadas en la tecnología de registro descentralizado  y una Propuesta para aclarar o modificar determinadas normas conexas de la UE en materia de servicios financieros. Actualmente, la Propuesta DORA está siendo objeto de análisis y debate en el Consejo

Y, en este contexto, el Supervisor Europeo evacuó recientemente un Dictamen preceptivo en el procedimiento prelegislativo correspondiente.,

By M.A. Díaz

  • En el texto del Dictamen, el SEPD recuerda que cualquier operación de tratamiento de datos, en el contexto de las actividades de las entidades financieras a las que se dirige la Propuesta DORA  debe tener como referente   los requisitos de protección de datos conforme al RGPD y en particular su artículo 6, como condición básica para asegurar la salvaguardia de los derechos individuales.
    • Con carácter general, ello implica que las entidades financieras deberían incorporar a su marco de resiliencia operativa digital mecanismos específicos y sólidos de gobernanza de protección de datos. Ello incluiría sistemas para la determinación de las funciones y las responsabilidades del responsable y del encargado del tratamiento de datos, así como de las actividades de tratamiento que tendrán lugar.
    • Más en particular, considera el SEPD que el sector financiero debe adoptar códigos de conducta conformes al art 40 RGPD en los que se diseñen y delimiten las funciones relativas al tratamiento de datos, así como los procesos de tratamiento justo y transparente
  • Dado que en el ámbito de las entidades financieras tienen lugar procesos de almacenamiento de datos, incluidos datos relativos a multas y sanciones, el SEPD recuerda que el principio de limitación del almacenamiento requiere que los datos personales se conserven solo durante el tiempo necesario para los fines para los que se hayan recogido. Por ello, y más concretamente,  recomienda a las entidades financieras que adopten medidas para garantizar que la información sobre las multas administrativas se elimine de su sitio web una vez transcurridos cinco años, o antes si ya no es necesaria. Y, de modo relacionado, en relación con la publicación de multas administrativas,  recomienda incluir entre los criterios que deba valorar la autoridad competente, los riesgos para la protección de los datos personales de las personas físicas.

 

  • En cuanto a la notificación de incidentes graves, el SEPD formula la sugerencia de incluir a las autoridades de protección de datos entre las que directamente reciban estas notificaciones. Así, el SEPD señala que, en su entender, la redacción del considerando 42 de la Propuesta sería incompatible con el artículo 33 del RGPD. Por ello, recomienda eliminar la referencia a las autoridades de protección de datos del considerando 42 de la Propuesta que las sitúa como receptoras indirectas de las notificaciones, y modificar el artículo 17 para incluir una  obligación de notificación  directa de vulneraciones de la seguridad de los datos a las autoridades de materia de protección de datos.
      • Este considerando 42, en la redacción inicial de la Comisión Europea establece que: «Las consecuencias importantes de los ciberataques se amplifican cuando se producen en el sector financiero, un ámbito que corre mucho más riesgo de ser blanco de propagadores malintencionados que persiguen obtener beneficios financieros directamente en la fuente. Para mitigar tales riesgos y evitar que los sistemas de TIC pierdan integridad o dejen de estar disponibles, y que se vulneren datos confidenciales o que las infraestructuras físicas de TIC sufran daños, debe mejorarse significativamente la notificación de incidentes graves relacionados con las TIC por parte de las entidades financieras. La notificación de incidentes relacionados con las TIC debe armonizarse para todas las entidades financieras exigiéndoles que informen únicamente a sus autoridades competentes. Aunque todas las entidades financieras estarían sujetas a esta notificación, no todas ellas deberían verse afectadas de la misma manera, ya que los umbrales de importancia relativa y los plazos pertinentes deben calibrarse para reflejar únicamente los incidentes graves relacionados con las TIC. La notificación directa permitiría a los supervisores financieros acceder a información sobre incidentes relacionados con las TIC. No obstante, los supervisores financieros deben transmitir esta información a las autoridades públicas no financieras (autoridades competentes en materia de SRI, autoridades nacionales de protección de datos y autoridades policiales o judiciales en caso de incidentes de carácter delictivo). La información sobre incidentes relacionados con las TIC debe canalizarse mutuamente: los supervisores financieros deben proporcionar a la entidad financiera todas las observaciones u orientaciones necesarias, mientras que las AES deben compartir datos anonimizados sobre amenazas y vulnerabilidades relacionadas con un determinado suceso para contribuir a una defensa colectiva más amplia». Pues bien, frente a esta redacción, el art 33 del RGPD establece la obligación del responsable de tratamiento de notificar a la autoridad de control de datos, en caso de violación de la seguridad de los datos personales, sin dilación indebida y, de ser posible, a
        72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Añade el art 33 RGPD que si la notificación a la autoridad de control no se efectuase en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos del retraso.
      • Por lo que respecta al art 17 de DORA en su redacción inicial, alude a la notificación directa de incidentes, sin contemplar entre las autoridades receptoras de las notificaciones a las de protección de datos, circunstancia que el SEPD sugiere subsanar
  • En relación con las transferencias internacionales a proveedores terceros de servicios de TIC establecidos en un tercer país, el SEPD recuerda que toda transferencia internacional de datos personales debe cumplir con los requisitos del capítulo V del RGPD con arreglo a su interpretación en la jurisprudencia del TJUE, incluida la sentencia en Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocido simplemente como Schrems II. El TJUE declaró es esa sentencia  la invalidez de la decisión de adecuación relativa al Privacy Shield (escudo de Privacidad) mientras que legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas  por la Comisión Europea. Las consideraciones del fallo  impactan en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, incluyendo aquellos en América y, especialmente, a los que no han obtenido una decisión de adecuación.
    • Como es sabido, la Unión Europea ha adoptado un sistema de regulación horizontal a través del cual se aprobaron normas generales comprehensivas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Tal fue el caso de la anterior Directiva 95/46 y su sucesor el RGPD. Estas normas presentan restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada. Por el volumen de relaciones comerciales con  Estados Unidos de América  resultó necesario tener en cuenta que en este país se carece de una norma general en materia de protección de datos personales, aunque existen  regulaciones sectoriales que tratan esta materia y normas de algunos estados que han legislado en materia de privacidad, como es el caso de California. La ausencia de una norma federal ha sido el disparador para que ambos bloques tuvieran que negociar arreglos que permitieran la transmisión de datos. El primero de ellos dio lugar a los principios reconocidos como Safe Harbor o Puerto Seguro, adoptados por el Departamento de Comercio de los Estados Unidos,  un sistema de autorregulación al cual las empresas en ese país podían adherir, comprometiéndose a respetar ciertas reglas establecidos en su texto. La Comisión Europea declaró adecuado este sistema en el año 2000, mediante su (hoy derogada) Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América
    • Sin embargo, pronto se vio que el mecanismo de Puerto Seguro planteaba incongruencias que fueron sancionadas por el TJUE en la relevante sentencia Schrems II.
      • Concretamente,  el Sr Schrems inició una reclamación contra Facebook Irlanda por considerar que la plataforma social violaba los derechos de intimidad y protección de datos personales de los usuarios. Se basaba el reclamante en que los datos eran transferidos desde Irlanda a servidores localizados en Estados Unidos, en donde eran procesados y utilizados por Facebook Inc. Y, sucedía que en Estados Unidos, los datos podían están sujetos a un control estatal por parte de las agencias de investigación gubernamentales, práctica que podía afectar los derechos de los titulares de datos europeos. En efecto, Facebook Ireland explicó que una gran parte de los datos personales se transfería a Facebook Inc., basándose en cláusulas tipo de protección de datos.
      • Schrems cuestionó la compatibilidad del ordenamiento europeo de datos con el Derecho estadounidense que obligaba a la matriz, Facebook Inc., a poner los datos personales recibidos de sus filiales europeas (en este caso de la irlandesa), a disposición de las autoridades estadounidenses, como la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI) . Y, que esos datos eran utilizados en programas de vigilancia de las autoridades estadounidenses, en modo incompatible con las normas europeas. Por ello, consideró que  el ordenamiento europeo no amparaba la transferencia de esos datos a los Estados Unidos y solicitó al regulador de Irlanda que prohibiese o suspendiese la transferencia de sus datos personales a Facebook Inc.
      • La autoridad irlandesa de protección de datos inició un procedimiento ante el Tribunal Superior de Irlanda y éste elevó una cuestión prejudicial al Tribunal de Justicia Europeo sobre la interpretación de las disposiciones que validan las transferencias internacionales al amparo de las cláusulas contractuales tipo y el  Safe Harbor.
      • El  TJUE validó las transferencias internacionales al amparo de las cláusulas contractuales tipo, pero, declaró inválido al Safe Harbor. Es decir, consideró que las cláusulas contractuales tipo son una alternativa válida para legitimar la transferencia a países que no posean legislación adecuada. Sin embargo, en su interpretación estableció que estas cláusulas obligan a las partes a  un control activo de la normativa del país de destino, para garantizar que los compromisos asumidos en el contrato no se vean frustrados por las regulaciones del ordenamiento de destino, imposibilitando su cumplimiento. En cambio, sentenció que el Safe Harbor no proporciona una adecuada protección y, por lo tanto, no puede ser entendido como un instrumento que avale la transferencia internacional desde la Unión Europea a los Estados Unidos.
      • La declaración de invalidez del Safe Harbor se basó en dos cuestiones principales. Por una parte que las limitaciones de la protección de datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización por las autoridades estadounidense de los datos transferidos (principalmente en el marco de investigaciones por las fuerzas de seguridad estatales) no responden a las exigencias en situaciones equivalentes requeridas en el Derecho de la Unión Europea. Además, subrayó el TJUE, en lo que se refiere a la tutela judicial, que los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Es por ello que el TJUE resuelve declarar la invalidez del Safe Harbor como recurso para las transferencias internacionales.El TJUE declaró inválidas las transferencias internacionales a los Estados Unidos con base en el Safe Harbor. Esta anulación derivó en  un nuevo mecanismo para legitimar las transferencias internacionales de datos que concluyeron en la aprobación del Privacy Shield consensuado por el Departamento de Comercio de los Estados Unidos y las autoridades europeas que  dotaba a los ciudadanos europeos de mayores resortes para resguardar sus derechos. En el año 2016 la Comisión Europea declaró válidas las transmisiones de datos  certificadas bajo el régimen del Privacy Shield (Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.)
      • El Privacy Shield se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir  principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios  establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.. Se aplica tanto a los responsables como a los encargados del tratamiento. Y los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistirle a responder a las personas físicas que ejerzan sus derechos en caso de transferencia internacional de datos.
      • Frente al mecanismo de puerto seguro, el Privacy Shield obliga a las entidades  responsables de la trasferencia internacional de dato a EEUU a  establecer mecanismos de recurso a los particulares afectados por potenciales incumplimientos de modo que los interesados de la UE puedan presentar reclamaciones en relación con el incumplimiento por parte de entidades autocertificadas de EE. UU. Y, a que se resuelvan estas reclamaciones, mediante una resolución que conceda un recurso efectivo

