Esquemas EU de certificación de ciberseguridad (y ya publicado el primer EECC)

Pelargonium hortorum (geranio rojo)

Con el desarrollo de la certificación de ciberseguridad a escala de la UE se pretende armonizar el reconocimiento del nivel de ciberseguridad de las soluciones TIC en toda la Unión.

Los sistemas de certificación de la UE son desarrollados por ENISA dentro del marco definido en el Reglamento sobre Ciberseguridad (Reglamento 881 /2019), mediante los procedimientos y sistemas de trabajo de esta Agencia  y teniendo en cuenta los sistemas y normas existentes de los que se nutren los esquemas.

Son esquemas europeos de ciberseguridad que se irán aprobando son -en principio- voluntarios. Su seguimiento potencia el Mercado Único Digital de la UE. Sirven para demostrar el cumplimiento de sus requisitos. En algunos casos, a través de normas de derecho positivo escrito, pueden llegar a ser  obligatorios. En particular, alguna legislación ya alude a los esquemas europeos de certificación de ENISA:

la Directiva para un alto nivel de ciberseguridad en toda la Unión (NIS2), en especial en lo relativo a entidades que gestionan infraestructuras críticas,
– la propuesta de Reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS) con el Reglamento Wallet/elDAS2
– la propuesta de Reglamento de Ciberresiliencia (CRA), que añade la ciberseguridad a los criterios para obtener el marcado CE en la fabricación de determinados productos,
– la propuesta de sobre Inteligencia Artificial.

 

Definición de Esquema europeo de certificación de la ciberseguridad de la UE:  es un conjunto completo de reglas, requisitos técnicos de ciberseguridad, normas y procedimientos de evaluación, definidos a nivel de la UE y aplicables a la certificación de productos, servicios o procesos específicos de TIC.

  • Cada certificado de ciberseguridad de la UE acredita que un producto, proceso o servicio de TIC ha superado una evaluación de conformidad con dicho régimen y que cumple los requisitos y normas de ciberseguridad especificados.
  • La certificación la realiza un organismo de evaluación de la conformidad (OEC/CAB), que puede auditar y/o probar y/o certificar. Todos los certificados serán publicados por ENISA en un sitio web específico.
  • Dependiendo del riesgo de ciberseguridad asociado al uso previsto de la solución TIC que se va a certificar, se puede elegir un nivel de ciberseguridad diferente que el solicitante define. Cada esquema indica si la certificación tiene un nivel de garantía «básico», «sustancial» o «alto»

Los primeros EEC::

Rododendro
  • EUCC. El Esquema Europeo de Certificación de Ciberseguridad sobre Criterios Comunes, el primer esquema, se dirige a las TIC, tales como productos y componentes de hardware y software. El 31 de enero de 2024, la Comisión Europea aprobó el acto de ejecución por el que se pone en marcha el sistema de certificación. ENISA está publicando los documentos de referencia que respaldan el sistema y que se enumeran en su Anexo 1.

A continuación:

  • EUCS El Esquema Europeo de Certificación de Servicios en la Nube  se encuentra en trámite de análisis por parte del ECCG.
  • EU5G El Esquema Europeo de Certificación de Ciberseguridad para 5G se desarrolla en dos fases. Durante una primera fase que finalizó en otoño de 2022, ENISA, los expertos reunidos en un grupo de trabajo ad hoc con la Comisión de la UE y los Estados miembros analizaron las evaluaciones industriales existentes y los esquemas de certificación y sus actualizaciones necesarias para cumplir con la Ley de Ciberseguridad. La segunda fase se abre con una consulta pública
  • ¿Inteligencia Artificial? Con vistas a la adopción del proyecto de Reglamento de la UE sobre Inteligencia Artificial, ENISA está evaluando si la IA podría ser objeto de certificación en materia de ciberseguridad y de qué manera, así como el modo en que podrían reutilizarse los esquemas en curso de elaboración. Este trabajo es preparatorio, ya que ENISA no ha recibido una solicitud para desarrollar un esquema de certificación por parte de la Comisión Europea

 

Arquitectura en la elaboración y utilización de los EEC

Hortensia atlántica
Hortensia atlántica
  • Comisión Europea La iniciativa de elaborar un EECC es de la Comisión Europea que lo plantea a ENISA. ENISA, una vez que tiene una propuesta, la remite a la Comisión quien la adopta a través de legislación administrativa, Reglamentos de Ejecución
  • ENISA. La elaboración corresponde a ENISA que actúa como coordinadora y anfitriona de grupos de trabajo
  • Partes interesadas y público general Al desarrollar los esquemas de ciberseguridad de la UE, ENISA trabaja con una amplia variedad de partes interesadas en la ciberseguridad. Por ejemplo, las partes interesadas pueden formar parte del «grupo de trabajo ad hoc» de expertos que apoya a la ENISA en el desarrollo de un determinado esquema. Asimismo, es posible invitar a las partes interesadas a participar en proyectos piloto o «pruebas de concepto» para poner a prueba algunos o más elementos de un régimen de la UE (por ejemplo, viabilidad, posibles procedimientos o procesos o métodos de evaluación) antes de su aplicación. Por otro lado, cuando un esquema se encuentra en una fase avanzada de desarrollo, también puede haber consultas públicas, por ejemplo sobre proyectos de regímenes. Una vez implantado, el sistema debe actualizarse y adaptarse a los cambios que se produzcan en el entorno de la ciberseguridad. Los procesos, procedimientos y métodos de evaluación deben mantenerse, evaluarse y revisarse  y en estos procesos también participan las partes interesadas por invitación de ENISA.
  • Entrada en vigor: Para ser efectivo, un proyecto de esquema elaborado por ENISSA a petición de la Comisión debe ser aprobado por un acto legislativo de la UE , «acto de ejecución» y en él se establece un periodo para que los Estados miembros preparen el funcionamiento del sistema antes de expedir los certificados.
  • Organismos de Evaluación de la Conformidad (OEC/CAB) .Los OEC/CAB que estarán acreditados para emitir certificados o realizar actividades de evaluación (ensayos, auditorías) para estos esquemas.. Los sistemas de certificación de ciberseguridad crean un mercado europeo para organismos de evaluación de la conformidad (OEC/CAB ) que podrán ofrecer sus servicios de certificación así como herramientas y servicios de evaluación relacionados en toda la UE. Estos OEC/CAB trabajar en los esquemas de certificación de la UE de dos formas distintas: como evaluadores (mediante auditorías/ensayos) y/o como certificadores. Deben cumplir una serie de requisitos antes de poder realizar tales actividades:
    Para poder evaluar y certificar de acuerdo con los regímenes de certificación de la UE, los OEC deberán estar acreditados por su organismo nacional de acreditación.
    Una vez acreditados para un esquema europeo de certificación de la ciberseguridad, la Autoridad Nacional de Certificación de la Ciberseguridad (ANC) deberá notificar su acreditación a la Comisión.
    Si un OEC quiere ser elegible para certificar una solución TIC bajo el nivel de garantía «alto», puede necesitar cumplir requisitos adicionales. El procedimiento para cumplir estos requisitos lo realiza la ANC y se denomina «autorización». Esta «autorización» también debe notificarse a la Comisión.
  • Usuarios de los certificados Los certificados de ciberseguridad de la UE se conceden a productos y servicios TIC certificados con arreglo a los regímenes de certificación de ciberseguridad de la UE. Demuestran que las soluciones probadas son resistentes a determinados niveles de seguridad y establecen procesos de reparación teniendo en cuenta los últimos avances del estado de la técnica. Como están reconocidos en toda la UE permiten a los proveedores de productos y servicios mostrar la conformidad de su solución con un esquema específico, nivel de garantía, ámbito de aplicación y, potencialmente, extensión o perfiles de seguridad. Los usuarios de soluciones TIC pueden considerar los certificados de ciberseguridad como una demostración de que una solución específica cumple los requisitos de seguridad definidos.
  • Autoridades Nacionales de Certificación en Ciberseguridad ( ANC). Como exige la Directiva sobre Ciberseguridad, cada Estado miembro ha designado una ACNC que se responsabilizará de supervisar, acreditar y controlar la certificación de ciberseguridad de la UE a nivel nacional y de intercambiarla a nivel de la UE. Cada Estado miembro puede optar por expedir certificaciones de conformidad de ciberseguridad de la UE. Las Autoridades Nacionales de Certificación en Ciberseguridad («ANC») supervisan y controlan el cumplimiento del régimen de los certificados expedidos por las OEC en su Estado miembro.
  • Sistemas nacionales. Cada sistema de certificación de ciberseguridad de la UE prevé un periodo de transición tras el cual los sistemas nacionales pertinentes dejan de tener efecto.
    En otras palabras, los certificados expedidos en virtud de estos regímenes dejan de ser válidos. Para garantizar una aplicación sin problemas, la transición de los regímenes existentes a los regímenes de la UE se lleva a cabo en estrecha colaboración con todas las partes interesadas; por ejemplo, se elaborarán orientaciones para los organismos de certificación de ciberseguridad que operan con regímenes nacionales. Por lo tanto, los OEC no deben interrumpir sus actividades relacionadas con los regímenes existentes.
  • Duración. Los certificados son válidos durante un tiempo limitado que puede ampliarse mediante una nueva evaluación de la solución.
  • Certificación la certificación es voluntaria, a menos que la normativa de la UE o de los Estados miembros especifique lo contrario.

