Con la derogación del Real Decreto-ley 9/2024 de 23 de diciembre, decayó la prórroga establecida hasta el cierre del ejercicio 2026 referente a la exclusión de las pérdidas de los ejercicios 2020 y 2021 a efectos de determinar la concurrencia de la causa de disolución de una sociedad por la obtención de pérdidas que reduzcan su patrimonio neto por debajo del 50% del capital social.

En fecha 28 de enero, el Gobierno ha aprobado un nuevo Real Decreto-ley (Real Decreto-ley 1/2025) en el que establece que, para la determinación de la causa de disolución de una sociedad mercantil, no se considerarán las pérdidas derivadas de la DANA, sin incluir la prórroga en referencia a la exclusión de las pérdidas de los ejercicios 2020 y 2021.

Esto supone que, salvo que no se apruebe una norma específica al respecto, para determinar si una sociedad se encuentra en causa de disolución al cierre del ejercicio 2024, deberá incluir las pérdidas correspondientes a los ejercicios 2020 y 2021.

El Informe 32/2024, de 12 de diciembre, de la Junta Consultiva de Contratación Pública del Estado (JCCPE), prevé, en relación con el art. 29.2 de la LCSP, que “el órgano de contratación acuerde la prórroga del contrato prevista en los pliegos de cláusulas administrativas particulares cuando no haya tenido lugar el preaviso contemplado con la antelación prevista, siempre que haya aceptación de la prórroga por parte del contratista».

El informe repasa la regulación del art. 29.2 de la LCSP y los supuestos en que la prórroga es obligatoria para el contratista. Adicionalmente, razona que la regulación de la prórroga efectuada por este art. 29.2 de la LCSP «no limita la posibilidad de prórroga al supuesto en que sea obligatoria para el contratista».

Este informe considera que este precepto “establece unas garantías en beneficio del empresario para una mayor seguridad jurídica (caso del preaviso) y para que la prórroga del contrato no le sea excesivamente gravosa (caso del supuesto de demora de la Administración en el pago del precio)». Pero al margen del supuesto de prórroga obligatoria, «de ninguna manera impide la posibilidad de que dé su consentimiento a un acuerdo de prórroga adoptado por el órgano de contratación fuera de los márgenes para los que resulta obligatorio, consentimiento que, en todo caso, deberá ser expreso”.

Por todo ello, la JCCPE concluye que “de acuerdo con lo previsto en el artículo 29.2 de la LCSP, resulta posible que el órgano de contratación acuerde la prórroga del contrato prevista en los pliegos de cláusulas administrativas particulares cuando no haya tenido lugar el preaviso con la antelación prevista de dos meses antes de la finalización del plazo de duración del contrato, salvo que en el pliego que rija el contrato se establezca un plazo mayor, siempre que haya aceptación expresa de la prórroga por parte del contratista”.

Han pasado más de 4 años desde que se aprobó la obligación de las empresas de más de 50 trabajadores de tener planes de igualdad negociados, y hasta ahora no existía una regulación clara sobre cómo debían elaborarse estos planes si la empresa no tenía representantes legales de los trabajadores con quienes negociar el plan. Es cierto que existía una previsión de convocar a los sindicatos más representativos, pero no se sabía a través de qué procedimiento ni de qué manera.

Ante la denegación de la inscripción de planes que no habían sido acordados, ha sido la Sala Social del Tribunal Supremo quien se ha pronunciado a través de diversas sentencias, ordenando la inscripción de planes que se hayan aprobado sin acuerdo, frente a la imposibilidad de acordarlos (por falta de representantes legales de los trabajadores, incomparecencia de los sindicatos convocados o bloqueo negociador). El Tribunal Supremo indica fundamentalmente que no se puede supeditar el cumplimiento de una obligación de la empresa (inscribir su plan) a cuestiones que no dependen de ella.

La instrucción del 9 de enero de 2025 de la Secretaría de Trabajo de Cataluña establece ahora las condiciones y requisitos que deben permitir registrar planes de igualdad no negociados con representantes legales de los trabajadores, que son los siguientes:

• Que las empresas no cuenten con órganos de representación legal de las personas trabajadoras en todos o algunos de sus centros.
• Que acrediten haber convocado mediante burofax a los sindicatos más representativos, CCOO y UGT, y a los sindicatos más representativos del sector, sin que ningún sindicato haya dado respuesta en 10 días hábiles. La Administración deberá solicitar a los sindicatos que confirmen que no han dado ninguna respuesta.
• Solicitar la inscripción del plan no acordado por este motivo.
• Que el plan tenga el contenido mínimo exigido legalmente.
• Que haya habido un bloqueo negociador.