Primavera, by M.A. Díaz

  • Finalmente, el SEPD recomienda modificar el artículo 23, apartado 2, de la Propuesta relativo a pruebas avanzadas de las herramientas, los sistemas y los procesos de TIC basadas en pruebas de penetración guiadas por amenazas, para asegurar que no se puedan realizar pruebas, desarrollo de productos o investigaciones de los sistemas de TIC en sistemas de producción activos que contengan datos personales de clientes.

 

 

El contenido del Dictamen responde a las competencias que el SEPD tiene atribuidas. Las entidades financieras que quedarán sometidas a DORA en caso de aprobarse, estarán sujetas también al RGPD. Y desde esa perspectiva el Dictamen comentado podría resultar redundante. Sin embargo, no deja de constituir una referencia y una llamada de atención sobre el doble sometimiento, caso de que finalmente las consideraciones contenidas en él no resultasen incorporadas en la Directiva Digital Resilience.

Responsabilidad de administradores por incumplimiento del deber de vigilancia. El «test» Caremark y jurisprudencia reciente de Delaware

el 2 julio, 2021 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional

En esta entrada de da cuenta de la importancia de las medidas de gobernanza para la supervisión y control por parte del consejo de administración, sobre la declaración de responsabilidad de administradores (y altos ejecutivos). Para ello, nos servimos de recientes resoluciones judiciales de la judicatura estadounidense, y en concreto, de la del estado de Delaware. Cabe subrayar que para apreciar el alcance de esta jurisprudencia debe partirse de la concepción de deber de diligencia (deber fiduciario) apreciada conforme al llamado «test Caremark» fruto de jurisprudencia anterior.

Conforme al leading case  Caremark ( In re Caremark Int’l Inc. Derivative Litigation 698 A.2d 959 (Del.Ch. 1996), los miembros del consejo tienen el deber de vigilar y supervisar el cumplimiento normativo, la viabilidad operativa y el desempeño financiero de la sociedad

El estándar de conducta “Caremark” se basa en la verificación de si el consejo de administración fue, o no fue diligente, en el sentido de no poner en funcionamiento mecanismos de comunicación y de control destinados a hacer llegar al consejo informaciones sobre el funcionamiento de la empresa (y por tanto facilitar el ejercicio de la diligencia del ordenado empresario a través del control, la supervisión, la vigilancia).  Incluso cuando estos mecanismos de “reporting” y control existan, los administradores y consejeros también pueden incurrir en incumplimientos si los obvian o no los tienen en cuenta. Además, para deducir condenas de responsabilidad civil, Caremark exige prueba de actos (u omisiones) específicos de los que se pueda  establecer la concurrencia de una suerte de negligencia grave (mala fe) de los consejeros. Las demandas de responsabilidad de administradores que se basan en el test Caremark se fundamentan, por tanto,  en los procedimientos de gobernanza interna de las sociedades y de ahí viene considerándose que (conforme a la  influyente jurisprudencia de Delaware) es recomendable que los consejeros y ejecutivos puedan demostrar su labor de vigilancia y atención al cumplimiento normativo, especialmente en relación con situaciones como las derivadas de investigaciones de los supervisores, en las que se exige de ellos un nivel de cuidado elevado y por lo tanto pueden ser acusados de negligencia.Y, para facilitar la prueba eximente los titulares del órgano de administración y los altos ejecutivos se apoyan en distintos mecanismos reconocidos para el control de riesgos que incluirían desde programas de compliance, a comisiones delegadas de riesgos o protocolos de actuación.