 

Ciber resiliencia de productos . Propuesta (UE) de reforma del régimen de responsabilidad del fabricante (Y marcado CE de ciberseguridad)

La Comisión presentó una propuesta de nueva Ley de Ciberresiliencia  o Reglamento Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (COM(2022) 454 final).  Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Sobre aquella propuesta habíamos comentado aquí.

La propuesta se basa en el nuevo marco legislativo de la UE en materia de productos y establece por un lado, normas para la comercialización de productos con elementos digitales para garantizar su ciberseguridad; por otro requisitos esenciales para el diseño, el desarrollo y la producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos; también requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores económicos en relación con estos procesos, incluyendo obligaciones de los fabricantes de informar de las vulnerabilidades e incidentes explotados activamente. Además, establece normas sobre vigilancia del mercado y aplicación de la legislación. En conjunto, esta propuesta llamada «Ley de Ciber resiiencia»  refuerza las normas de ciberseguridad para garantizar productos de hardware y software más seguros.

 

Gladiolo

Debe recordarse que los productos de hardware y software son cada vez más objeto de ciberataques con éxito. Ello implica un coste anual mundial estimado de 5,5 billones de euros para 2021. Estos productos adolecen de dos grandes problemas, un bajo nivel de ciberseguridad con vulnerabilidades generalizadas y suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensión y un acceso a la información insuficientes por parte de los usuarios (les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura).

Hoy,  la  mayoría de los productos de hardware y software no están cubiertos la legislación de la UE sobre ciberseguridad. En particular, el actual marco jurídico de la UE no aborda la ciberseguridad de los programas informáticos no integrados, aun cuando son objeto de ciberataques a menudo.

La propuesta tiene dos objetivos principales, en relación con los productos.

  • crear las condiciones para el desarrollo de productos seguros con elementos digitales, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y velando por que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto; y
  • crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.

Y cuatro objetivos específicos:

  1. que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida;
  2. garantizar un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los fabricantes de hardware y software
  3. aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
  4. fomentar que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura.

Documentación técnica (art 23 de la propuesta)

La documentación técnica debe elaborarse antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendrá permanentemente actualizada durante la vida útil prevista del producto o durante cinco años a partir de la introducción del producto con elementos digitales en el mercado, si este período fuese más breve

Marcado CE «Conformité Européenne (preámbulo 32 y art 21 de la propuesta)

El marcado CE indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.º 765/2008 Ahora, con esta propuesta de ciber resiliencia se establecen disposiciones relativas a la colocación del marcado CE en productos con elementos digitales, siendo el marcado CE  el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos Téngase en cuenta que cuando existe reserva de Marcado CE, esta mención es obligatoria. Conforme a la propuesta, los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno.

  • El marcado CE, tal como se define en el artículo 3, punto 32, estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) n.º 765/2008.:  ««marcado CE»: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Unión aplicables que armonicen las condiciones para la comercialización de productos (las «normas de armonización de la Unión») y prevean su colocación»
  • Se siguen las reglas de colocación, tamaño etc del art 22

En relación con este marcado la Comisión estará facultada para adoptar actos de ejecución con el fin de especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas informáticos, especificar los esquemas europeos de certificación de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en el presente Reglamento, adoptar especificaciones comunes, establecer especificaciones técnicas para la colocación del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata destinada a preservar el buen funcionamiento del mercado interior.

Tareas encomendadas a ENISA

  • Recibir notificaciones de los fabricantes relativas a las vulnerabilidades presentes en los productos con elementos digitales y sobre los incidentes que repercutan en la seguridad de dichos productos.
  • Transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad informática (CSIRT) pertinentes o, según corresponda, a los puntos de contacto únicos de los Estados miembros designados de conformidad con DNIS2, así como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada.
  • elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación
  • apoyar el proceso de ejecución del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categorías de productos para las que deban organizarse acciones de control simultáneas coordinadas.
  • En circunstancias excepcionales que requieran una intervención inmediata, la ENISA, a petición de la Comisión, debe poder llevar a cabo evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Evaluación de conformidad (arts. 25 ss. de la Propuesta)

  • Recuérdese que la conformidad de un producto se efectúa antes de su comercialización. Consiste en demostrar que se cumplen todos los requisitos legislativos. Incluye pruebas, inspección y certificación.
  • El procedimiento para cada producto se especifica en la legislación de producto aplicable.
  • En general, la legislación de productos describe los procedimientos de evaluación de la conformidad para cada producto. Cada fabricante puede elegir entre diferentes procedimientos de evaluación de la conformidad disponibles para sus productos, en su caso. La evaluación la realizaría el fabricante salvo cuando a legislación requiere la intervención de un organismo de evaluación de conformidad. Como parte de la evaluación de la conformidad, el fabricante o el representante autorizado debe redactar una declaración de conformidad (DoC). La declaración debe contener toda la información para identificar:
        • Producto
        • Legislación aplicable a ese producto
        • Fabricante o el representante autorizado
        • Organismo notificado si procede
        • Una referencia a normas armonizadas u otros documentos normativos, cuando proceda
  • En relación con esta Propuesta, los Estados miembros notificarán a la Comisión y a los demás Estados miembros los organismos de evaluación de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.
Azaleas

A propósito de los organismos notificados  los organismos de evaluación de conformidad (art 29 ss de la Propuesta). Y repaso al sistema de acreditación

  • Con carácter general organismo notificado es una organización designada por un país de la UE para evaluar la conformidad de determinados productos antes de su comercialización. Estos organismos llevan a cabo tareas relacionadas con los procedimientos de evaluación de la conformidad establecidos en la legislación aplicable a petición de terceros como los fabricantes. La Comisión Europea publica una lista de dichos organismos notificados. En España, los Organismos Notificados deben contar con la aprobación previa de ENAC (Entidad Nacional de Acreditación). Conforme al Reglamento  (CE) n.o 765/2008 la ENAC es ,en España, el organismo de acreditación:  el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones. Estas acreditaciones son también definidas en el mismo Reglamento: declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad

Rasgos de estos ONEC:

    • Imparcialidad: su personal tiene competencia técnica libre de incentivos económicos que tienten su criterio
    • Confidencialidad: garantizan el secreto profesional y tienen seguro de responsabilidad civil
    • Independencia: tienen personalidad jurídica propia e independiente de la organización evaluada. En este sentido, ni los directivos ni el personal podrán diseñar, instalar, proveer, fabricar, mantener…nada que pueda entrar en conflicto con su independencia, en especial los servicios de consultoría. Los organismos notificados de certificación, son conforme al R (CE) 765/2008 organizaciones que desempeñan actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección. Algunas de las características de los organismos notificados de evaluación son:
  • En la Propuesta se establecen requisitos específicos para los organismos notificados, como su sometimiento a las reglas de notificación (art 29, apartados 2 a 12).
  • .Los organismos de evaluación de la conformidad se establecerán con arreglo al Derecho nacional y tendrán personalidad jurídica. Y, serán terceros organismos independientes de la organización o el producto que evalúen. Pueden pertenecer a una asociación comercial o una federación profesional que represente a las empresas que participan en el diseño, el desarrollo, la producción, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que evalúen, a condición de que se demuestre su independencia y la ausencia de conflictos de interés.
    • El organismo de evaluación de la conformidad, sus directivos de alto rango y el personal responsable de la realización de las tareas de evaluación de la conformidad no serán el diseñador, el desarrollador, el fabricante, el proveedor, el instalador, el comprador, el dueño, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse, ni el representante autorizado de ninguno de ellos. Ello no será óbice para que usen los productos evaluados que sean necesarios para el funcionamiento del organismo de evaluación de la conformidad, ni para que usen dichos productos con fines personales. Tampoco  intervendrán directamente en el diseño, el desarrollo, la producción, la comercialización, la instalación, el uso ni el mantenimiento de estos productos, ni representarán a las partes que participen en estas actividades. No realizarán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que hayan sido notificados. Ello se aplicará, en particular, a los servicios de consultoría.
    • Los organismos de evaluación de la conformidad se asegurarán de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluación de la conformidad.
    • Los organismos de evaluación de la conformidad y su personal llevarán a cabo las actividades de evaluación de la conformidad con el máximo nivel de integridad profesional y con la competencia técnica exigida para el campo específico, y estarán libres de cualquier presión o incentivo, especialmente de índole financiera, que pudieran influir en su apreciación o en el resultado de sus actividades de evaluación de la conformidad, en particular por parte de personas o grupos de personas que tengan algún interés en los resultados de estas actividades.
    • El organismo de evaluación de la conformidad será capaz de realizar todas las tareas de evaluación de la conformidad especificadas en el anexo VI y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.