Es lamentable que una cuestión que tiene un impacto tan importante, como es la elaboración de planes de igualdad, y que afecta a una gran mayoría de empresas y entornos de trabajo, haya tenido siempre una regulación deficiente y una interpretación errática, generando a su alrededor decisiones no fundamentadas en derecho, inseguridad jurídica, correcciones del Tribunal Supremo y una cierta sensación de despropósito normativo.

Las excesivas formalidades que encorsetan los planes de igualdad los apartan paradójicamente de su objetivo, que es la adopción de políticas de igualdad. Como siempre, la desconfianza demostrada por la administración, que no confía en que las empresas sepan o quieran elaborar planes de igualdad, solo conduce a más formalidades: burofax que habrá que enviar y aportar, y una nueva acción de revisión por parte de la administración, que deberá pedir a los sindicatos que no hayan respondido a las convocatorias de las empresas que confirmen si realmente han sido convocados, a pesar de la existencia demostrable de los burofaxes.

Durante el ejercicio 2024, conforme a la aplicación de la disposición transitoria segunda (DT 2ª) de la Ley 35/2006, del Impuesto sobre la Renta de las Personas Físicas, la Agencia Tributaria ofrecía la posibilidad de reducir en la declaración de la renta el importe declarado como rendimientos del trabajo por parte de aquellas personas que cobraban pensiones de jubilación o invalidez y que, en su momento, no redujeron/minoraron el importe de las aportaciones a mutualidades.

Para la renta de 2023, la aplicación de la reducción se podía incluir dentro de la misma declaración de la Renta 2023 presentada durante los meses de abril a junio de 2024, ya que en los datos fiscales se indicaba el importe a minorar. En cuanto a los años anteriores no prescritos, se abrió un proceso de devolución que se tramitaba mediante un formulario que rectificaba de oficio las declaraciones no prescritas (generalmente 2019 a 2022), o también se podía gestionar una solicitud de ingresos indebidos para los años mencionados.

A finales del año 2024, la Agencia Tributaria emitió una nota informativa en la que indicaba que había procedido a modificar la forma de gestionar las devoluciones del IRPF para jubilados que realizaron aportaciones a antiguas mutualidades, dejando sin efecto todas aquellas solicitudes realizadas por cualquiera de las vías habilitadas a tal efecto, correspondientes a los ejercicios 2022 y anteriores no prescritos, siempre que la devolución no se hubiese acordado antes del día 22 de diciembre.

De esta manera, para poder gestionar estas devoluciones, se inicia un procedimiento mediante un nuevo formulario habilitado para este fin, que estará disponible durante el período de presentación voluntaria de la declaración del IRPF. Así, durante el período de la campaña de la renta de 2025, se podrá solicitar la devolución de los ejercicios 2019 y anteriores no prescritos; en 2026, se podrá solicitar la devolución del ejercicio 2020; y así sucesivamente hasta 2028.

Este cambio supone una dilación en el tiempo para poder cobrar las devoluciones solicitadas (hasta 2028) para todos aquellos contribuyentes que no hayan cobrado estos importes hasta la fecha del 22 de diciembre.

La continua evolución de las amenazas cibernéticas ha dado origen a nuevos desafíos, poniendo de manifiesto ciertas limitaciones que dificultan abordar de manera eficaz los retos actuales y emergentes en el ámbito de la ciberseguridad. En este contexto, la Directiva NIS2 surge como respuesta a esa necesidad de actualización y fortalecimiento de las medidas establecidas en la Directiva NIS1, erigiéndose como un marco normativo estratégico para abordar los retos actuales en materia de ciberseguridad en el marco de la Unión Europea. La Directiva NIS 2 entró en vigor el 16 de enero de 2023, y su transposición en España se hará a través del anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad aprobado el pasado 14 de enero de 2025 por el Consejo de Ministros.

La NIS2 amplía el ámbito de aplicación, dotando así de una mayor cobertura a los sectores y servicios de más relevancia social y económica, considerándolos como entidades esenciales o importantes, en función del grado de criticidad de sus sectores, de su tamaño o del tipo de servicio prestado. El sector sanitario forma parte de los sectores de alta criticidad, y en él se incluye: laboratorios de referencia de la UE, entidades que realizan actividades de investigación y desarrollo de medicamentos, entidades que fabrican productos farmacéuticos de base y especialidades farmacéuticas y entidades que fabrican productos sanitarios que se consideran esenciales en situaciones de emergencia de salud pública.

Además, la NIS2 refuerza los requisitos de seguridad que han de cumplir las entidades afectadas, precisa el proceso de notificación de incidentes, aborda la seguridad en la cadena de suministro y las relaciones con proveedores, refuerza el intercambio de información sobre incidentes y la divulgación de vulnerabilidades y establece una red europea de soporte de crisis (EU-CYCLONe). Todas las medidas deben, por un lado, ser proporcionadas al riesgo, tamaño, coste e impacto y gravedad de los incidentes; y, por otro lado, tener en cuenta el estado de la técnica, y cuando proceda, las normas europeas e internacionales.

En cuanto a la notificación de incidentes, solo en 2023, los países de la UE notificaron 309 incidentes de ciberseguridad graves contra sector sanitario, más que en cualquier otro sector crucial. Además, hay que considerar que el 54% de los ciberataques en el sector de la salud implican ransomware.

Tal y como se indica en el Informe de prospectivas de ciberseguridad para el 2024 de la Agencia de Ciberseguridad de Cataluña  “Se identifica, en primer lugar, que el sector salud emerge como un objetivo principal, ya que se enfronta a amenazas que pueden paralizar los sistemas críticos de salud pública y comprometer datos sensibles de pacientes. (…) El reto de implementar un entorno de ciberseguridad robusto y avanzado en Cataluña también exige adquirir y desplegar de forma efectiva nuevas capacidades. La aplicación de inteligencia artificial, para automatizar y escalar las defensas cibernéticas, junto con la incorporación de otras tecnologías punteras, es imprescindible para hacer frente a la evolución de las ciberamenazas. Además, hay que adoptar una estrategia de ciberseguridad proactiva, flexible y adaptable ágilmente a los cambios dinámicos y a la evolución de las amenazas cibernéticas.”

Los ciberataques también tienen consecuencias en la normativa de protección de datos. Por ello, es importante que el responsable sea consciente de cómo ha evolucionado el contexto de brechas de datos personales en el ámbito de la salud y, en particular, de los ciberincidentes de tipo ransomware que se han multiplicado en los últimos años, y que afectan a todo tipo de organizaciones asistenciales. Son varias las resoluciones sancionadoras de la Agencia Española de Protección de Datos que se han publicado en los últimos tiempos derivadas de ransomware, por ejemplo, el PS/00529/2022 contra Institut Marquès Obstetrícia i Ginecología SLP, en que se imputan infracciones de los arts. 5.1.f), 32 y 34 del Reglamento General de Protección de Datos (RGPD); o los procedimientos de la Autoridad Catalana de Protección de Datos PS 1/2024 y PS 4/2024, referentes al Hospital Clínic de Barcelona y Fundació de Recerca Clínic Barcelona-Institut d’Investigacions Biomèdiques August Pi i Sunyer, en los que se declara una infracción del art. 83.4.a en relación con el art. 32.1 RGPD e infracción del art. 83.4.a en relación con el art. 32.2 RGPD.

En definitiva, de todo lo expuesto se desprende que la ciberseguridad seguirá marcando la agenda de las organizaciones del sector salud durante los próximos ejercicios, así como también de la política comunitaria. El pasado 15 de enero de 2025 la Comisión Europea presentó un plan de acción de la UE destinado a reforzar la ciberseguridad de los hospitales y los prestadores de asistencia sanitaria, que tiene como objetivo crear un entorno más seguro y protegido para los pacientes.  Esta iniciativa marca la primera iniciativa sectorial específica para desplegar toda la gama de medidas de ciberseguridad de la UE. El Plan se basa en las cuatro prioridades siguientes:

1. Prevención mejorada.  El plan ayuda a desarrollar las capacidades del sector sanitario para prevenir incidentes de ciberseguridad a través de medidas de preparación mejoradas, como orientaciones sobre la aplicación de prácticas críticas de ciberseguridad.
2. Mejor detección e identificación de amenazas. Se desarrollará un servicio de alerta temprana a escala de la UE, que ofrecerá alertas casi en tiempo real sobre posibles ciberamenazas, de aquí a 2026.
3. Respuesta a los ciberataques para minimizar el impacto. El plan propone un servicio de respuesta rápida para el sector sanitario en el marco de la Reserva de Ciberseguridad de la UE.
4. Disuasión. Proteger los sistemas sanitarios europeos disuadiendo a los agentes de ciberamenazas de atacarlos. Esto incluye una respuesta diplomática conjunta de la UE a las actividades informáticas malintencionadas.

Seguiremos con interés los pasos previstos para 2025-2026 definidos en el Plan y analizaremos si con ello dejan de aumentar año tras año los ciberataques a hospitales y otros prestadores de asistencia sanitaria.