Mencionamos algunas decisiones recientes para ilustrar, con cierto grado de detalle, como opera este principio.

Richardson v. Clark (MoneyGram. 2020 WL 7861335 (Del. Ch. 31 de diciembre de 2020)

La demanda de responsabilidad de administradores y altos ejecutivos fue desestimada

MoneyGram es una empresa especializada en trasferencias monetarias que había sido objeto de investigaciones (y sanciones) por blanqueo de capitales, en virtud de las cuales estaba sometida a un programa de indemnizaciones a favor de algunos afectados por sus actividades. Para realizar el seguimiento del programa que le fue impuesto, puso en marcha mecanismos internos de compliance legal que estaban destinados, precisamente, a cumplir el programa de indemnizaciones y a evitar que las actividades corporativas continuasen en la línea de las que motivaron la imposición de sanciones.  Sin embargo, los problemas y errores de ejecución en su operativa causaron desajustes en el programa de indemnizaciones (que no dejaba de ser una sanción), por lo que fue ampliado de modo que el nivel de las indemnizaciones que MoneyGram hubo de satisfacer se incrementó.

En el año 2020 los accionistas interpusieron una acción derivativa de responsabilidad contra los  consejeros y altos ejecutivos de MoneyGram. Las alegaciones de los demandantes consistían (sustancialmente) en no habían sido diligentes en la ejecución del programa de compliance en el sentido de que se produjeron errores y retrasos en el cumplimiento del programa de indemnizaciones. Alegaron, y evidenciaron que MoneyGram  había actuado con lentitud y sin eficacia en relación con las indemnizaciones que debía abonar y que sus directivos habían ignorado las alertas recibidas la autoridad que supervisaba el mencionado programa de indemnizaciones. Si bien tales acusaciones estaban, en conjunto, fundamentadas, el Tribunal tuvo en cuenta que la demanda no había se había apoyado en hechos o actuaciones concretas de las que pudiese deducirse mala fe (una suerte de negligencia grave en ese ordenamiento) en el desempeño de la función de vigilancia de los directivos acusados. Añadía la Delaware Court of Chancery, que conforme al test Caremark,  el hecho de que un programa de cumplimiento no fuese adecuado o no tuviera mucho éxito no era suficiente para derivar responsabilidad civil de consejeros y altos ejecutivos.

Fisher v.Sanborn (LendingClub) 2021 WL 1197577 (Del. Ch. 30 de marzo de 2021).

En este asunto la acción derivativa de responsabilidad contra consejeros y altos ejecutivos también fue desestimada.

Lariño. A Coruña

LendingClub opera una plataforma online que pone en contacto a inversores con potenciales solicitantes de crédito. En 2016, la Federal Trade Commission (FTC) inició una investigación por posibles prácticas engañosas y desleales con los consumidores por parte de LendingClub. Dos años más tarde, en virtud de los resultados de la investigación, la FTC interpuso acciones judiciales. Sobre esa base,  un accionista demandó  al consejo de LendingClub mediante una acción derivativa alegando que no había puesto en marcha un mecanismo adecuado de control de las actividades que eran competencia de los consejeros; que había obviado conscientemente su deber de supervisar el cumplimiento de deberes  derivados de la legislación de protección de consumidores y que habían realizado afirmaciones engañosas y falsas especialmente a los inversores.

La Court of Chancery rechazó todos estos argumentos de la demanda. Por un lado señaló, a favor de los demandados,  que el consejo de administración contaba con una comisión delegada de riesgos, que ésta recibía información actualizada de las quejas de los consumidores,  que conocía el proceso de la FTC y que debatía periódicamente sobre estas cuestiones. Por todo ello este Tribunal consideró que no podía afirmarse que los demandados no se hubieran esforzado en supervisar el cumplimiento de la legislación de consumidores.  Por otra parte, afirmó que el hecho de que se hubiesen realizado investigaciones e incluso acciones judiciales por parte del supervisor no demostraba que los consejeros supiesen, ni que debieran haber sabido que la sociedad estaba violando las leyes. Finalmente, la Court of Chancery se basó en que el demandante no había probado que los administradores actuasen de mala fe ni aportado evidencia de hechos concretos por los que pudiera deducirse que los administradores sabían que la corporación incumplía la ley, ni tampoco hechos de los que se pudiera deducir que los mandatarios habían mentido deliberadamente a los inversores en relación con las investigaciones de la FTC

Marchand v. Barnhill , 212 A.3d 805 (Del. 2019)

La acción de responsabilidad fue estimada

Blue Bell Creameries USA, Inc, uno de los mayores fabricantes de helados de Estados Unidos, sufrió un brote de listeria a principios de 2015. La incapacidad de esta corporación para contener la propagación de la listeria en sus plantas de fabricación hizo que ésta se extendiese en sus productos. Tres personas murieron como resultado del brote. La empresa retiró entonces todos sus productos, cerró la producción en todas sus plantas y despidió a más de un tercio de su plantilla.

Coimbra

Coimbra

Los accionistas también sufrieron pérdidas porque, tras el cierre operativo, Blue Bell conoció una crisis de liquidez que le obligó a aceptar una inversión de capital privado en virtud del cual la participación en el capital de los accionistas iniciales quedó diluída. Un accionista presentó una demanda derivativa contra dos altos ejecutivos y contra  administradores de Blue Bell, alegando el incumplimiento de las obligaciones fiduciarias de los demandados. La demanda se fundamentaba, más concretamente,  en que los ejecutivos -el presidente y  director general, y el  vicepresidente de operaciones- incumplieron sus deberes de diligencia y lealtad al ignorar, a sabiendas, los riesgos de contaminación y al no supervisar la seguridad de las operaciones de fabricación de alimentos de Blue Bell.

La demanda presentó hechos concretos que apoyaban razonablemente la alegación de que la administración de Blue Bell no había implantado ningún sistema para supervisar el cumplimiento de los deberes de seguridad alimentaria de Blue Bell.  El hecho de que un consejo de administración «no intente garantizar la existencia de un sistema razonable de información y comunicación» equivale a un acto de «mala fe» contrario a sus deberes fiduciarios. Cuando un demandante puede evidenciar que el consejo de administración no ha realizado ningún esfuerzo para asegurarse de que está informado de asuntos relativos a cumplimiento que son críticos para el funcionamiento de la empresa,  cumple los requisitos del exignte test Caremark para atribuir responsabilidad a sus miembros.