En todo momento, para cada procedimiento de evaluación de la conformidad y para cada tipo o categoría de productos con elementos digitales para los que ha sido notificado, el organismo de evaluación de la conformidad dispondrá:

            1. de personal con conocimientos técnicos y experiencia suficiente y adecuada para realizar las tareas de evaluación de la conformidad;
            2. de las descripciones de los procedimientos con arreglo a los cuales se efectúa la evaluación de la conformidad, garantizando la transparencia y la posibilidad de reproducción de estos procedimientos; dispondrá también de las políticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;
            3. de procedimientos para desempeñar sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnología del producto y el carácter masivo o en serie del proceso de producción.
            4. dispondrá de los medios necesarios para realizar adecuadamente las tareas técnicas y administrativas relacionadas con las actividades de evaluación de la conformidad y tendrá acceso a todo el equipo o las instalaciones que necesite. El personal encargado de llevar a cabo las tareas de evaluación de la conformidad dispondrá de:
                  1. una buena formación técnica y profesional para realizar todas las actividades de evaluación de la conformidad para las que el organismo de evaluación de la conformidad haya sido notificado;
                  2. un conocimiento satisfactorio de los requisitos de las evaluaciones que efectúe y la autoridad necesaria para efectuarlas
                  3. un conocimiento y una comprensión adecuados de los requisitos esenciales, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonización de la Unión aplicables, así como de las normas de aplicación correspondientes;
                  4. capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.

Se garantizará la imparcialidad de los organismos de evaluación de la conformidad, de sus directivos de alto rango y del personal de evaluación.

      • La remuneración de los directivos de alto rango y del personal de evaluación de los organismos de evaluación de la conformidad no dependerá del número de evaluaciones realizadas ni de los resultados de dichas evaluaciones.

Garantías frente a responsabilidad

  • El organismo de evaluación de la conformidad suscribirá un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.

Secreto

    • El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información recabada en el ejercicio de sus tareas, con arreglo al anexo VI o a cualquier disposición de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se protegerán los derechos de propiedad. El organismo de evaluación de la conformidad contará con procedimientos documentados que garanticen el cumplimiento del presente apartado.

 

 

Zarzas y lila

Otras cuestiones

    • Los organismos de evaluación de la conformidad participarán en las actividades pertinentes de normalización y las actividades del grupo de coordinación de los organismos notificados establecido con arreglo al artículo 40, o se asegurarán de que su personal de evaluación esté informado al respecto, y aplicarán a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.
    • Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relación con las tasas.

Presunción de conformidad/ subcontrataciones y filiales de los organismos notificados

  • Artículo 30.- Presunción de conformidad de los organismos notificados. Si un organismo de evaluación de la conformidad demuestra su conformidad con los criterios establecidos en las normas armonizadas pertinentes, o partes de ellas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, se presumirá que cumple los requisitos establecidos en el artículo 29 en la medida en que las normas armonizadas aplicables cubran estos requisitos.

 

  • Artículo 31. Subcontrataciones y filiales de los organismos notificados: 1.Cuando un organismo notificado subcontrate tareas específicas relacionadas con la evaluación de la conformidad o recurra a una filial, se asegurará de que el subcontratista o la filial cumplen los requisitos establecidos en el artículo 29 e informará a la autoridad notificante en consecuencia. 2.El organismo notificado asumirá la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de dónde estén establecidos. 3.Las actividades solo podrán subcontratarse o delegarse en una filial previo consentimiento del fabricante. 4.Los organismos notificados mantendrán a disposición de la autoridad notificante los documentos pertinentes sobre la evaluación de las cualificaciones del subcontratista o de la filial, así como sobre el trabajo que estos realicen con arreglo al presente Reglamento.

Certificaciones de Ciberseguridad en la UE

El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 establece un nuevo marco para la certificación  de sistemas de ciberseguridad en la UE. Este Reglamento se conoce también como Reglamento de Ciberseguridad

 

Destacan estas definiciones:

  • «esquema europeo de certificación de la ciberseguridad»: conjunto completo, de disposiciones, requisitos técnicos, normas y procedimientos establecidos a escala de la Unión y que se aplican a la certificación o evaluación de la conformidad de los productos, servicios y procesos de TIC específicos.
    • Su objeto es garantizar que los productos, servicios y procesos de TIC certificados con arreglo a un esquema cumplan los requisitos especificados con objeto de proteger la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados, transmitidos o procesados o las funciones conexas de estos productos, servicios y procesos a lo largo de su ciclo de vida, o los servicios ofrecidos por ellos o accesibles a través de ellos.
    • Conforme al artículo 48 del Reglamento de Ciberseguridad, (Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo),  podrá solicitarse a ENISA que prepare una propuesta de esquema o que revise un esquema europeo de certificación de la ciberseguridad existente, dentro del programa de trabajo evolutivo de la Unión o excepcionalmente fuera de ese programa con lo que el mismo será actualizado en consecuencia.
  • «certificado europeo de ciberseguridad»: documento expedido por el organismo pertinente que certifica que determinado, producto, servicio o proceso de TIC ha sido evaluado para verificar que cumple los requisitos específicos de seguridad establecidos en un esquema europeo de certificación de la ciberseguridad
  • «esquema nacional de certificación de la ciberseguridad»: conjunto completo de disposiciones, requisitos técnicos, normas y procedimientos desarrollados y adoptados por una autoridad pública nacional, y que se aplican a la certificación o a la evaluación de la conformidad de los productos, servicios y procesos de TIC incluidos en el ámbito de aplicación de dicho esquema específico;

 

Se relacionan con otras disposiciones

  •  «acreditación»: declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad . -ello, conforme al artículo 2, punto 10, del Reglamento (CE) n.o 765/2008:
  • «organismo nacional de acreditación»: el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones; conforme al artículo 2, punto 11, del Reglamento (CE) n.o 765/2008. Conforme a la STJUE en Garaciolo (C-142/20) este organismo debe estar situado necesariamente en el territorio del Estado en cuestión
  • «evaluación de la conformidad»: proceso por el que se demuestra si se cumplen los requisitos específicos relativos a un producto, un proceso, un servicio, un sistema, una persona o un organismo, según se define en el artículo 2, punto 12, del Reglamento (CE) n.o 765/2008;
  • «organismo de evaluación de la conformidad»: organismo que desempeña actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección, tal como se señala en el en el artículo 2, punto 13, del Reglamento (CE) n.o 765/2008;
  • «norma»: una norma según se define en el artículo 2, punto 1, del Reglamento (UE) n.o 1025/2012;
  • «especificación técnica»: un documento que prescribe los requisitos técnicos que debe cumplir un producto, servicio o proceso de TIC, o procedimientos de evaluación de la conformidad relativos a los mismos. Las especificaciones técnicas que deben utilizarse en un esquema europeo de certificación de la ciberseguridad deben respetar los requisitos establecidos en el anexo II del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo. No obstante, podrían considerarse necesarias algunas variaciones con respecto a estos requisitos en casos debidamente justificados en los que dichas especificaciones técnicas vayan a utilizarse en un esquema europeo de certificación de la ciberseguridad de nivel de garantía «elevado». Los motivos que justifican tales variaciones deben hacerse público

Recuérdese que conforme al Reglamento (UE) no 1025/2012, artículo 10 (6): Cuando una norma armonizada cumpla los requisitos que está previsto que regule, establecidos en la correspondiente legislación de armonización de la Unión, la Comisión publicará sin demora una referencia a dicha norma armonizada en el Diario Oficial de la Unión Europea o por otros medios, con arreglo a las condiciones establecidas en el correspondiente acto de la legislación de armonización de la Unión. 