Así en Marchand, el Tribunal Supremo de Delaware determinó que el consejo de una empresa de helados que no contaba con sistemas para controlar la seguridad alimentaria, había incumplido su deber fiduciario.

ARES. Trabajos preliminares hacia una Propuesta de Directiva Europea para un Gobierno Corporativo Sostenible

el 13 enero, 2021 en Banca y Seguros, Otros

Conocíamos a través de la reciente Winter Newsletter de Corporance, la importancia que los asesores de voto de inversores están reconociendo al impacto de las distintas perspectivas de Desarrollo Sostenible sobre la adopción corporativa de decisiones, así como  los trabajos preliminares para la posible adopción de una Propuesta de Directiva sobre Gobierno Corporativo Responsable por parte de la Comisión Europea.

La sostenibilidad se presentaría ahora, no tanto como un esfuerzo exclusivamente social o ambiental, ni siquiera como un tema vinculado únicamente al reporting de información no financiera . Por el contrario, la visión largoplacista  e incluso «institucional» en el sentido económico y jurídico más clásico constituiría un pilar muy importante en la reforma que se anuncia en ciernes.  En efecto, conforme al n estudio encargado por la Comisión Europea «Study on directors’ duties and sustainable corporate governance«, la presión hacia el rendimiento financiero cortoplacista que reciben los directivos de muchas entidades, especialmente las sociedades cotizadas en mercados oficiales de valores, podría poner en peligro una visión más a largo plazo que permita el mantenimiento y el crecimiento de las actividades corporativas a largo plazo. Este trabajo muestra , a nivel de tendencia en toda la UE y también con datos detallados, crecientes pagos de dividendos y recompra de acciones; que ha ido acompañada de un fuerte descenso en la proporción entre inversión empresarial (gastos de capital, gastos en I+D) e ingresos netos. En paralelo se ha identificado, también como resultado de las presiones cortoplacistas,  que frente a las alzas en las retribuciones a ejecutivos, los trabajadores no ejecutivos, cuyos salarios no se vinculan ni a la percepción de capital, ni a recibir sumas vinculadas al precio de los valores corporativos, se ha estabilizado o incluso disminuido.

La presión cortoplacista reduce la capacidad de las empresas para integrar las consideraciones de sostenibilidad en las estrategias y decisiones empresariales.  Así, se generan obstáculos para la integración de los aspectos medioamientales y sociales en las operaciones corporativas y en sus cadenas de suministro. Pero además, no se aprobechan plenamente las posibilidades de inversión que se apoyan en la sostenibilidad. Y, subyace en el fondo una cuestiçon normativa plenamente relacionada con el Derecho Mercantil y con los derechos de los administradores en la formulación que estos reciben en los distintos ordenamientos nacionales, con alguna excepción. Y por ello, la futura Propuesta ARES tendrá como objetivo mejorar el marco regulatorio del derecho de sociedades y el gobierno corporativo. Se pretende que proporcione mejores incentivos para que las empresas se centren en la creación de valor sostenible a más largo plazo, amparándose en el objetivo de alinear mejor los intereses de la empresa, de sus accionistas, grupos de interés y de la sociedad.

Más sobre esta materia:

Inversiones sostenibles y derecho de la UE (3)

el 1 julio, 2020 en Banca y Seguros

El RT reconoce ciertas actividades como sostenibles, siempre que se cumplan en cada una, los criterios que se irán definiendo reglamentariamente (legislación delegada)

 

El Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo de 18 de junio de 2020 relativo al establecimiento de un marco para facilitar las inversiones sostenibles y por el que se modifica el Reglamento (UE) 2019/2088, RT, reconoce seis tipos diferentes de actividades económicas que se califican como actividades ambientalmente sostenibles. Los criterios relativos a cada una serán concretados en normativa delegada.

 

  1. Actividades de mitigación del cambio climático. Se trata de aquellas que contribuyen a la estabilización de los gases de efecto invernadero en consonancia con los objetivos del Acuerdo de París  , a través de determinados medios, como por ejemplo la generación de energía renovable. El RT también da cabida a las actividades para las que no existe una alternativa tecnológica y económicamente viable de bajo carbono pero que, no obstante, apoyan la transición a una economía climáticamente neutra de manera coherente como vía para lograr el objetivo del Acuerdo de París de limitar el aumento de la temperatura mundial a 1. 5 grados centígrados por encima de los niveles preindustriales (por ejemplo, mediante la eliminación gradual de las emisiones de gases de efecto invernadero), siempre que se cumplan determinados criterios
  2. Actividades de adaptación al cambio climático que incluyen trabajos de adaptación para reducir sustancialmente el impacto adverso (o el riesgo del mismo) del clima actual y futuro previsto sobre otras personas, la naturaleza o los bienes; o sobre la propia actividad económica. En todo caso, estas actividades no deben  aumentar el riesgo de un impacto adverso en otras personas, otros aspectos de la naturaleza ni en los  bienes.
  3. Utilización sostenible y protección de los recursos hídricos y marinos. En este grupo se clasificarían las actividades que contribuyen sustancialmente al buen estado de las masas de agua o los recursos marinos, o a prevenir su deterioro, por determinados medios prescritos, incluida, por ejemplo, la gestión de las aguas residuales.
  4. Transición a una economía circular, en relación con actividades económicas que contribuyan sustancialmente a la prevención, la reutilización y el reciclado de desechos, por determinados medios prescritos, entre ellos, por ejemplo, mejorando las posibilidades de reciclado de determinados productos;
  5. Prevención y control de la contaminación, en cuanto que se trate de alguna actividad que contribuya sustancialmente a la prevención y al control de la contaminación por determinados medios prescritos, entre ellos, por ejemplo, previniendo o (cuando ello no es factible) reduciendo las emisiones contaminantes a la atmósfera, el agua o la tierra (distintas de los gases de efecto invernadero).
  6. Protección y restauración de la biodiversidad y los ecosistemas en el sentido de actividades que contribuyan sustancialmente a la protección, conservación o restauración de la biodiversidad y al logro del buen estado de los ecosistemas, o a la protección de los ecosistemas en buen estado, por determinados medios prescritos, entre ellos, por ejemplo, la utilización y ordenación sostenible del terreno.

Además, el RT reconoce otras actividades económicas que posibiliten directamente cualquiera de los seis objetivos anteriores (por ejemplo, la construcción de turbinas eólicas) que también se considerarán actividades ambientalmente sostenibles, siempre no conduzcan a un «bloqueo» de activos intensivos en carbono o de otro tipo que menoscabe los objetivos ambientales a largo plazo; y siempre que tengan un impacto ambiental positivo sustancial sobre la base de consideraciones relativas al ciclo de vida de los productos. Ahora bien, para ser considerada «ambientalmente sostenible», además de contribuir sustancialmente a uno de los seis objetivos descritos anteriormente,  en el marco del RT, la actividad debe cumplir también con cada uno de los siguientes criterios (acumulados):

  • ningún daño significativo: la actividad no debe perjudicar significativamente ninguno del resto de los objetivos;
  • cumplir los criterios de selección técnica para cada uno de los seis objetivos que especificará la Comisión sobre la base de las aportaciones técnicas. Los criterios de selección detallados se actualizarán periódicamente en reconocimiento de la naturaleza rápidamente cambiante tanto de la ciencia como de la tecnología, y establecerán en detalle concreto las condiciones que deben cumplirse para que una actividad constituya una contribución sustancial a uno de los seis objetivos o para que la actividad concreta no cause un daño significativo;
  • salvaguardias sociales y de gobernanza mínimas: la actividad debe llevarse a cabo de conformidad con una serie de salvaguardias sociales y de gobernanza mínimas a las que se hace referencia en el RT.
Atención especial a determinadas actividades, cláusula de revisión y desarrollo de los criterios de sostenibilidad (Plataforma de financiación sostenible)
  • La energía nuclear y el gas natural no se excluyen ni se incluyen explícitamente en la lista de actividades económicas sostenibles desde el punto de vista del medio ambiente.
  • El RT permite que los actos delegados  determinen la función de la energía nuclear y/o el gas natural, si procede, dentro de la taxonomía. Por otra parte,  el RT incluye una cláusula de revisión por la que la Comisión puede ampliar el Reglamento para que abarque otras actividades que causen un daño significativo a los objetivos ambientales.
  • Los criterios de selección técnica y otros elementos de los actos delegados serán realizados por la Comisión sobre la base de la aportación de un nuevo órgano que se creará en el marco del RT: la Plataforma de financiación sostenible , compuesta por expertos del sector público de la Agencia Europea del Medio Ambiente, las Autoridades Europeas de Supervisión y el Banco Europeo de Inversiones y la Agencia de los Derechos Fundamentales de la Unión Europea, junto con expertos del sector privado.
Vigencia, plazos y futuro desarrollo de criterios de sostenibiidad no ambiental

El RT entró en vigor 20 días después de su publicación en el DOUE. Sin embargo, en la práctica sus requisitos del RT sólo se aplicarán tras la adopción de los actos delegados que establezcan los criterios técnicos de selección para cada objetivo ambiental. Éstos se desarrollarán en dos fases:

  • El acto delegado sobre los dos primeros objetivos relacionados con el clima  deberá ser adoptado por la Comisión antes del 31 de diciembre de 2020 y, por lo tanto, se aplicará a partir del 31 de diciembre de 2021.
  • Los actos delegados sobre los cuatro objetivos ambientales restantes debería ser adoptada por la Comisión antes del 31 de diciembre de 2021 y, por lo tanto, se aplicará a partir del 31 de diciembre de 2022.

Por lo que respecta a otros requisitos de sostenibilidad, más allá del medioambiental, en diciembre de 2021  la Comisión publicará un informe en el que se describan las posibilidades de seguir desarrollando los criterios o taxonomía actuales y de ampliar su alcance más allá de las actividades económicas ambientalmente sostenibles, a fin de abarcar otros objetivos de sostenibilidad, incluidos los objetivos sociales.

 

 

Inversiones sostenibles y derecho de la UE (II)

el 24 junio, 2020 en Banca y Seguros

El RT establece un marco general de para la clasificación de actividades económicas sostenibles, desde la perspectiva ambiental, en la Unión Europea.

El Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo de 18 de junio de 2020 relativo al establecimiento de un marco para facilitar las inversiones sostenibles y por el que se modifica el Reglamento (UE) 2019/2088 es también conocido (a causa de una traducción directa del inglés) como “Reglamento sobre taxonomía” o Reglamento sobre sostenibilidad financiera (RT).

 

Sanabria

El RT no crea una etiqueta para productos financieros sostenibles, sino las bases de un marco general al que aporta los criterios que deben observarse para que un producto o actividad se considere ambientalmente sostenible. Su desarrollo y detalle se apoyará en una compleja legislación delegada que  irá viendo la luz en los próximos años. El RT es compatible, en principio, con los mecanismos de etiquetado ambiental pre-existentes en los distintos Estados miembros de la Unión Europea, y no prohíbe que se desarrollen otros nuevos. Sin embargo, con la aprobación del RT se genera un entorno de coherencia, en el sentido de que los mecanismos de etiquetado ambiental que permiten identificar o designar actividades económicas sostenibles en la UE, deberán ser conformes con los criterios del RT.

Antecedentes y complementariedad con otras legislación, especialmente en lo referente a la transparencia

Lincoln, Ox

En marzo de 2018, la Comisión Europea publicó su Plan de Acción sobre la financiación del crecimiento sostenible , entre cuyos objetivos estaba el de reorientar los flujos de inversión hacia actividades sostenibles e inclusivas. Entre las primeras medidas que el Plan exigía se encontraba el establecimiento de un sistema de clasificación unificada de las actividades que contribuyen a la sostenibilidad ambiental, para evitar la fragmentación nacional de clasificaciones, el  «lavado verde» y  para facilitar la inversión en actividades económicas ambientalmente sostenibles.

Junto al RT, el Plan de Acción ha promovido varias otras iniciativas, como el Reglamento sobre la Divulgación de información relativa a las inversiones sostenibles y los riesgos para la sostenibilidad (Reglamento (UE) 2019/2088 del Parlamento Europeo y del Consejo de 27 de noviembre de 2019 sobre la divulgación de información relativa a la sostenibilidad en el sector de los servicios financieros),y una modificación del Reglamento sobre los índices de referencia relativos a las emisiones de bajo carbono y los efectos positivos del carbono (el » Reglamento (UE) 2019/2089 del Parlamento Europeo y del Consejo de 27 de noviembre de 2019 por el que se modifica el Reglamento (UE) 2016/1011 en lo relativo a los índices de referencia de transición climática de la UE, los índices de referencia de la UE armonizados con el Acuerdo de París y la divulgación de información relativa a la sostenibilidad de los índices de referencia»).

Ámbito

El RT, junto con el Reglamento (UE) 2019/2088 sobre divulgación, exige a las empresas que divulguen el grado de sostenibilidad ambiental de sus productos de inversión, como los fondos de pensiones u otros vehículos que se comercializan como ecológicos. Pero también exige a las entidades que incluyan cláusulas indicativas de los productos que no cumplen  los criterios de sostenibilidad.

El RT se aplica a los «participantes en el mercado financiero» que ofrecen «productos financieros». Estos participantes en el mercado financiero  son los definidos como tales en el Reglamento de Divulgación ,  por lo que el concepto incluye a la mayoría de los proveedores de seguros, pensiones y gestión de carteras. En virtud del RT, en sus informes y divulgaciones periódicas deberán proporcionar información sobre cómo y en qué medida las inversiones en que se basan sus productos financieros apoyan, y no perjudican, las actividades económicas que cumplen los criterios de sostenibilidad ambiental del RT.