 

 

STJUE: El fabricante de vehículos no puede supeditar el acceso de los talleres independientes al DAB a condiciones (extra legales).

El artículo 61, apartado 1, del Reglamento 2018/858 impone a los fabricantes de automóviles la obligación de conceder a los agentes independientes el acceso a la información contemplada en esa disposición. Tal información debe presentarse en un formato que pueda ser objeto de un tratamiento electrónico.  El acceso se contempla aquí como un requisito imprescindible para el mercado interior europeo de los talleres de reparación de vehículos a motor, hasta el punto de que ni siquiera las alegaciones relativas a la ciberseguridad del automóvil constituyen una base jurídica suficiente para la excepcionalidad

Arija-Burgos- Ebro

En el asunto subyacente a la sentencia  del TJUE en el asunto C-296/22 que resuelve un procedimiento prejudicial. el fabricante de automóviles restringía el acceso al sistema de Diagnostico a Bordo (DAB) de ciertos agentes independientes.  FCA Italy SpA, fabricante imponía requisitos de acceso a la información contemplada en el artículo 61, apartado 1, del Reglamento 2018/858, distintos de los previstos en ese Reglamento, y más gravosos para los talleres de reparación de vehículos, independientes de la red de concesionarios de FCA. Entre esos requisitos, obligaba a utilizar una conexión de la herramienta de diagnóstico (DAB) a través de un servidor de Internet designado por el fabricante,  previo registro de los agentes independientes ante ese fabricante: tales requisitos han sido declarados incompatibles con el Derecho de la UE

  • El TJUE ha clarificado que la obligación de permitir el acceso tiene un alcance más amplio que el de conceder la mera lectura (véase también en este sentido de amplitud STJUE Gesamtverband Autoteile-Handel, C‑527/18, en sus apartados 26 y 34). La facilidad de acceso está relacionada con la libre competencia en el mercado de los talleres de reparación de automóviles en la Unión Europea.
  • Subraya que los fabricantes de automóviles deben facilitar a los agentes independientes un acceso sin restricciones, normalizado y no discriminatorio a la información relativa al sistema DAB, en el sentido del artículo 3, punto 49, de Reglamento 2018/858, al equipo de diagnóstico y de otra clase, a las herramientas y a la información sobre la reparación y el mantenimiento de los vehículos, en el sentido de dicho artículo 3, punto 48.
  • Añade que la información debe presentarse de una manera fácilmente accesible en forma de conjuntos de datos de lectura mecanizada y susceptibles de tratamiento electrónico

Por otro lado, el TJUE recuerda (apartado 26) que al interpretar el Derecho de la UE, junto con su tenor literal debe tenerse en cuenta el contexto en el que se inscribe y los objetivos perseguidos por la normativa de la que forma parte. En este sentido, remite a lo ya establecido en la sentencia de 9 de junio de 2022, Imperial Tobacco Bulgaria, C‑55/21, apartado 44 y jurisprudencia citada en esta resolución ). Y añade que la elaboración y  génesis de las disposiciones y preceptos de derecho positivo pueden ofrecer elementos pertinentes para la interpretación (como también se deduce del apartado 47 de la STJUE de 10 de diciembre de 2018, Wightman y otros, C‑621/18,), por lo que en este asunto concreto, sería evidente que las medidas de seguridad (y ciberseguridad)  del fabricante «no deben comprometer las obligaciones de tales fabricantes de vehículos de proporcionar acceso a información exhaustiva de diagnóstico y datos del vehículo para fines de reparación y mantenimiento de vehículos Y además, que el alegado Reglamento 155 de UN, conforme a su punto 1.3, debe entenderse sin perjuicio de la legislación regional o nacional que rige el acceso de partes autorizadas al vehículo, sus datos, funciones y recursos, así como las condiciones de dicho acceso

Falla el TJUE que el artículo 61, apartados 1 y 4, del Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, debe interpretarse en el sentido de que se opone a que un fabricante de automóviles supedite el acceso de los agentes independientes a información sobre la reparación y el mantenimiento de los vehículos, así como a la información del sistema de diagnóstico a bordo, incluido el acceso a esa información para escritura, a requisitos distintos de los establecidos en el referido Reglamento.

Dominio. eu, primer nivel- Informe periódico y anotaciones sobre su funcionamiento

Acaba de publicarte un informe periódico de la Comisión sobre el  ejercicio del poder para adoptar actos delegados en virtud del Reglamento (UE) 2019/517 del Parlamento Europeo y del Consejo sobre la aplicación y el funcionamiento del nombre de dominio de primer nivel «.eu». Recuérdese que el dominio .eu es  representa un nombre de dominio de nivel superior con código de país (ccTLD) para la Unión Europea (UE).

El 19 de marzo de 2019, el Parlamento Europeo y el Consejo adoptaron el Reglamento (UE) 2019/517 sobre la aplicación y el funcionamiento del nombre de dominio de primer nivel «.eu» . Este Reglamento «basado en Principios»  se concibió para mejorar el potencial del dominio, dotarle de flexibilidad y adaptabilidad al mercado de nombres de dominio y facultó a la Comisión Europea para que durante 5 años adoptase actos delegados y de ejecución para establecer criterios y procedimientos en la selección del Registro de nombres de dominio de primer nivel «.eu» y para su funcionamiento conforme a criterios de apertura, transparencia y no discriminación. (Ver aquí resumen sobre este Reglamento)

La Comisión adoptó así el Reglamento Delegado (UE) 2020/1083 de la Comisión, de 14 de mayo de 2020, por el que se completa el Reglamento (UE) 2019/517 del Parlamento Europeo y del Consejo mediante el establecimiento de los criterios de admisibilidad y de selección, así como del procedimiento de designación del Registro del nombre de dominio de primer nivel «.eu». En este Reglamento Delegado se contemplan los criterios de admisibilidad y selección, así como el procedimiento de designación del Registro para la organización, administración y gestión del dominio de primer nivel «.eu». Para elaborar este acto delegado, la Comisión consultó a expertos de los Estados miembros en el ámbito de la gobernanza de internet en el marco del Grupo de Alto Nivel sobre la Gobernanza de Internet (HLIG) que actúa como plataforma a través de la cual la Comisión y los Estados miembros intercambian información y armonizan sus posiciones. La Comisión también se invitó a representantes del Parlamento Europeo y del Consejo a participar en las reuniones del HLIG en las que se debatió la propuesta de Reglamento Delegado

  • El Reglamento Delegado (UE) 2020/1083 de la Comisión establece criterios de admisibilidad para que el Registro sea una organización sin ánimo de lucro, constituida de conformidad con la legislación de un Estado miembro, con domicilio social, administración central y centro de actividad principal en la UE; y para que la infraestructura que le permita desempeñar las funciones esenciales del Registro también esté situada en la Unión.
  • El Reglamento Delegado (UE) 2020/1083 de la Comisión establece  los criterios de selección y su peso respectivo en la puntuación total de evaluación de los candidatos.
    • El criterio de «calidad del servicio»  exige que los candidatos persigan la excelencia operativa y garanticen un servicio de alta calidad a precios competitivos.
    • El criterio «recursos humanos y técnicos»  exige que los candidatos garanticen que sus recursos son suficientes para desempeñar las funciones necesarias para organizar, administrar y gestionar del dominio de primer nivel «.eu» y que los servicios prestados garantizan una alta calidad, transparencia, seguridad, estabilidad, previsibilidad, fiabilidad, accesibilidad, eficiencia, no discriminación, condiciones de competencia justas y protección de los consumidores.
    • El criterio «capacidad financiera y cumplimiento»  exige que los solicitantes demuestren la seguridad y estabilidad financieras adecuadas para cumplir las tareas del Registro.
    • Los criterios establecidos en el Reglamento Delegado (UE) 2020/1083 basan el desarrollo del procedimiento  de selección del nuevo Registro. Y así la Comisión adoptó la Decisión de Ejecución (UE) 2021/1878, de 25 de octubre de 2021 , sobre la designación del Registro del dominio de primer nivel «.eu», y firmó posteriormente el contrato de concesión de servicios para la administración y la gestión de dicho dominio con el Registro Europeo de Nombres de Dominio de Internet (EURid) por un período de cinco años.
Más

Nuevo Reglamento General de Seguridad de los Productos en la UE

El 23 de mayo de 2023, la UE publicó el nuevo Reglamento general de seguridad de los productos (RGSP). Este Reglamento entró en vigor el 12 de junio de 2023 y establece un periodo transitorio de 18 meses de adaptación para los Estados miembros de la UE y entidades que deban cumplirlo. Su plena aplicación comenzará el 13 de diciembre de 2024.

No establece obligaciones contractuales de derecho privado relativas a la seguridad. Éstas deberán buscarse en la futura Directiva  de productos defectuosos. (Propuesta de Directiva sobre responsabilidad por los daños causados por productos defectuosos, publicada el 28.09.2022). Sin embargo, al imponer el RGSP que  sólo se pueden comercializar en la UE los productos que puedan calificarse como seguros viene a imponer implícitamente un estándar de seguridad. Además, este Reglamento plantea nuevos requisitos relacionados con la notificación de efectos adversos, las evaluaciones de riesgos previos a la comercialización, las retiradas de circulación de productos como consecuencia de fallos en la seguridad; así como otros relacionados con el etiquetado y con la documentación de los productos. El RDSP  incluye expresamente disposiciones que permiten entablar acciones colectivas

Camelia
SEGURIDAD DE PRODUCTOS COMERCIALIZADOS EN LA UE

 

  • El art 5 define el principio universal de que sólo se pueden introducir o comercializar  en la UE productos que sean seguros. A continuación, y a lo  largo del texto articulado, este principio va tomando forma y adoptando manifestaciones concretas. Destacadamente establece presunciones de seguridad, en el sentido de que la conformidad con las normas de certificación  publicadas en el DOUE en relación con determinados riesgos (conforme al art 10, apartado 7, Reglamento 1025/2012); y la conformidad con normas nacionales de similar alcance tienen como efecto activar tal presunción.
  • Los fabricantes deberán informar «sin demora» de los «accidentes causados por un producto» si éste está relacionado  o implicado en un incidente con resultado de muerte o «efectos adversos graves para la salud y la seguridad».
    • Los productos sólo pueden ser introducidos en el mercado de la UE cuando exista un operador económico establecido en la Unión que sea responsable de las tareas establecidas en el artículo 4, apartado 3, del Reglamento (UE) 2019/1020 respecto de dicho producto.

 

 

  • La Comisión podrá introducir requisitos de trazabilidad para determinados productos o categorías o grupos de productos que pueden presentar un riesgo grave para la salud y la seguridad de los consumidores, habida cuenta de los accidentes registrados en el portal Safety Business Gateway, las estadísticas de Safety Gate, los resultados de las actividades conjuntas en materia de seguridad de los productos y otros indicadores o pruebas pertinentes, y después de consultar a la Red de Seguridad de los Consumidores y a los grupos de expertos y partes interesadas pertinentes (Art 18.1)
  • Si la Comisión tuviera conocimiento de un producto o de una categoría o grupo específico de productos que presente un riesgo grave para la salud y la seguridad de los consumidores, podrá adoptar, por iniciativa propia o a petición de los Estados miembros y mediante actos de ejecución, medidas adecuadas adaptadas a la gravedad y a la urgencia de la situación en los términos del art 28.
RECUPERACIÓN DESPUÉS DE UN SINIESTRO

El Reglamento crea la categoría del operador de recuperación o  «responsable» de la recuperación. Este responsable es quien elabora y comunica a los consumidores el restablecimiento o  aviso de recuperación. En el aviso de recuperación se ofrecen soluciones entre las que el consumidor puede elegir (art 37 ). El operador de recuperación puede ser distinto del que haya emitido una «advertencia de seguridad».

    • Opciones para el consumidor:
      • El operador económico debe ofrecer al consumidor la elección entre al menos dos de estas soluciones: a) la reparación del producto sujeto a recuperación; b) la sustitución del producto sujeto a recuperación por un producto seguro del mismo tipo y de, al menos, igual valor y calidad, o c) el reembolso adecuado del valor del producto sujeto a recuperación, siempre que el importe del reembolso sea al menos igual al precio abonado por el consumidor. Sólo excepcionalmente, el operador económico podrá ofrecer al consumidor una única solución cuando otras soluciones no sean posibles o cuando acarreen costes desproporcionados para el operador responsable, en comparación con la solución ofrecida,  y considerando todas las circunstancias concurrentes
    • Las opciones que se deben ofrecer no obstan para la aplicación de la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales; y de la Directiva ; y de la Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) n.° 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE
    • Alertas y web con incidentes. Conforme a los arts 25 y ss la Comisión mantendrá en funcionamiento un sistema de alertas rápidas con la denominación de Safety Gate.
      • También, y conforme al art 34, un Portal Safety Gate que permitirá al público en general consultar, gratuitamente y sin restricciones, la información esencial sobre productos inseguros (información seleccionada y notificada de conformidad con el artículo 26).
      • Adicionalmente, la Comisión mantendrá un Portal Safety Business Gateway en el que los operadores económicos y los prestadores de mercados en línea puedan proporcionar de manera sencilla a las autoridades de vigilancia del mercado y a los consumidores determinada información (art 27)
MERCADOS EN LÍNEA

Los prestadores de mercados en línea también deben cooperar en las recuperaciones de productos y la notificación de accidentes. El artículo 22 del Reglamento impone obligaciones específicas a los operadores de mercados en línea:  una obligación amplia de notificar «accidentes causados por un producto… que provoquen un riesgo grave o un daño real para la salud o la seguridad de un consumidor». Por otro lado: los prestadores de mercados en línea designarán un punto único de contacto que permita la comunicación directa, por medios electrónicos, con las autoridades de vigilancia del mercado de los Estados miembros en relación con cuestiones de seguridad de los productos

COMUNICACIONES RELATIVAS A PRODUCTOS DEFECTUOSOS EN SUPUESTOS ESPECIALES

los operadores económicos y los prestadores de mercados en línea deben garantizar que incluyen la posibilidad de ponerse directamente en contacto con los consumidores en caso de recuperación o advertencia de seguridad que les afecte, en los programas de fidelización y los sistemas de registro de productos existentes, a través de los cuales se pide a los clientes que, tras haber adquirido un producto, comuniquen voluntariamente al fabricante determinada información, como su nombre, información de contacto, el modelo del producto o el número de serie.

SOBRE LA APLICACIÓN DE ESTE REGLAMENTO
  • Pese a la aplicación general de éste Reglamento, ésta se entenderá sin perjuicio de las disposiciones establecidas por el Derecho de la UE en materia de protección de los consumidores, y del principio de cautela.
  • Se aplica a los productos (nuevos, usados, reparados, reacondicionados)  que se introduzcan en el mercado o que se comercialicen en la UE, en la medida en que no existan disposiciones específicas con la misma finalidad en el Derecho de la UE. Es decir, es derecho general subsidiario que se aplica en toda la UE cuando no existan disposiciones específicas que regulen la seguridad de los productos. En el caso de que determinados productos estén sujetos a requisitos específicos de seguridad impuestos por el Derecho de la UE, el reglamento se aplicará únicamente a los aspectos, riesgos o categorías de riesgo que no estén cubiertos por esos requisitos. Pero, por lo que respecta a los productos que ya estén sujetos a requisitos específicos impuestos por otra legislación de armonización de la UE:
      • no se les aplica el capítulo II (Requisitos de seguridad) en cuanto a los riesgos o categorías de riesgo cubiertos por legislación de armonización de la UE;
      • no se les aplican el capítulo III (Obligaciones de los operadores económicos), sección 1 (Obligaciones de los fabricantes), los capítulos (Vigilancia del mercado y ejecución) y VII (Función de la Comisión y coordinación de la garantía del cumplimiento), ni los capítulos IX a XI (Cooperación internacional, Disposiciones financieras y Disposiciones finales).