  • En cuanto a las empresas financieras y no financieras incluidas en el ámbito de aplicación de la Directiva sobre la presentación de informes no financieros Directiva 2014/95/UE sobre divulgación de información no financiera e información sobre diversidad tendrán que revelar información sobre cómo y en qué medida las actividades de la empresa están asociadas a actividades económicas ambientalmente sostenibles.
  • Por lo que respecta a los Estados miembros y la propia UE, en relación con el etiquetado ecológico u otras medidas legislativas existentes o potencialmente nuevas, deberán aplicar los criterios especificados en el Reglamento sobre la taxonomía para determinar las actividades económicas ambientalmente sostenibles a los efectos de cualquier medida legislativa o de otro tipo que establezca los requisitos de los emisores u otros participantes en los mercados financieros con respecto a los bonos de las empresas u otros productos financieros para etiquetar esos productos como «ambientalmente sostenibles».

Según se define en el Reglamento de Divulgación , los «productos financieros» incluyen esencialmente a) carteras gestionadas de conformidad con mandatos otorgados por los clientes de manera discrecional, cliente por cliente, cuando dichas carteras incluyen uno o más instrumentos financieros b) fondos de inversión alternativo (FIA); c) IBIP (producto de inversión basado en un seguro que cumple determinados criterios); d) producto de pensiones; e) un plan de pensiones; f) OICVM;  g) «producto personal de pensiones paneuropeo» o «PEPP». En el caso de los productos financieros que no invierten en actividades respetuosas con el medio ambiente, el participante en el mercado financiero deberá incluir un descargo en el que se indique que las inversiones pertinentes «… no tienen en cuenta los criterios de la UE para las inversiones ambientalmente sostenibles».

Inversiones sostenibles y el derecho de la UE (I).

el 17 junio, 2020 en Banca y Seguros, Otros

Del Pacto verde al Nuevo Reglamento en materia de inversiones sostenibles

La Unión Europea se ha propuesto convertirse en el primer bloque climáticamente neutro en 2050. A tales efectos se han ido configurando mecanismos de gobernanza y de financiación para las grandes trasformaciones venideras que afectarán al sector público y al sector privado .

En su Comunicación de 8 de marzo de 2018, la Comisión publicó su «Plan de Acción: Financiar el crecimiento sostenible», con el que inicia una estrategia ambiciosa e integral respecto de las finanzas sostenibles. Entre los objetivos fijados en dicho plan de acción es reorientar los flujos de capital hacia inversiones sostenibles y el  establecimiento de un sistema de clasificación unificado de las actividades sostenibles.

Esta iniciativa se une al Acuerdo de París sobre el Cambio Climático y la Agenda 2030 de las Naciones Unidas para el Desarrollo Sostenible; el Marco de la UE en materia de clima y de energía para 2030, el Plan de acción de la economía circular y la Aplicación por la UE de la Agenda 2030 para el Desarrollo Sostenible. Y, el Plan de acción forma parte de los trabajos para una Unión de Mercados de Capitales (UMC)  y pone en común las finanzas con las necesidades específicas de sostenibilidad ambiental,económica y socia del la economía europea.

El Plan de acción se apoyó en el informe de final de enero de 2018 realizado por el Grupo de expertos de alto nivel sobre finanzas sostenibles, creado en 2016 . Y sus principales elementos incluyen: Establecer un sistema de clasificación unificado para las finanzas sostenibles que defina lo que es sostenible y señale los ámbitos  de mayor repercusión; crear etiquetas de la UE para productos financieros verdes para su mejor   identificación; reforzar los requisitos en materia de divulgación de información y sostenibilidad en el proceso de inversión de los gestores activos y los inversores institucionales; establecer la obligación por parte de las empresas de seguros e inversión del asesoramiento a sus clientes en materia de sostenibilidad; integrar la sostenibilidad en los requisitos prudenciales de bancos y compañías de seguros, con el objetivo de examinar la viabilidad de recalibrar los requisitos de capital aplicables para las inversiones sostenibles, desde el punto de vista del riesgo y velando al mismo tiempo por la estabilidad financiera de la entidad; fomentar una mayor transparencia en la información financiera y no financiera anual (en paralelo se realizó una consulta pública para la revisión de Directrices sobre la presentación de informes no financieros, para ajustarse a las recomendaciones del Grupo de Trabajo del Consejo de Estabilidad Financiera sobre Divulgación de Información Financiera relacionada con el clima).

El Plan de Acción se completa con el Plan de Inversiones del Pacto Verde Europeo, en su triple perspectiva

  1. Aspectos sobre financiación: Se trata de movilizar grandes inversiones y gasto público en la acción por el clima y en favor del medio ambiente con cargo al presupuesto de la UE y al Banco Europeo de Inversiones  y para aglutinar financiación privada, en lo que desempeñará un papel clave el Banco Europeo de Inversiones.
  2. Incentivos para reorientar las inversiones públicas y privadas.
  3. Apoyo práctico de  la Comisión a las autoridades públicas y a los promotores de proyectos con vistas a la planificación, diseño y ejecución de proyectos sostenibles.

También en el Mecanismo para una Transición Justa que proporcionará apoyo específico para contribuir a la movilización de inversiones durante el período 2021-2027 en las regiones más afectadas, a fin de mitigar el impacto socioeconómico de la transición. Contribuirá  a dar soluciones para los trabajadores y  las comunidades que dependen de la cadena de valor de los combustibles fósiles. Sus fuentes principales de financiación son:

 

  1. El Fondo de Transición Justa, que recibirá 7 500 millones de euros de nuevos fondos de la UE, además de la propuesta de la Comisión para el próximo presupuesto a largo plazo de la UE. Los Estados miembros , consultando con la Comisión, determinarán los territorios elegibles a través de planes territoriales de transición específicos. También tendrán que comprometerse a aportar un euro por cada euro del Fondo de Transición Justa con cargo al Fondo Europeo de Desarrollo Regional y del Fondo Social Europeo Plus, además de proporcionar recursos nacionales adicionales. En conjunto, esto proporcionará entre 30 000 y 50 000 millones de euros de financiación, lo que a su vez movilizará incluso más inversiones. El Fondo concederá principalmente subvenciones a las regiones, para capacitar a los trabajadores, apoyar las inversiones en energías limpias, entre otros
  2. El Régimen de transición específico con cargo a InvestEU, para atraer inversiones privadas, por ejemplo, en energía sostenible y transporte, que beneficien a estas regiones y ayuden a sus economías a encontrar nuevas fuentes de crecimiento.
  3. El mecanismo de préstamos al sector público del Banco Europeo de Inversiones respaldado por el presupuesto de la UE, para conceder préstamos al sector público, por ejemplo, para inversiones en las redes de calefacción urbana y la renovación de edificios.

Más

 

 

Comercio Justo en la Universidad de León: buenas prácticas, distribución y sellos de calidad

el 13 diciembre, 2019 en Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

El Profesor Javier Mateo Oyagüe Profesor Titular de Tecnología de los Alimentos de la Universidad de León y Miembro del Grupo de trabajo Universidad de León por el Comercio Justo presentó la acción» Comercio Justo: buenas prácticas, distribución y sellos de calidad», ante un nutrido grupo de estudiantes de Derecho de los Negocios Internacionales. (Comercio Internacional) de la ULE

 

  • El Comercio Justo  representa un volumen de negocio  de 43 millones de (España-2017), con un peso del 0,5% sobre ventas mundiales. Ello supone 1 € por persona y año, frente a  8 €/año en Francia o 60€ persona/año en  Irlanda.
  • Muestra un incremento sostenido (del 8 %, especialmente por compras en supermercados), especialmente en alimentación (93%; azúcar y derivados, café…), pero también en  textiles y artesanía.
  • Aporta a los productores ingresos que permiten su sustento,especialmente porque se abonan primas para su desarrollo personal y profesional
  • Genera buenas prácticas de producción (laborales, transparencia, sostenibilidad, democracia)
  • Ofrece a los consumidores productos típicos y diferenciados,además de sensibilización

 

La Universidad de León forma parte del Grupo de Universidades por el Comercio Justo, contexto en el que realiza tareas de sensibilización pero también incluye prácticas en las mesas de contratación de la propia Institución, y de venta  en nuestros edificios, como conoce bien la comunidad universitaria de la ULE ya acostumbrada a los cafés y productos que en nuestras máquinas expendedoras incorporan los sellos  FAIR TRADE

 

Esta presentación  se ha celebrado en la Facultad de Ciencias Económicas y Empresariales el día  12 de diciembre de 2019, en horario de 18:30 a 20:00. Ha estado dirigida principalmente  a estudiantes de segundo curso de Comercio Internacional en el marco de la asignatura de Derecho de los Negocios Internacionales y del Grupo de Innovación Docente GID-PAGID DerMerUle-A.

Constituye además  una colaboración con las actividades de comprensión, análisis y difusión de Comercio Justo del GRUPO DE COMERCIO JUSTO DE LA UNIVERSIDAD DE LEÓN y de la propia UNIVERSIDAD DE LEÓN.

Registro de fundaciones de competencia estatal

el 20 mayo, 2019 en DM_ADE, Otros

*nota de edición

IMG_20151208_133411396[1]La Orden PRE/2537/2015, de 26 de noviembre, dispuso la entrada en funcionamiento y la sede del Registro de Fundaciones de Competencia Estatal, en la línea de lo dispuesto en el Capítulo VIII de la Ley 50/2002, de 26 de diciembre

Actualmente, la web del Ministerio de Justicia aporta explicaciones e indicaciones de interés para el acceso a este Registro Público (aquí)

Este Registro fue creado mediante Real Decreto 1611/2007, en desarrollo de lo dispuesto en el artículo 36 de la Ley de Fundaciones, Ley 50/2002 de 26 de diciembre que prevé la existencia de un Registro de Fundaciones de competencia estatal dependiente del Ministerio de Justicia, en el que se inscribirán los actos relativos a las fundaciones que desarrollen su actividad en todo el territorio del Estado o principalmente en el territorio de más de una comunidad autónoma.

En cuanto al Real Decreto 1611/2007:

  • su Capítulo I contiene un conjunto de disposiciones generales relativas  su ámbito de aplicación,   objeto, naturaleza del Registro, régimen jurídico al que deben ajustarse los procedimientos de inscripción; y al establecimiento del principio de colaboración y de otros principios registrales característicos de otros registros de personas.
  • El Capítulo II, relativo a la organización del Registro, se subdivide en tres secciones:
    • la primera, destinada a cuestiones generales, se refiere a la organización administrativa, al Encargado del registro, al ámbito funcional y subjetivo del Registro, a su estructura y al sistema de hoja personal;
    • la segunda se refiere a los libros del Registro, y
    • la tercera a los asientos.
  • El Capítulo III regula la inscripción de las fundaciones de competencia estatal, las delegaciones de fundaciones extranjeras y las fundaciones del sector público estatal prestando atención a los actos sujetos a inscripción, a los títulos inscribibles, a los plazos y requisitos formales de la documentación, así como a la calificación registral, subsanación, notificación de actuaciones y publicación de los actos inscritos en el «Boletín Oficial del Estado». Junto a ello, quedan reglamentadas las primeras inscripciones, tanto de fundaciones de competencia estatal como de las delegaciones de fundaciones extranjeras y de las fundaciones del sector público estatal, así como las inscripciones posteriores y su diferente tipología.
  • El Capítulo IV regula otras funciones del Registro, como la legalización de los libros obligatorios, el nombramiento de auditores de cuentas o el depósito y publicidad del plan de actuación y de las cuentas anuales, acompañadas de la oportuna documentación complementaria.
  • El Capítulo V se encarga de la Sección de denominaciones del Registro, que desarrolla lo previsto en el artículo 36.3 de la Ley 50/2002.
  • El Capítulo VI regula, en desarrollo del artículo 37 de la Ley 50/2002, el ejercicio de la publicidad formal que corresponde a un Registro público, previéndose a tal fin la expedición de certificaciones, notas simples informativas o copias de los asientos y documentos depositados.
  • En el Capítulo VII se regula  la colaboración del Registro de Fundaciones de competencia estatal con los registros de fundaciones creados en las comunidades autónomas, con los Protectorados -tanto ministeriales como autonómicos- y con el Consejo Superior de Fundaciones.

El Real Decreto también aborda el régimen de las cargas duraderas, el régimen de las actuaciones anteriores a la entrada en funcionamiento del Registro de fundaciones de competencia estatal, el funcionamiento provisional de los registros ministeriales existentes, las reglas específicas para las fundaciones en proceso de constitución, así como de los actos pendientes de inscripción de fundaciones ya constituidas y el depósito de cuentas.

El Registro presenta una naturaleza doble, por un lado las fundaciones adquieren personalidad jurídica desde el momento de la inscripción registral de la escritura pública de su constitución, y por otro el registro está al servicio de la Administración, y de los diferentes Protectorados para el ejercicio de sus funciones.

Como es sabido, este Registro entró en vigor el 2 de diciembre de 2015 conforme al art 2 de la Orden PRE/2537/2015, de 26 de noviembre, y con él se unifican en uno sólo los anteriores registros de fundaciones que estaban dispersos entre distintos ministerios; y se independiza la figura del registro de fundaciones -que adquiere estatus propio- de la del protectorado -respecto de la que hasta entonces era un mero auxiliar. Depende orgánicamente del Ministerio de Justicia y está adscrito a la Dirección General de los Registros y del Notariado.

Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

Completar con:

*nota de edición. Esta entrada sustituye y actualiza la publicada el 7.12.2015 en este mismo blog.

Registro de fundaciones de competencia estatal

Hacia un sistema financiero sostenible en la UE. ESMA asesora para la reforma

el 10 mayo, 2019 en Banca y Seguros

La Autoridad Europea de Valores y Mercados (ESMA)  publicó su asesoramiento técnico a la Comisión Europea (CE) sobre iniciativas de financiación sostenible para apoyar el Plan de Acción de Sostenibilidad de la CE en los ámbitos de los servicios y fondos de inversión.

Se compone de dos documentos:

All Souls Bridge. OX

Ambos informes finales contienen asesoramiento técnico a la Comisión Europea  sobre la integración de los riesgos y factores de sostenibilidad, relacionados con consideraciones medioambientales, sociales y de buena gobernanza en relación con las empresas de inversión y los fondos de inversión, en la Directiva sobre mercados de instrumentos financieros (MiFID II) (servicios de inversión), la Directiva sobre gestores de fondos de inversión alternativos (AIFMD) y la Directiva sobre organismos de inversión colectiva en valores mobiliarios (OICVM) (fondos de inversión). Para su redacción la AEVM / ESMA llevó a cabo una consulta pública y una audiencia sobre sus propuestas técnicas, realizó un análisis de costes y beneficios y tuvo en cuenta la opinión del Grupo de partes interesadas de los mercados de valores (SMSG). Y, para garantizar la coherencia, la ESMA ha elaborado su informe final en cooperación con la Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA), que había recibido un mandato similar en relación con Solvencia II y la Directiva de Distribución de Seguros (DID).

  • En relación con el primer texto, la Comisión Europea había solicitado asesoramiento técnico a ESMA y a EIOPA porque los actos delegados adoptados en virtud del artículo 12, apartado 3, y del artículo 14, apartado 2, de la Directiva OICVM (es decir, Directiva 2010/43/UE de la Comisión),  y del artículo 12, apartado 3, y artículo 18, apartado 2, del AIFMD (es decir, el Reglamento (UE) nº 231/2013, delegado por la Comisión) no incluyen en la actualidad de forma explícita requisitos para la integración de los riesgos de sostenibilidad. Las propuestas de reforma imponen nuevos deberes sobre los gestores de fondos en el sentido de que deben prever, identificar y aplicar medidas para paliar los riesgos ESG, junto al resto de riesgos que ya se habían detallado hasta ahora en las normas citadas
  • Sanabria

    En relación con el segundo texto debe recordarse que las condiciones para identificar el objetivo del mercado al que se dirigen los productos de inversión ya se perfilan en  en la Directiva 2017/593 de la Comisión adoptada de conformidad con el artículo 16, apartado 12, y el artículo 24, apartado 13, de la Directiva MIFID II ; y también en el Reglamento delegado de la Comisión 2017/2358 adoptado en virtud del artículo 25, apartado 2, de la Directiva relativa a la Distribución de seguros. Sin embargo ninguna de estas normas establece explícitamente los detalles para la integración de los factores de sostenibilidad por parte de las empresas de inversión que diseñan instrumentos financieros y los distribuyen. Las propuestas de reforma, que pueden consultarse en los enlaces provistos, acentúan y agravan las obligaciones de las ESI y Aseguradoras, en el diseño y en la distribución de sus productos en el sentido de que deben identificar el conjunto de inversores a los que se dirige, evaluar -y reevaluar periodicamente-  la adecuación del producto a los intereses de ese grupo de inversores, así como la idoneidad del producto respecto de las aspiraciones ESG (ambientales, de sostenibilidad y de gobernanza) de los inversores que constituyen el mercado objetivo para el producto en cuestión.

Debe recordarse que la consulta inicial de la ESMA contenía un documento separado sobre las directrices relativas a los requisitos de divulgación aplicables a las calificaciones crediticias, incluida la consideración de los factores medioambientales, sociales y de gobernanza. Se espera que el informe final de este documento se publique a finales de julio.

El Gobierno corporativo de las aseguradoras europeas a revisión. EIOPA

el 28 enero, 2019 en Banca y Seguros

La EIOPA pide mejoras en la evaluación de la idoneidad de los miembros del consejo de administración y de los accionistas cualificados de las empresas de seguro.

La recomendación, que por el momento se efectúa mediante una nota de prensa publicada en la web de EIOPA el 25 de enero de 2019 , refleja las conclusiones de un documento redactado por un comité de expertos (revisión inter pares) que ha examinado los procedimientos de supervisión de idoneidad de los responsables de la administración societaria, y de los accionistas de referencia de las compañías de seguros. Es coherente con un requisito clave de Solvencia II, cual es el que las aseguradoras deben contar con administradores y accionistas idóneos. La responsabilidad de así garantizarlo corresponde principalmente a las propias entidades, pero además las ANCs son competentes para supervisar estos requisitos (tarea que incluye la revisión y aprobación de los cambios en los accionistas cualificados).
Conforme al estudio, todas las Autoridades Nacionales Competentes (ANC) profundizan en la evaluación inicial, sin embargo son pocas las que realizan evaluaciones continuas. Además,  identifican los expertos que las prácticas de supervisión de la idoneidad son divergentes entre las ANC, lo que puede dar lugar a resultados diferentes en distintos países, incluso en relación con la valoración relativa a una misma persona.

En  esta evaluación se revisaron los marcos reguladores nacionales y las prácticas de supervisión de las ANCs para evaluar la idoneidad de los miembros del Consejo, Consejo Supervisor y de los accionistas cualificados a nivel individual y de grupo, tanto en el momento de la autorización como de forma continua; y  también la eficacia de la cooperación transfronteriza. Además,  recoge buenas prácticas.

Los expertos realizaron 80 recomendaciones para las 29 ANC y la Autoridad Europea (EIOPA) anuncia futuros trabajos, en especial para mejorar la evaluación de idoneidad transfronteriza.

Reina-Teuta-de-Iliria-circa-235-200-a-C

El cumplimiento de las medidas recomendadas en el informe será evaluado más adelante. Varias ANC ya se han comprometido a aplicar las medidas recomendadas que se les han dirigido, incluidos cambios legislativos. Y, la propia EIOPA incluirá en sus actuaciones algunas de las recomendaciones, especialmente en el ámbito de la evaluación transfronteriza.
Más:

Cambio climatico e inversores institucionales

el 14 noviembre, 2018 en Banca y Seguros, Otros

Grupos  de inversores institucionales cuestionan a grandes multinacionales de los sectores energético y automovilístico en relación con sus sedicentes buenas prácticas  ambientales, que en realidad podrían  no responder a la realidad

Así ha sido comunicado por el Financial Times, y recogido por la prensa económica internacional (ver por ejemplo la revista Forbes).

Las industriales afectadas incluirían BP, AcelorMittal, entre otras. Se les acusa de que, contrariamente a sus declaraciones públicas, estos grupos empresariales no estarían avanzando en lucha para minimizar la huella de carbono. Y lo que es más, se desprendería la posibilidad de que estuviesen realizando pactos y acuerdos opacos para, de modo concertado, falsear sus acciones y resultados ambientales.

Los inversores institucionales que habrían dado la voz de alarma incluirían al Fondo de Pensiones de la Iglesia Anglicana (Church of England Pension Board) el fondo sueco AP7, Legal & General Investment Management, y la gestora holandesa Robeco.

Más sobre ISR (cinco días)

Ir a la barra de herramientas