     Tampoco se aplica a:

Hugo’s pool
      • medicamentos de uso humano o veterinario;
      • alimentos;
      • piensos;
      • plantas y animales vivos, organismos modificados genéticamente y microorganismos modificados genéticamente en utilización confinada, así como productos procedentes de vegetales y animales directamente relacionados con su futura reproducción;
      • subproductos animales y productos derivados;
      • productos fitosanitarios;
      • equipos en los que los consumidores montan o en los que viajan, cuando dichos equipos sean manejados directamente por un prestador de servicios en el contexto de un servicio de transporte prestado a los consumidores, y no por los propios consumidores;
      • aeronaves;
      • antigüedades.

 

 

 

VER un comentario inicial (y parcial) del Profesor Ángel Carrasco Perera

Propuesta EU de Reglamento de Resiliencia Digital (productos con elementos digitales)

Los productos de hardware y software son a menudo objeto de ciberataques que causan daños. Si el coste anual directo a nivel mundial es muy elevado,  hay que unirle además los costes para los usuarios y la sociedad. Un bajo nivel de ciberseguridad implica que las vulnerabilidades estén generalizadas, que las actualizaciones de seguridad sean dispuestas en modo incoherente e insuficiente, que los usuarios tengan dificultades graves para comprender y para diferenciar los productos con propiedades de ciberseguridad adecuadas, así como para utilizarlos de forma segura.

Sobre este trasfondo, la propuesta de la Comisión Europea de un Reglamento sobre Ciberresiliencia (CRA) tiene por objeto proteger a los consumidores y las empresas que compran o utilizan productos o programas informáticos con un componente digital. El Reglamento de Resiliencia de Productos con elementos digitales (CRA) o Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 propuesto en septiembre de 2022 había sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 . Se aplicará a todos los productos conectados directa o indirectamente a otro dispositivo o red, salvo exclusiones específicas como el software de código abierto o los servicios que ya están cubiertos por normas existentes, como es el caso de los dispositivos médicos, la aviación, los automóviles y servicios SaaS (en la nube), a menos que estos sirvan para la elaboración de productos con elementos digitales.

Primaveras en primavera

 

ANTECEDENTES 

Los  abundantes ciberataques y ciber-incidentes que se van conociendo ponen en evidencia el inadecuado nivel de ciberseguridad inherente a muchos productos, o las insuficientes actualizaciones de seguridad de tales productos y programas informáticos. También denotan la dificultad de los consumidores y las empresas para determinar qué productos son ciberseguros, o para configurarlos de forma que se garantice su ciberseguridad.

Aunque el ordenamiento de la UE ya se aplica a determinados productos con elementos digitales, la mayoría del hardware y software no están cubiertos actualmente por legislación de la UE que aborde su ciberseguridad. En particular, el actual marco jurídico de la UE no aborda la ciberseguridad de los programas informáticos no integrados, aun cuando muchos ataques se dirigen cada a sus vulnerabilidades y dan lugar a importantes costes sociales y económicos.El Reglamento de Resiliencia de Productos con elementos digitales (CRA) propuesto en septiembre de 2022 había sido anunciado en la Estrategia de Ciberseguridad de la UE 2020, y es un complemento de NIS2 .

PROPUESTA DE REGLAMENTO DE RESILIENCIA (DE PRODUCTOS)

La propuesta introduce un marcado CE sobre ciberseguridad que ha de colocarse en todos los productos cubiertos y establece requisitos obligatorios de ciberseguridad para los fabricantes de productos:  Amplía la protección a lo largo de todo el ciclo de vida del producto. Incorpora normas armonizadas para comercializar productos o programas informáticos con un componente digital con requisitos de ciberseguridad para la planificación, el diseño, el desarrollo y el mantenimiento de tales productos. Impone obligaciones que deberán cumplirse en cada etapa de la cadena de valor y una obligación de diligencia durante todo el ciclo de vida de tales productos. La CRA persigue cuatro objetivos:

  1. garantizar que los fabricantes mejoren la seguridad de los productos que tienen elementos digitales en la fase de diseño y desarrollo y a lo largo de todo su ciclo de vida. Así, el fabricante es apto para comercializar sus productos si pone a disposición la lista de los diversos componentes de software de sus productos, emite rápidamente soluciones gratuitas en caso de nuevas vulnerabilidades, publica y detalla las vulnerabilidades que detecta y resuelve y verifica periódicamente la «solidez» de los productos que comercializa. Estas y otras actividades  deben llevarse a cabo durante toda la vida de un producto, o al menos durante cinco años a partir de su introducción en el mercado.;
  2. garantizar un marco coherente de normas de ciberseguridad, facilitando su cumplimiento por parte de los fabricantes de hardware y software;
  3. mejorar la transparencia de las características de seguridad de los productos con elementos digitales;
  4. permitir que las empresa y los consumidores utilicen estos productos de manera segura.

Se destacan aquí algunas definiciones extraídas de la Propuesta (artículo 3), y otros conceptos importantes:

  • Producto con elementos digitales. «cualquier producto consistente en programas informáticos o equipos informáticos y sus soluciones de tratamiento de datos a distancia, incluidos los componentes de programas informáticos o equipos informáticos que se introduzcan en el mercado por separado». Nótese la que definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto pero introducido en el mercado por separado.
  • Operador económico: el fabricante, el representante autorizado, el importador, el distribuidor o cualquier otra persona física o jurídica sujeta a las obligaciones establecidas en el presente Reglamento»
  • Marcado CE. Un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I (del Reglamento) y otras normas de la Unión aplicables que armonicen las condiciones para la comercialización de productos y prevean su colocación
  • Norma armonizada, conforme a la definición del artículo 2, punto 1, letra c), del Reglamento (UE) n.º 1025/2012;
  • Organismo de evaluación de la conformidad, según se define en el artículo 2, punto 13, del Reglamento (UE) n.º 765/2008;

  • La definición de «productos con elementos digitales» es muy amplia e incluye cualquier producto de software o hardware, así como cualquier software o hardware no incorporado al producto pero introducido en el mercado por separado.
  • Se considera que un producto es «seguro» si está diseñado y fabricado de manera que tenga un nivel de seguridad adecuado a los riesgos cibernéticos que conlleva su uso, no presenta vulnerabilidades conocidas en el momento de su venta, tiene una configuración segura por defecto, está protegido de conexiones ilícitas, protege los datos que recopila y si esta recopilación se limita a aquellos datos que sean necesarios para su funcionamiento

Conforme al CRA, la seguridad de los productos y software «normales» – sobre el 90% de los que circulan en el mercado- se puede confiar en una autoevaluación del fabricante, como ya ocurre con otros tipos de certificación del marcado CE. En relación con éstos productos, el fabricante podrá comercializarlos si realiza una autoevaluación, que también será preceptiva cuando se modifica el producto.  El 10 % restante de los productos  se divide los de la clase I, menos peligrosos; y los de la clase II, más peligrosos («productos críticos con elementos digitales»). Para los productos de la clase 1 las autocertificaciones básicas solo son admisibles si el fabricante ha seguido normas específicas de mercado y especificaciones de seguridad o certificaciones de ciberseguridad ya previstas por la UE. En caso contrario, necesita obtener la certificación del producto por parte de un organismo de certificación acreditado. La certificación externa es obligatoria para los productos de la clase II

Algunos productos afectados por el CRA están también sometidos al futuro Reglamento IA, que también clasifica a los productos conforme a su riesgo. Para evitar solapamientos y dudas, la CRA establece que -por regla general- los productos con elementos digitales clasificados también como «sistemas de IA de alto riesgo» con arreglo al Reglamento IA lo serán también para CRA, tendrán que cumplir el procedimiento de evaluación de conformidad establecido en el Reglamento IA,  y en el caso de los «productos digitales críticos» se les aplicarán también las normas de evaluación de la conformidad de CRA.Las sanciones por incumplimiento de CRA —en función de la gravedad de la infracción— pueden llegar a ascender a 15 millones EUR o al 2,5 % del volumen de negocios del ejercicio fiscal anterior.

Miño- Perbes. A Coruña

Más:

 

 

 

Aproximación a la responsabilidad civil (objetiva y subjetiva) y a la seguridad de la Inteligencia Artificial en la UE

Para adaptar el ordenamiento de la UE a los retos de la Inteligencia Artificial, IA, se han propuesto , por un lado, modificaciones o adaptaciones en el régimen  de la responsabilidad del productor por productos defectuosos (Propuesta de revisión de la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los daños causados por productos defectuosos (“Propuesta RRPD”) . Por otro, la armonización específica con una Propuesta de Directiva del Parlamento y del Consejo relativa a la adaptación de las normas sobre responsabilidad civil extracontractual a las normas sobre inteligencia artificial ( «Propuesta DIA») . Ambas iniciativas forman un paquete, y pese a que están relacionadas, regulan diferentes tipos de responsabilidad.

  • La Propuesta RRPD cubre la responsabilidad objetiva del productor por productos defectuosos, lo que da lugar a una indemnización por determinados tipos de daños.
  • La Propuesta DIA se ocupa de responsabilidad por culpa y su indemnización.
  • Adicionalmente, la Propuesta de Reglamento sobre IA incorpora exigencias de calidad y seguridad en los sistemas

A continuación se ofrece una  primera aproximación introductoria a las normas que se están gestando

ACTUALIZACIÓN DE LA DIRECTIVA DE RESPONSABILIDAD POR PRODUCTOS DEFECTUOSOS

 

Parterre

En la Propuesta RRDP se adaptan las normas de responsabilidad a los productos en la era digital. Se establece que toda la gama de productos defectuosos está cubierta por las normas revisadas, incluyendo el software, sistemas de IA o servicios digitales. Es decir, en caso de que un sistema de IA integrado en un producto (por ejemplo, robots, drones, o sistemas domésticos inteligentes) presente algún defecto, los perjudicados también podrán presentar una reclamación. Las nuevas normas permiten a los particulares reclamar una indemnización por los daños causados por un producto defectuoso, incluidas las lesiones corporales, los daños materiales o la pérdida de datos.

  • Se aplicará a la economía circular, a las empresas que modifiquen sustancialmente los productos, cuando estos causen daños a una persona, a menos que demuestren que el defecto se refiere a una parte no modificada del producto.
  • Exige a los fabricantes comunicar las pruebas que pueda necesitar el demandante para llevar a cabo a los tribunales y reduce la carga de prueba en casos complejos (i.e. casos relacionados con productos farmacéuticos o de IA). También suprime el umbral inferior y el límite máximo, de forma que el perjudicado pueda quedar totalmente indemnizado por los daños sufridos.
  • Los perjudicados podrán pedir la indemnización al representante del fabricante de un tercer país.  Concretamente, y en virtud del Reglamento sobre vigilancia del mercado y de la próxima revisión del Reglamento relativo a la seguridad general de los productos, los fabricantes no europeos designarán un responsable en la UE,  al que se podrá exigir la indemnización. (La Propuesta se comenta aquí)
RESPONSABILIDAD POR CULPA EN LAS OPERACIONES CON IA

 

Sanabria

La Propuesta DIA establece normas que deben incorporarse a los sistemas nacionales de responsabilidad por culpa de los Estados miembros con el fin de distribuir la carga de la prueba entre la persona potencialmente perjudicada que reclama cualquier tipo de daño cubierto por la legislación nacional ( por ejemplo, la vida, la salud, la propiedad y la intimidad) y los fabricantes de IA:

  • La Comisión Europea obliga a los demandados a revelar los elementos de prueba en determinadas circunstancias. En particular, la Comisión reconoce a los demandantes el derecho a solicitar la divulgación de pruebas tanto antes de los litigios como en el curso de los mismos. Y establece que el incumplimiento de una orden de aportar información permitirá, en los términos de la Propuesta DIA, presumir que no se actuó con suficiente diligencia, y da lugar a una inversión de la carga de la prueba. 
  • Se introduce una presunción iuris tantum de causalidad para los supuestos en los que el perjudicado demuestre el incumplimiento de una obligación, cuando sea razonablemente probable que exista un nexo causal con el rendimiento de la IA
  • La Propuesta DIA también prevé normas aplicables a la conservación y divulgación de pruebas en casos relacionados con sistemas de IA de alto riesgo (según se definen en la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial, Propuesta de Reglamento IA -RIA_).

 

FUTURO REGLAMENTO DE SEGURIDAD EN LA IA

 

London’s Eye

En cuanto al  RIA , que no se centra en  RC, tiene  por objeto prevenir daños y perjuicios en el sentido de que establece requisitos de seguridad de los sistemas de IA .

  • En el capítulo 1 del título III  RIA se establecen las normas de clasificación y se definen las dos categorías principales de sistemas de IA de alto riesgo: Por un lado los sistemas de IA diseñados para utilizarse como componentes de seguridad de productos sujetos a una evaluación de la conformidad ex ante realizada por terceros; y por otro, los otros sistemas de IA independientes con implicaciones relacionadas principalmente con los derechos fundamentales (relacionados en el anexo III, a modo de lista abierta de ciertos sistemas de IA cuyos riesgos ya se han materializado o es probable que lo hagan próximamente. Este listado podrá ser ampliado y adaptado en los términos que establece el RIA.
  • En el título II se establecen IA prohibidas. Se  distingue entre los usos de la IA que generan  riesgos inaceptables;  riesgos altos, y riesgos bajos o mínimos. La lista de prácticas prohibidas  abarca todos los sistemas de IA cuyo uso se considera inaceptable por ser contrario a los valores de la Unión. Engloban aquellas prácticas que tienen un gran potencial para manipular a las personas mediante técnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos vulnerables concretos para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios físicos o psicológicos a ellos o a otras personas.  La propuesta prohíbe también que las autoridades públicas realicen calificaciones sociales basadas en IA con fines generales. Y se prohíbe -con alguna excepción- el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público .
  • El título III contiene normas específicas para aquellos sistemas de IA que acarrean un alto riesgo para la salud y la seguridad o los derechos fundamentales de las personas físicas.
  • El título IV se centra en determinados sistemas de IA para tener en cuenta los riesgos específicos de manipulación que conllevan.
  • En el título VIII se definen las obligaciones de seguimiento y presentación de información de los proveedores de sistemas de IA en su seguimiento posterior a la comercialización y en la comunicación e investigación de incidentes y defectos de funcionamiento relacionados con la IA.
  • El título IX crea un marco para la elaboración de códigos de conducta, cuyo objetivo es fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan de manera voluntaria los requisitos que son obligatorios para los sistemas de IA de alto riesgo

 

Más. Blog Prof Alberto Tapia. 11.05. 2023

Datos personales y geolocalización. Acuerdos (judicializados) alcanzados por varios Estados de EEUU con Google

La transparencia sobre la forma en que las grandes sociedades tecnológicas como Google rastrean, comparten y utilizan los datos personales de sus usuarios es de vital importancia y no sólo en la Unión Europea. Cada vez es más evidente que en jurisdicciones como Estados Unidos se le confiere también relevancia singular, que se plantean acciones desde el propio sector público estatal. Aquí se da noticia de unos acuerdos que se han alcanzado con la tecnológica en relación con los datos personales relativos a la localización de los ciudadanos y empresas.

Los consumidores deben poder comprender cómo se utilizarán sus datos de localización antes de tomar la decisión consciente de utilizar servicios y productos. Sobre este sucinto razonamiento se presentaron demandas por parte de los fiscales contra Google. Algunas de las reclamaciones están concluyendo mediante acuerdos.

No Eume- Ponte do Eume
  • Así, un grupo de 5 fiscales generales de otros tantos Estados de EEUU alcanzaron acuerdo con Google el 30 marzo 2023. La noticia puede ampliarse aquí. En virtud de estos acuerdos, la tecnológica se comprometía a pagar 9 millones de dólares por engañar a los consumidores sobre sus prácticas de seguimiento de localización. De este modo se resolvieron las acusaciones contra Google por violar las leyes estatales de protección al consumidor al engañar a los consumidores sobre sus prácticas de seguimiento de ubicación desde al menos 2014. En concreto, Google causó confusión a los usuarios sobre dos configuraciones que controlan la recopilación de datos de la ubicación de los usuarios – «Historial de ubicaciones» y «Actividad web y de aplicaciones». También resultaba engañosa la medida en que los consumidores que utilizan productos y servicios de Google podían limitar el seguimiento de localización ajustando la configuración de su cuenta y dispositivo.
  • El acuerdo alcanzado obliga a Google a ser más transparente con los consumidores acerca de sus prácticas, lo que incluye mostrar información adicional a los usuarios cada vez que activen o desactiven un ajuste de la cuenta relacionado con la localización; garantizar que la información sobre el seguimiento de la ubicación esté visible (es decir, que no esté oculta); proporcionar a los usuarios información detallada sobre los tipos de datos de localización que Google recopila y cómo se utilizan. A tales efectos la tecnológica deberá habilitar una página web mejorada de «Tecnologías de localización». También tendrá que ofrecer a los usuarios la posibilidad de inhabilitar una configuración de cuenta relacionada con la ubicación y eliminar la información de ubicación almacenada por dicha configuración sin necesidad de navegar por páginas web independientes. Además, deberá eliminar automáticamente la información de localización recopilada una vez transcurridos 30 días. El acuerdo también limita el uso y la conservación por parte de Google de determinados tipos de información de localización y exige que los controles de las cuentas de Google sean más fáciles de usar.

Otros acuerdos anteriores y similares

 

Geolocalización y protección de datos

Como es sabido, los datos de ubicación, pueden servir para inferir y conocer diversa información personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compañías de servicios digitales, con base en prácticas de geolocalización irrespetuosas con el ordenamiento.

Invierno. By M.A. Díaz
  • En noviembre 2022, un grupo de 40 Attorney General  (fiscales generales) de Minesota en EEUU  llegó a un acuerdo con Google LLC, a raíz de una sobre la presunta violación por parte de la compañía de las correspondientes normativas estatales de protección del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalización. Poco antes, se había alcanzado un acuerdo similar en Arizona. Según ha trascendido, Google habría trasmitido  la errónea impresión de que cuando los usuarios desactivaban los servicios de seguimiento de localización la compañía dejaría de recopilar datos de geolocalización sobre ellos. En realidad, Google seguía acumulando estos datos y luego los ofrecía a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de dólares, así como facilitar a los usuarios información adicional al activar o desactivar un determinado ajuste relacionado con la localización; y tiene que asegurar que la obtención de información clave sobre el seguimiento de la localización sea «insoslayable» para los usuarios , así como proporcionar información detallada sobre los tipos de datos de localización que recopila y utiliza. Más aquí
  • En la UE, dado que los sistemas de geolocalización capturan, almacenan y analizan la información geográfica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicación el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimación. Cuando el dispositivo sea propiedad de una persona física será necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalización se instale en un dispositivo responsabilidad de una empresa, se podrá legitimar por interés legítimo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recuérdese que el art. 20.3 del Estatuto de los Trabajadores permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constitución Española, en coherencia además con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibición del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopción de la medida. La noción de “fines” del art. 5.1.c RGPD, relativo al principio de minimización, excluye todo intento de aprovecharse de los datos de carácter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Además, los datos de localización se deben conservar exclusivamente durante el tiempo oportuno en función de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localización deberá restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma legítima en función de sus finalidades. Por consiguiente, los empresarios deberán adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducción de medidas de verificación e identificación.

 

Además de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalización estarán sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habrán de llevar un registro de las actividades de tratamiento que efectúen bajo su responsabilidad (art. 30 RGPD).
  2. El análisis de riesgos con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad. En este documento se van a recoger las medidas técnicas y organizativas de seguridad que garanticen la protección de los datos personales, y que demuestren la adecuación con el GDPR, teniendo en consideración los derechos e intereses legítimos de las personas físicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluación de impacto (DPIA) en el caso el tratamiento se realice a gran escala e implique la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público (art. 35.4 RGPD).

 Ver también 

En España, en enero de 2023, Audiencia Nacional anuló una decisión de la AEPD en la que sostuvo que la empresa Virgin telco había actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalización. El asunto había sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresión inglesa None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relación con los acuerdos de trasmisión de datos a EEUU). La ONG especializada en protección de datos recurrió una decisión de la AEPD. NOYB sostenía que la información sobre geolocalización es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en España solicitó acceder a sus datos de geolocalización. Le fueron denegados por lo que reclamó ante la AEPD. La agencia dio la razón a la empresa por lo que Noyb recurrió esa decisión en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en España están obligados a almacenar datos de geolocalización de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa información a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado sólo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anuló la decisión inicial de la AEPD. Ver aquí  la web de esta ONG

TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo

Springtime

El 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea («TJUE») dictó sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisión, el TJUE aclaró los criterios para evaluar si existe un conflicto de intereses entre la función de Delegado de Protección de Datos («DPD/DPO») y otras tareas o funciones asignadas al mismo DPD/DPO.

  • Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislación sobre protección de datos y las políticas adoptadas en cada organización, y actuar como punto de contacto con las autoridades de control.
  • Para desempeñar eficazmente estas tareas debe operar con independencia. A tales efectos, el artículo 38, apartado 3, del RGPD establece específicamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al más alto nivel directivo (recuérdese que el mismo artículo prohíbe despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).

En esta sentencia, el TJUE hizo hincapié en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecución de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en función de otro cargo que compatibilice) determinar los objetivos y métodos del tratamiento de datos personales.

Ahora bien, a  efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluación casuística, para determinar si existe un conflicto de intereses. En esta evaluación se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, así como las políticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este último aspecto, se planteó la cuestión de si esta prohibición se opone a una legislación nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal únicamente cuando exista una causa justificada, aunque el despido no esté relacionado con el ejercicio de las tareas del DPD/DPO.  Para llegar a esta conclusión, el Tribunal reiteró que los conceptos de «destituir» y «sancionar» deben interpretarse con arreglo al lenguaje corriente (véase también la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra «cualquier decisión que ponga fin a sus funciones, por la que se le coloque en una situación de desventaja o que constituya una sanción». El Tribunal confirmó que una medida de despido por parte de un empleador puede constituir una decisión de este tipo.

El Tribunal también reiteró que la prohibición de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relación con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo sólo cuando los motivos subyacentes a la decisión se refieren al desempeño de sus funciones. El Tribunal consideró que cada Estado miembro es libre de establecer disposiciones específicas más protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protección no menoscabe la consecución de los objetivos del RGPD. Tal menoscabo podría producirse, por ejemplo, cuando la legislación nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.

  • En cuanto al conflicto de intereses, el TJUE señala que el artículo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el artículo 39 del RGPD), pero impone la obligación de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
  • Sobre las circunstancias podrían suponer tal conflicto de intereses, el Tribunal respondió de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan «menoscabar la ejecución de las funciones desempeñadas por el DPD/DPO». Más concretamente, el Tribunal confirmó que se produciría un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinación de los objetivos y métodos de tratamiento de datos personales por su parte. Evidentemente, la determinación de objetivos o métodos de tratamiento de datos chocaría con el requisito de poder revisar de forma independiente dichos objetivos y métodos. La evaluación de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y políticas aplicables).

Fallo:

1)      El artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.

2)      El artículo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.

Más:

 

Sanción belga por conflicto entre DPD y compliance Officer

El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protección de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protección de datos («RGPD») relativos al nombramiento de un responsable de la protección de datos («DPD»).

Tras la notificación de una violación de datos, la APD belga inició una investigación sobre las prácticas de protección de datos y el programa de privacidad de la empresa y su investigación se centró en tres supuestas infracciones del RGPD,

Canaval_Omaña (León)
  1. el deber de cooperar con la APD;
  2. las obligaciones de rendición de cuentas (evaluaciones de riesgo y violación de datos); y
  3. los requisitos relacionados con el cargo de DPD de la sociedad.

En su decisión, la Sala de lo Contencioso de la APD belga solo confirmó la  infracción de los requisitos del DPD del RGPD (artículo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gestión de Riesgos y Auditoría a ese DPD, la sociedad había incumplido su obligación de garantizar que su DPD esté libre de cualquier conflicto de intereses.

En particular, la Sala de lo Contencioso de la APD belga indicó en su decisión que:

  • Si el DPO, como Jefe del departamento de Auditoría Interna, tiene poder de decisión con respecto al despido de empleados, no es compatible con la función del DPO.
  • El que los departamentos que dirige la persona que actúa como DPO de la sociedad cumplan una función independiente y consultiva en relación con los demás departamentos de la empresa y, como tales, no tengan poder de decisión con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
  • Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gestión de Riesgos y Auditoría, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.

En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la función de jefe de departamento de Cumplimiento Normativo, Gestión de Riesgos y Auditoría la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinación de funciones, existe una falta total de supervisión independiente del DPO en relación con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gestión de Riesgos y Auditoría. Además, la APD belga indica que, debido a su doble función, el DPO puede no ser capaz de ofrecer suficientes garantías a los empleados afectados en términos de confidencialidad y secreto.

En vista de lo anterior, la Sala de lo Contencioso ordenó modificar la situación e impuso una multa administrativa de 50.000 euros. (recurrible)

Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha