Estás navegando por el archivo de Ciberseguridad en la empresa. Master U en Ciberseguridad.

Comentarios desde el GID Noviembre 2018: RESPONSABILIDAD POR INFRACCIÓN DE DERECHOS DE AUTOR DEL TITULAR DE UNA CONEXIÓN A INTERNET Y POSIBILIDAD DE ACCESO A LA CONEXIÓN DE OTROS FAMILIARES

el 8 noviembre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho

 

NO QUEDA EXIMIDO DE RESPONSABILIDAD EL TITULAR DE UNA CONEXIÓN A INTERNET, DESDE LA QUE SE INFRINGIERON DERECHOS DE AUTOR, SIMPLEMENTE POR ALEGAR QUE SUS PADRES TAMBIÉN TUVIERON LA POSIBILIDAD DE ACCEDER A DICHA CONEXIÓN

 

Foto: M.A. Díaz

María Angustias Díaz Gómez

Catedrática de Derecho Mercantil. Coordinadora del Grupo de Innovación Docente de Derecho Mercantil de la Universidad de León (GID-DerMerUle)

 

Así se pronuncia el Tribunal de Justicia de la Unión Europea, para quien el titular de una conexión a Internet, desde la que se cometieron infracciones de derechos de autor mediante un intercambio de archivos, no puede quedar libre de responsabilidad por el sólo hecho de designar a un miembro de la familia que tenía la posibilidad de acceder a dicha conexión.
Además, señala el Tribunal  que los titulares de los derechos deben disponer de un recurso eficaz o de medios que permitan a las autoridades judiciales competentes ordenar la comunicación de la información necesaria para desvelar las circunstancias y autoría de dichas infracciones.

Lee el resto de la entrada →

Ciber contaminación. Centros de datos para servidores de Internet y su huella sobre el medioambiente y la energía

el 29 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

La huella de carbono e impacto de las actividades de Internet  sobre la generación de C02 y gases de efecto invernadero  están alcanzando el debate público, toda vez que algunas publicaciones grand public  van dando espacio a esta problemática entre sus páginas y webs, reflejando los análisis científicos  previos y las mediciones de la industria que configuran un panorama en el que, en efecto, Internet si contamina.

 

NYC_by Jara IPM. One Trade Center Tower

En mi caso quiero reconocer que tal idea no me cruzó la mente hasta ya hace algunos años,  cuando en el último Xacobeo (el 31 de julio de 2010, cerrando as Festas do Apostolo), el gran Michael Jarre interpretó un especialísimo concierto en la Praza do Obradoiro de Santiago de Compostela, con un espectáculo de imagen, sonido y tecnología eléctrico-acústica que invadió la fachada principal de la catedral compostelana.  Los sonidos y los láser acústicos iban acompañados de imágenes proyectadas en la piedra milenaria de la catedralicia fachada barroca y -con tintes reivindicativos- calculaban el número de correos electrónicos que se estarían enviando en todo el globo en aquel  instante del verano de 2010,  ofreciendo además el cálculo de contaminación, en volúmenes delirantes de generación de C02, para sorpresa de quienes –al menos en mi caso- simplemente pretendíamos disfrutar de las creaciones siempre innovadoras de Jarre. Me impactó.

No sin ahínco en la búsqueda, ya años después he localizado datos, informaciones, conocimientos, sobre la huella de Internet  y de las TIC. Especialmente relevantes son  estudios como  clicking clean de Greenpeace que se pueden ver aquí en su versión de 2015 y también en la de de 2017.  Se unen a  otros informes previos sobre la contaminación producida por los residuos de hardware, los conocidos como basureros tecnológicos), o  a datos sobre la “cableización” de los océanos a medida que las infraestructuras (también) de Internet se sofistican y extienden,  o incluso sobre las consecuencias de los campos electromagnéticos , todos ellos aspectos sobre cuyas consecuencias contaminantes somos, quizás, más conscientes.

En esta entrada repasamos y enlazamos documentos relativos a la contaminación derivada directamente de los centros de datos y de la navegación por Internet, en cuanto a su impacto como contaminantes que están propiciando el activismo de ambientalistas y de la propia industria para acelerar la transición energética en este sector.

Centros de Datos
    • Los centros de datos almacenan servidores de Internet. Varían desde enclaves del tamaño de una habitación hasta vastas granjas con superficies  de  más de 150,000 metros cuadrados . Son grandes usuarios de energía. La necesitan para mantener los servidores que albergan, ejecutar los equipos que almacenan y para prestar servicios de computación en la nube,  música, películas y entretenimiento a demanda, entre otros. Además, generan mucho calor que también exige de una gran cantidad de energía para mantenerlos frescos.
    • Los grandes centros de datos son responsables de aproximadamente el 2% de las emisiones globales de gases de efecto invernadero, una proporción anual similar a la de la industria de la aviación. Estos centros se encuentran en todo el mundo, si bien existen áreas con una particular concentración, como la ciudad de Londres o el Estado de Virginia del Norte en EEUU. Su consumo energético es creciente, y, por dar una idea  de su volumen, se ha calculado que en Francia (territorio con concentración de este tipo de centros) consumen en torno a un 10% de la energía total del país
    • El calor que generan provoca dificultades para su enfriamiento, lo cual motiva que grandes operadores de big data como Google o Facebook estén ubicando sus centros en desiertos como el de Arizona,  o bajo el mar, o en zonas frías y cercanas al polo como las áreas nórdicas de Suecia y Finlandia.
Navegación individual
    • Individualmente, nuestra navegación tendría un impacto relativamente minúsculo, aunque en los documentos anteriormente aludidos ya se dan cifras preocupantes, por ejemplo en relación con el coste ambiental de la acumulación de correos electrónicos en nuestros buzones,  el reenvío de copias de mensaje de correo, o la utilización de buscadores.
    • Una de las principales formas de contaminación digital se llama “contaminación latente”. Es debido al almacenamiento de correos electrónicos. Todos los correos electrónicos almacenados en un buzón hacen que muchos servidores se ejecuten ininterrumpidamente en los centros de datos de modo que su impacto ecológico es elevado.
    • Los mediambientalistas apuntan a que cada búsqueda en Google genera  tanto CO 2 como hervir la mitad del agua para una taza de café (7 g). Aunque el propio buscador  ofreció una cifra mucho menor  ( de 0,2 gr por búsqueda), de forma que  el uso de  Gmail durante un año daría lugar  aproximadamente a 1,2 kg de C02  por usuario.  Con todo,  en su conjunto, la huella de carbono de Google habría sido en 2013 de 1,766,014 toneladas de CO 2 ,  debido en su mayor parte a los centros de datos .
    • En cuanto al consumo de audiovisuales, el periódico The Guardian  titulaba un interesante reportaje con la idea de que los videos de gatitos que disfrutamos  en YouTube “están matando el planeta”, y  ofrecía datos como que  el consumo sería de 1 gr de C02 por cada 10 minutos de visualización de los videos en la plataforma YouTube.

      NYSE_by Jara IPM

Greenpeace , que cuenta con series de datos (buena parte de ellos recogidos en sus informes “Clicking Green” ,  está alertando sobre el impacto de Internet sobre el cambio climático, al menos si estos centros siguen operando como hasta ahora. Por ello aboga por la rápida transición a las energías renovables de estos data centers. Otras organizaciones  como Global e-sustainability Initiative difunden  informaciones  (ver ) y tratan de configurar un Internet “verde” (ver vídeo  )  a base de disociar las emisiones del crecimiento del sector TIC, principalmente fomentando la transición energética a renovables de los grandes motores de búsqueda y almacenamiento.

Véase también -fuentes y más detalles-:

 

ESMA retira sus Directrices sobre negociación automatizada por estar la incluidas en el desarrollo reglamentario de MIFID 2

el 28 octubre, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Mucaf

La Autoridad Europea de Valores y Mercados (AEVM) anunció el 3 de octubre de 2018 que retiraba sus Directrices de MiFID sobre sistemas y controles en un entorno comercial automatizado para plataformas de negociación, empresas de inversión y autoridades competentes.

 

Estas Directrices habían sido adoptadas por el Consejo de Supervisores, por iniciativa propia, para garantizar la aplicación común, uniforme y coherente de MiFID I y de la Directiva de Abuso de Mercado (MAD) en 2011.  Con  la entrada en vigor de la MiFID II el 3 de enero de 2018, revisó estas Directrices para establecer si  debía modificarlas o derogarlas, basándose en que su contenido  está incorporando con éxito  en MiFID 2 y sus medidas reglamentarias de ejecución en relación con  el ámbito de las Directrices (requisitos de las plataformas que acogen HST, requisitos de personal, control para suspender negociación, volúmenes mínimos de las ordenes, sincronización, registros de operaciones, supervisión y mecanismos para identificar órdenes sospechosas, entre otros .

Ver noticia aquí

IV Jornadas Nacionales de Derecho y Ciberseguridad en la Facultad de Derecho de León.

el 17 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

IV JORNADAS NACIONALES DE DERECHO Y CIBERSEGURIDAD

 

Organizadas por la Universidad de León y el Instituto Nacional de Ciberseguridad, INCIBE, la Facultad de Derecho de León acoge los días 24 y 25 de octubre las IV Jornadas de Derecho y Ciberseguridad, coordinadas por el Secretario General de INCIBE Don Francisco Pérez Bes, y por la Profesora  Dra. Dña Isabel Durán Seco.

(más información en idurs@unileon.es)

La calidad de los ponentes, la experiencia en materia de Ciberseguridad y Derecho de la Universidad de acogida y del INICIBE, y destacadamente, la labor constante, focalizada, intensa de los coordinadores de estas Jornadas Nacionales, que son además el alma del Máster Universitario en Derecho de la Ciberseguridad y Entorno Digital , auguran el éxito de esta IV edición.

Pulcra leonina

Las IV Jornadas Nacionales de Ciberseguridad y Derecho se inician el miércoles 24 de octubre, a las 16:00 h en el Palacio de Congresos y Exposiciones de León:

 

  • Contará esta sesión inaugural con la intervención de D. CARLOS KUCHKOVSKY  (12 ENISE – C7; CTO de Nuevos Negocios Digitales de BBVA) con la ponencia «Más allá de las criptomonedas. Potencial del blockchain e implicaciones en ciberseguridad» y otras disertaciones  que sin duda incrementarán el interés del aforo como la de D. FÉLIX ARTEAGA (12 ENISE – C8) Investigador principal del Real Instituto Elcano sobre «Nuevos retos en ciberseguridad: la amenaza híbrida» ,  o la del Dr. D. PABLO GARCÍA MEXIA Vicepresidente del Capítulo Español de Internet Society, “La Internet abierta“.
  • Entre las actividades previstas incluyen las mesas redondas compuestas por especialistas, entre las que tenemos la honra de contar con Doña ANA DEL SER, Presidenta de la Audiencia Provincial de Leónmiembro del GID DerMerUle y Profesora de Derecho Mercantil de la ULE ;  y DOÑA MARÍA TRAPERO, acreditada catedrática y profesora titular de Derecho Penal de la ULE que debatirán en torno a las «Obligaciones del empresario en la implantación de medidas. Su responsabilidad»,

 

El jueves 25 de octubre las IV Jornadas Nacionales  de Ciberseguridad y Derecho se trasladarán al Salón de Grados de la Facultad de Derecho de la Universidad de León:

El aforo a estas Jornadas es limitado, pero puede obtenerse información en el correo de inscripciones idurs@unileon.es

Desde DerMerUle, felicitamos a l@s organizadores, animamos a los inscritos y recomendamos la asistencia a cuantos estén interesados en las perspectivas de presente y futuro de la perspectiva jurídica del entorno cibernético.

 

 

Ciber seguridad, redes y transposición en España. (II) Ambito

el 17 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

El real decreto-ley 12/2018 se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad (ver entrada anterior).

NYC_by Jara IPM. Freedom Statue

 

Su ámbito de aplicación se extiende también a sectores que no están expresamente incluidos en la Directiva, aunque sin perjuicio de su legislación específica. Especialmente en el caso de los operadores de servicios esenciales, su designación se realiza conforme a legislación sectorial

  • Veíamos que las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, están expresamente excluidos de dicha Directiva (que en ese sentido opera como norma de armonización mínima).  Sin embargo el real decreto-ley si se aplica a los “operadores críticos” que se designan conforme a la ley  8/2011
  • El real decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales: los que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los somete a un régimen de armonización máxima. La función de las autoridades nacionales se limita, por tanto, a supervisar su aplicación por los proveedores establecidos en su país, y coordinarse con las autoridades correspondientes de otros países de la Unión Europea.

 

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada.

NYC_by Jara IPM. One Trade Center Tower

  • Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo  y estar basadas en una evaluación previa .
  • Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.
  • El real decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación. La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.
  • El real decreto-ley recalca la necesidad de tener en cuenta los estándares europeos e internacionales, así como las recomendaciones que emanen del grupo de cooperación y de la red de CSIRT (Computer Security Incident Response Team) establecidos en el ámbito comunitario por la Directiva, con vistas a aplicar las mejores prácticas aprendidas en estos foros y contribuir al impulso del mercado interior y a la participación de nuestras empresas en él. Con el fin de aumentar su eficacia, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicación de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, y la coordinación en su aplicación con las autoridades responsables en cada caso.

Respecto a las normas horizontales, destacan los vínculos establecidos con las Leyes 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y 36/2015, de 28 de septiembre, de Seguridad Nacional, y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, como normativa especial en materia de seguridad de los sistemas de información del sector público.

Ciber seguridad en las redes. Directiva de seguridad de las redes y transposición en España (I)

el 15 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

Lincoln, Ox

Principales medidas organizativas de la seguridad en las redes y obligaciones de notificar conforme a la Directiva 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión; y  su primera transposición en España (Real Decreto-ley 12/2018).

Destacamos los principales aspectos obligacionales del Real Decreto – ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información que traspone en España la Directiva 2016/1148 “NIS”, de seguridad en las redes y servicios de información, (estando pendiente la tramitación parlamentaria del Proyecto de Ley de seguridad de las redes y sistemas de información (procedente del Real Decreto-ley 12/2018, de 7 de septiembre).

A modo de antecedentes, recordemos que  en virtud de la Directiva (UE) 2016/1148, los países de la UE deben:

  1. designar a una o más autoridades nacionales competentes y a uno o varios centros de respuesta a incidentes cibernéticos – CSIRT-, así como determinar un punto de contacto único (en caso de que haya más de una autoridad competente);
    • (Los equipos de respuesta a incidentes de seguridad informática, CSIRT, son responsables de supervisar incidentes de ciberseguridad y responder a ellos; efectuar análisis de riesgos e incidentes; participar en la red de CSIRTs; cooperar con el sector privado; fomentar la utilización de prácticas normalizadas para la clasificación de incidentes, riesgos e información, etc.)
  2. designar operadores de servicios esenciales en sectores fundamentales como la energía, el transporte, las finanzas, la banca, la salud, el agua y la infraestructura digital, en los cuales un ciberataque podría perturbar un servicio esencial.
  3. adoptar una estrategia nacional de ciberseguridad para las redes y sistemas de información, que aborde la preparación y disposición para gestionar y reaccionar a los ciberataques; las funciones, responsabilidades y cooperación de la administración pública y de otros agentes; los programas de educación, concienciación y formación; los planes de investigación y desarrollo; y los planes de identificación de riesgos.
  4. asegurar que sus autoridades nacionales competentes supervisan la aplicación de la Directiva evaluando las políticas de ciberseguridad y seguridad de los operadores de servicios esenciales; supervisando los proveedores de servicios digitales; participando en el trabajo del Grupo de cooperación [formado por las autoridades competentes en materia de seguridad de las redes y de la información (SRI) de cada uno de los países de la UE, la Comisión Europea y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA)]; informando al público cuando sea necesario a fin de evitar incidentes o gestionarlos cuando ya se hayan producido, respetando siempre los requisitos de confidencialidad; impartiendo instrucciones vinculantes para subsanar las deficiencias en ciberseguridad.

All Souls Bridge. OX

La Directiva se aplica a los operadores de servicios esenciales (designados) como a los proveedores de servicios digitales, aunque las obligaciones de unos y otros resulten algo distintas.

Sin embargo, la Directiva NIS no se aplica a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo  (Directiva Marco de Comunicaciones Electrónicas) que están sujetas a los requisitos específicos de seguridad e integridad, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior) que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento.

  • Su ámbito de aplicación no empece las medias correspondientes en virtud de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo; ni la  Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo; ni la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.

 

El Real Decreto Ley  12/2018 incorpora al ordenamiento español la Directiva NIS. Tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes. También establece un marco institucional en las cuestiones relativas a su ámbito.

Se aplica a

  • operadores de servicios esenciales dependientes de las  redes y sistemas de información comprendidos en los sectores estratégicos (infraestructuras críticas) definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.que transpone la  Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección
    • Un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
    • Servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
    • La Comisión Nacional para la Protección de las Infraestructuras Críticas aprobará una primera lista de servicios esenciales dentro de los sectores incluidos en el ámbito de aplicación de este real decreto-ley e identificará a los operadores que los presten que deban sujetarse a este real decreto-ley 
  • prestadores  o proveedores de servicios digitales,  conforme se determina en el artículo 3 e), es decir  “persona jurídica que presta un servicio digital.” que además sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. Es decir, proveedores de servicios digitales que tengan su sede social en España y/o con establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 y se dediquen a alguna (o todas) de las 3 actividades

Exclusiones. El RD-l, no se aplica a

  • a) Los operadores de redes y servicios de comunicaciones electrónicas, prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
  • b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
Obligaciones de seguridad de los operadores y prestadores sujetos a este RD-l (sin perjuicio de desarrollo reglamentario)

Houses of Parliament

  • adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a este real decreto-ley.
  •  notificar incidentes conforme al título V
  • tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.

Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente, la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de contacto y de coordinación técnica con aquella,  cuyas funciones específicas serán las previstas reglamentariamente.

    • Las autoridades competentes podrán establecer mediante Orden ministerial obligaciones específicas para garantizar la seguridad de las redes y sistemas de información empleados por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes.
    • Al elaborar las disposiciones reglamentarias, instrucciones y guías, tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de seguridad de la información a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, aprobado por el Real Decreto 3/2010, de 8 de enero. Las autoridades competentes deberán coordinarse entre sí y con los diferentes órganos sectoriales con competencias por razón de la materia, con objeto de evitar duplicidades en las obligaciones exigibles y facilitar su cumplimiento a los operadores de servicios esenciales.

Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos (atendiendo a los actos de ejecución de la Comisión Europea):

  •  La seguridad de los sistemas e instalaciones;
  •  La gestión de incidentes;
  •  La gestión de la continuidad de las actividades;
  •  La supervisión, auditorías y pruebas;
  •  El cumplimiento de las normas internacionales.

Turf Street (and Pub) Ox

Obligaciones de notificar
  • (Los operadores de servicios esenciales notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en tales servicios, o, conforme se determine reglamentariamente, incidentes relativos a los sucesos o incidencias que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquéllos.

  • Los proveedores de servicios digitales notificarán a la autoridad competente, a través del CSIRT de referencia (INCIBE en el caso de entidades privadas y empresarios individuales)  los incidentes que tengan efectos perturbadores significativos en dichos servicios.

    • A los efectos de valorar la gravedad del incidente, los operadores de servicios esenciales medirán la relevancia teniendo en cuenta, como mínimo, los siguientes factores: a) El número de usuarios afectados por la perturbación del servicio esencial. b) La duración del incidente. c) La extensión o áreas geográficas afectadas d) El grado de perturbación del funcionamiento del servicio. e) El alcance del impacto en actividades económicas y sociales cruciales. f) La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial. g) El daño a la reputación.
      • Estos operadores deben realizar una notificación inicial, otra intermedia y otra final
    • Los operadores de servicios digitales, determinan la medición conforme a lo que establezcan los actos de ejecución previstos en los apartados 8 y 9 del artículo 16 de la Directiva NIS. La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios digitales tenga acceso a la información necesaria para valorar el impacto de un incidente.

 

  • Los operadores de servicios esenciales y los proveedores de servicios digitales  así como cualquier otra parte interesada, que tengan noticia de incidentes que afecten de modo significativo a servicios digitales ofrecidos en España por proveedores establecidos en otros Estados miembros de la Unión Europea, podrán notificarlo a la autoridad competente aportando la información pertinente, al objeto de facilitar la cooperación con el Estado miembro en el que estuviese establecido el citado proveedor.
  • Las notificaciones tanto de operadores de servicios esenciales como de proveedores de servicios digitales se referirán a los incidentes que afecten a las redes y sistemas de información empleados en la prestación de los servicios, tanto si se trata de redes y servicios propios como si lo son de proveedores externos.
    • Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes.
    • El desarrollo reglamentario de este real decreto-ley preverá las medidas necesarias para el cumplimiento de lo preceptuado en este artículo por parte de los operadores de servicios esenciales.
      • Las autoridades competentes podrán establecer, mediante Orden ministerial, obligaciones específicas de notificación por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes. Al elaborar las disposiciones reglamentarias, instrucciones y guías, se tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de notificación de incidentes a los que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.
    • La obligación de notificación de incidentes no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito .

      Grove Qd, Lincoln, Ox

    • Proteccion de notificantes: Las notificaciones consideradas en este título no sujetarán a la entidad que las efectúe a una mayor responsabilidad. Además, los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participen en la prestación de los servicios esenciales o digitales, que informen sobre incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación.

Recuérdese a los efectos de la aplicación en España de la Directiva que los centros de respuesta a incidentes de seguridad cibernética, en lo concerniente a las relaciones con los operadores de servicios esenciales son 1º El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de referencia constituida por las entidades del ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público. 2.º El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, al que corresponde la comunidad de referencia constituida por aquellas entidades no incluidas en el ámbito subjetivo de la Ley 40/2015, de 1 de octubre. (el INCIBE-CERT es operado conjuntamente por el INCIBE y el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) en todo lo que se refiera a la gestión de incidentes que afecten a los operadores críticos. 3.º El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-CERT (centro criptológico nacional) y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen. En lo concerniente a las relaciones con los proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT. El INCIBE-CERT será, así mismo, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente.

Los CSIRT de referencia se coordinarán entre sí y con el resto de CSIRT nacionales e internacionales en la respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan. En los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT. Cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crítico, los CSIRT de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), de la forma que reglamentariamente se determine.

STJUE: La venta de tarjetas SIM con servicios pre instalados y preactivados constituye una práctica desleal, agresiva. Puede ser sancionada por Autoridad de Competencia, pese a desarrollarse en un sector regulado

el 10 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, Introducción al Derecho Mercantil. G Relaciones Laborales y Recursos Humanos, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

Sentencia en los asuntos acumulados C-54/17 Autorità Garante della Concorrenza e del Mercato/Wind Tre S.p.A., y C-55/17 Autorità Garante della Concorrenza e del Mercato/Vodafone Italia S.p.A.

 

Lariño. A Coruña

Los hechos subyacentes a esta decisión del TJUE pueden resumirse como sigue:

En 2012, la Autorità Garante della Concorrenza e del Mercato (Autoridad de Defensa de la Competencia italiana; AGCM) impuso unas multas a las sociedades Wind Telecomunicazioni (hoy Wind Tre) y Vodafone Omnitel (hoy Vodafone Italia) por haber comercializado tarjetas SIM (Subscriber Identity Module) en las que se habían preinstalado y preactivado ciertos servicios de navegación por Internet y de contestador telefónico. Los gastos correspondientes se facturaban al usuario a menos que éste solicitase expresamente la desactivación.

La AGCM sancionó a ambas sociedades por  no haber informado adecuadamente  a los consumidores y en su resolución se fijaba en ciertos comportamientos en concreto en que las mercantiles no informaron sobre la preinstalación, ni tampoco sobre la preactivación de dichos servicios,  así como a la circunstancia de que los consumidores no habían sido informados de que los servicios a los que accedían eran de pago, dando lugar el sistema preinstalado incluso a conexiones onerosas a Internet sin conocimiento del usuario, en particular a través de las aplicaciones denominadas «always on».

Las empresas recurrieron las sanciones y el Tribunale amministrativo regionale per il Lazio (Tribunal regional de lo contencioso-administrativo del Lazio, Italia) , estimó la demanda basándose fundamentalmente en la falta de competencia de la AGCM sobre unos comportamientos en el sector de las telecomunicaciones que deberían haber sido objeto de control por la Autoridad sectorial. En este sentido se apoyaba el Tribunal administrativo en lo dispuesto en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco), y en la Directiva 2002/22/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas (Directiva servicio universal), que a los efectos de esta entradilla agrupamos como “Directivas sectoriales”.

Formulado el recurso en segunda instancia, el asunto alcanzó al TJUE que resolvió el 13 de septiembre de 2018, distanciándose en algunos aspectos de las Conclusiones del Abogado General de 31 de mayo de 2018. Señalamos a continuación los aspectos de la STJUE que consideramos más destacables para el estudio de las asignaturas vinculadas a esta entradilla:

Ponferrada. Castillo de templarios

  • En relación con la deslealtad de la práctica y con su carácter agresivo, el TJUE subraya que la contratación, incluida la solicitud de servicios debe ser el resultado de una elección libre y consciente del consumidor.  Por lo tanto y en relación con los hechos aquí controvertidos afirma que cuando el consumidor no es informado de que adquiere una tarjeta con servicios preinstalados y preactivados, ni sobre el coste de los mismos no puede afirmarse que esté contratando libremente.
    • En esa línea afirma el TJUE que resulta indiferente para valorar el consentimiento libre del consumidor, el  que la activación de los servicios  haya podido requerir alguna acción consciente del consumidor o que tuviese la posibilidad de desactivarlos , consideración  que a nuestro juicio resulta muy adecuada ya que, si desconoce su existencia de entrada, el resto de los datos carecen de valor informativo.
    • El TJUE subraya que los comportamientos que subyace a la cuestión prejudicial constituye además y más concretamente un “suministro no solicitado”, por lo tanto, una practica comercial desleal en el sentido de la Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, y más específicamente una práctica agresiva
    • Eso si, explica el TJUE que corresponde al Tribunal nacional comprobar si tales fallos informativos se habían producido; así como identificar el grado de perspicacia de un consumidor medio en el sentido de la Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior.
      • Conviene llamar la atención sobre la circunstancia de que el TJUE  alcanzó a este respecto una conclusión distinta de la había hecho pública el Abogado General.
        • En efecto el Abogado General Manuel Campos Sánchez-Bordona había indicado en sus Conclusiones,  que  el mero hecho de no informar de la preinstalación de los servicios de contestador y de acceso a Internet en una tarjeta SIM destinada a ser insertada en un teléfono inteligente no constituiría una práctica comercial desleal o agresiva.
        • Además, frente  a lo que después sería afirmado por el TJUE, el Abogado General Sánchez-Bordona si entró a valorar el grado de conocimiento de un consumidor medio en relación con el sistema de activación de servicios. E incluso consideró que en su opinión, ese “consumidor medio” si conocería los mecanismos de activación, según explica.
        • Con todo,Sánchez-Bordona si señaló que la conducta en cuestión no fuese merecedora de la calificación de desleal, el usuario debería haber sido previamente informado, y en este plano coincidieron el  Abogado General y el TJUE al afirmar ambos la  competencia del juez nacional para valorar si el consumidor había sido informado.

Coimbra

  • Sobre el posible conflicto entre la Directiva de prácticas desleales y la Directiva sobre Servicio Universal en relación con los derechos de los usuarios finales y en relación con la supervisión, el   Tribunal de Justicia afirmó que en el asunto decidido no  existe conflicto entre la Directiva sobre las prácticas comerciales desleales y la Directiva sobre el servicio universal en lo que respecta a los derechos de los usuarios finales. Y que además, el Derecho de la UE no se opone a una reglamentación nacional que confiera competencia en estas cuestiones a la Autoridad de Defensa de la Competencia, frente a la autoridad sectorial (en este caso sería la competente en materia de telecomunicaciones). En efecto,  la Directiva  sobre prácticas desleales regula aspectos concretos como el suministro no solicitado y las Directivas sectoriales de telecomunicaciones obligan al proveedor de servicios de comunicaciones electrónicas a facilitar determinada información en el contrato.Pero en las circunstancias enjuiciadas son aplicables las normas pertinentes de la Directiva 2005/29.

Para una mejor comprensión de esta STJUE:

  • Reproducimos su apartado 58: “el artículo 3, apartado 4, de la Directiva 2005/29 dispone que, en caso de conflicto entre las disposiciones de esa Directiva y otras normas de la Unión que regulen aspectos concretos de las prácticas comerciales desleales, estas últimas normas prevalecerán y serán aplicables a esos aspectos concretos. Por consiguiente, como lo confirma su considerando 10, dicha Directiva sólo se aplica cuando no existan disposiciones específicas del Derecho de la Unión que regulen aspectos concretos de las prácticas comerciales desleales (véase, en particular, la sentencia de 16 de julio de 2015, Abcur, C‑544/13 y C‑545/13, EU:C:2015:481, apartado 79)”.
  • Y, el apartado 61 “Por lo tanto, sólo existe un conflicto como el contemplado en el artículo 3, apartado 4, de la Directiva 2005/29 cuando disposiciones ajenas a esta última que regulan aspectos concretos de las prácticas comerciales desleales imponen a los comerciantes, sin margen alguno de maniobra, obligaciones incompatibles con las que establece la Directiva 2005/29.”.
  • Y el apartado 64 “….aunque en el ejercicio de sus funciones, las autoridades nacionales de reglamentación estén obligadas, con arreglo al artículo 8, apartado 4, letra b), de la Directiva Marco, a defender los intereses de los ciudadanos de la Unión garantizando a los consumidores un alto nivel de protección, la Directiva Marco y la Directiva sobre el servicio universal no establecen una armonización completa de los aspectos relativos a la protección de los consumidores (sentencia de 14 de abril de 2016, Polkomtel, C‑397/14, EU:C:2016:256, apartado 32 y jurisprudencia que allí se cita).

    Lariño, antes da tala

    • Cabe añadir que en este sentido el Abogado General ya había recordado que la Directiva 2005/29 está llamada a aplicarse a toda práctica comercial desleal, con independencia del sector económico concernido, en aras de la mejor protección de los consumidores. Y que en los asuntos litigiosos que se estaban formulando no existía conflicto entre la Directiva 2005/29 y las Directivas sectoriales, sino que se trataba de un supuesto en el que se impone su aplicación integrada.

 

Las Conclusiones del AG  habían sido recogida en el Informe de Consumo y Derecho Mayo- Junio 2018 A cargo de Mª del Mar Gómez Lozano
Profesora Titular de Derecho Mercantil de la Universidad de Almería. Y, la Sentencia en el Boletín 30-3 del Centro Europa Direct “Luis Ortega Álvarez” de la UCLM; en el Diario de Derecho IUSTEL, entre otros

Abuso de posición dominante. Sanción de la Comisión Europea a Google.

el 3 septiembre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, DM_ADE, DM_Publicidad, Introducción al Derecho Mercantil. G Relaciones Laborales y Recursos Humanos, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

La Comisión Europea ha impuesto a Google una multa de cerca de 4,34 miles de millones EUR por vulnerar las normas de defensa de la Competencia de la UE en materia de abusi de posición dominante. La multa se hizo pública el 18.07.2018

Recuérdese que Google, que controla desde 2005 el sistema operativo Android, ocupa una posición dominante en el mercado mundial (excluida China) de los sistemas operativos móviles inteligentes con licencia.Ostenta además una posición dominante en los mercados de servicios de búsqueda general en Internetsistemas operativos móviles inteligentes con licencia y tiendas de aplicaciones para el sistema operativo móvil Android.  También tiene una posición dominante en el mercado mundial (excluida China) de las tiendas de aplicaciones para el sistema operativo móvil Android  ( Play Store, representa más del 90 % de las aplicaciones descargadas en los dispositivos Android).

Si bien las posiciones dominantes no están prohibidas por el Derecho de la UE, si lo está el abuso de esa posición.

Como es sabido, el artículo 102 del Tratado de Funcionamiento de la Unión Europea (TFUE) y el artículo 54 del Acuerdo EEE prohíben los abusos de posición dominante. La Comisión incoó un procedimiento relativo a la conducta de Google en relación con el sistema operativo y las aplicaciones Android en abril de 2015 y remitió un pliego de cargos a Google en abril de 2016. En el transcurso de sus investigaciones, la Comisión Europea ha identificado prácticas contrarias a la competencia de Google en relación con los dispositivos de Android que refuerzan, abusivamente, la posición dominante del grupo empresarial  Google. Así, la Comisión concluye que Google tiene una posición dominante en los mercados de servicios de búsqueda general en internetsistemas operativos móviles inteligentes con licencia y tiendas de aplicaciones para el sistema operativo móvil Android.

La decisión de la Comisión va dirigida a Google LLC (antes Google Inc.)  y a Alphabet Inc., la sociedad matriz de Google.

Summer time

Concretamente la sanción se refiere a tres tipos de restricciones que ha impuesto Google a los fabricantes de dispositivos Android y a los operadores de redes,  para consolidar su posición de  dominio, que resultan contrarias a las normas de la libre competencia de la UE.

En particular, Google imponía a los fabricantes la obligación de preinstalar la aplicación Google Search y el navegador Chrome como condición para conceder la licencia de su tienda de aplicaciones, Play Store. También pagaba a  grandes fabricantes y operadores de redes móviles para que preinstalaran la aplicación Google Search en sus dispositivos, de modo exclusivo. Por otra parte en sus negociaciones con fabricantes que deseaban preinstalar aplicaciones de Google, les imponía como condición el no vender dispositivos inteligentes que funcionasen en versiones de Android no aprobadas por Google (las denominadas «bifurcaciones de Android»). La vinculación de la aplicación Google Search preinstalada en prácticamente todos los moviles android vendidos en el EEE y la vinculación del navegador Google Chrome preinsatalada en prácticamente todos los dispositivos Android vendidos en el EEE  son elementos  fundamentales en estas prácticas sancionadas.

La multa de €4 342 865 000 que se impone a Google/Alphabet tiene en cuenta la duración y la gravedad de las infracciones, de conformidad con las Directrices de la Comisión de 2006 sobre multas. Como consecuencia de la Decisión de la que se da noticia, Google debe poner fin de manera efectiva a estas conductas en un plazo de 90 días (y no volver a incidir en ellas ni en otras equivalentes),  y si incumple deberá hacer frente a multas coercitivas de hasta el 5 % del volumen de negocios mundial medio diario de Alphabet, la sociedad matriz de Google.  debe interrumpir y no volver a participar en ninguno de los tres tipos de prácticas.

 

 

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

Idoneidad de la información publicada por los emisores europeos (I). ESMA responde a la Comisión Europea.

el 29 agosto, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad

La Autoridad Europea de Valores y Mercados (AEVM/ESMA) ha publicado (17.07.2018) su respuesta al Documento de Consulta de la Comisión Europea en el que ésta solicita información para evaluar la idoneidad del marco de la Unión Europea (UE) sobre información pública de empresas (Fitness Check), centrándose en las competencias de los reguladores de valores y en los requisitos de información aplicables a los emisores admitidos a cotización en mercados regulados. (17 July 2018 | ESMA32-51-522)

El texto puede consultarse aqui

  • La AEVM, como viene señalando, está en desacuerdo con la introducción de la posibilidad de modificar el contenido de las NIIF emitidas por el International Accounting Standards Board, IASB (“mecanismo de carve-in”). Considera que  realizar ajustes específicos para  la UE resulta contrario a los objetivos del Reglamento sobre las NIC, es decir, que las normas de información financiera aplicadas por los emisores que cotizan en bolsa sean globales , y por ello,  aceptadas internacionalmente .  Indica la AEVM que si la UE afirma su compromiso con las NIIF , aumentaría su capacidad para influir en el desarrollo de éstas en el seno del IASB.
  • La AEVM también insta a la CE a que apruebe lo antes posible el proyecto de normas técnicas sobre el Formato Electrónico Único Europeo (ESEF) con el fin de dar seguridad a las partes interesadas y al mercado, así como para garantizar la preparación de programas informáticos y otras adaptaciones de los emisores.

Además, la AEVM formuló observaciones sobre los criterios de aprobación de las NIIF, indicando que  su objetivo principal sigue siendo promover la transparencia y facilitar la adopción eficaz de decisiones en los mercados financieros, y deben considerarse neutrales en relación con otros objetivos.

Lincoln, Ox

En relación con la información no financiera (INF), la AEVM reconoce que es pronto para evaluar el impacto de la introducción de la  Directiva 2014/95/UE del Parlamento Europeo y del Consejo sobre la divulgación de información no financiera e información sobre diversidad por parte de determinadas grandes empresas y determinados grupos  que  modifica la Directiva 2013/34/UE sobre los estados financieros anuales, los estados financieros consolidados y otros informes afines de ciertos tipos de empresas.

Con todo, ya avanza la valoración de que la eficacia de la divulgación  de esta INF hubiese sido mayor de haber propuesto el legislador europeo un único marco de referencia para la publicación de esta información (en lugar de la guía no vinculante incluida en las Directrices de la Comisión de 5 de julio de 2018

Por lo que respecta a las medidas de supervisión y cumplimiento, la AEVM sigue abogando por una mayor armonización y coordinación entre los supervisores nacionales.

Post scriptum. También aquí

 

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

Estados Unidos modifica la difusión de datos de los mercados agropecuarios, un intento de reducir el impacto de las negociaciones algorítmicas (HST) sobre esos mercados

el 20 agosto, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, Régimen jurídico del mercado. Grado Comercio Internacional

El Ministerio de Agrigultura de Estados Unidos  (USDA) acaba de anunciar la puesta en marcha de mecanismos para proteger los mercados agrícolas frente al acceso a la informacion de los Negociadores de Alta Frecuencia (HFT).

 

Concretamente, el  10 de julio, el USDA anunció un cambio en su anterior política de publicar su Estimación de la Oferta y Demanda Agrícola Mundial (WASDE, por sus siglas en inglés)  con 90 minutos de antelación ante ciertos representantes acreditados de los medios de comunicación y después al público general. Esta circunstancia era susceptible de afectar al buen funcionamiento de los mercados, y en concreto a la competencia, siendo susceptible de generar conductas desleales, y contrarias a la libre competencia.

Margaret’s Ox.

El fundamento del sistema previo, era el que los receptores “privilegiados”  obtenían un acceso anterior para facilitar su labor de  interpretar la información WASDE en beneficio de sus suscriptores. Sin embargo, ha sido objeto de criticas varias; y de  análisis por parte de la Commodity Trading Futures Commission (CFTC). Consecuencia de ello, desde el 1 de agosto, el USDA ha cambiado la forma en que publica sus datos sobre producción agraria y ganadera (producción, es decir oferta, y demanda). En ultimo termino, se trata de evitar que la transmisión de datos mediante cables de alta velocidad a los clientes de determinados intermediarios creen barreras al mercado, frente a aquellos inversores que obtienen sus datos en fuentes distintas, menos veloces. E incluso frente a los productores agropecuarios.

Se trata de una medida importante ya que entre las entidades que venden acceso rapido a los datos del USDA  encontramos a algunos de los « grades » en materia de información económica como Dow Jones, Bloomberg LP, Market News International (de Londres) y Thomson Reuters Corp. Verdaderamente, el modo y sistemas de transmisión de datos tienen implicaciones para el diseño y la regulación de los mercados, y sobre la competencia. Entre otras razones porque los ingresos derivados de la gestion y transmisión de datos son una fuente importante de ingresos para los intermediarios como los mencionados, y tambien para las propias entidades rectoras de los mercados, ademas de su impacto sobre la formacion de precios.

Las consecuencias reales sobre el nuevo mecanismo de acceso a información  de precios de oferta y demanda, con todo, estan por ver.

Tambien:

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

Entendiendo los ciber riesgos en la UE, y su impacto en el sector asegurador

el 6 agosto, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Mucaf, Otros

La Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA)  publica un informe  relativo a los riesgos cibernéticos, en el que se concluye que el ciber riesgo representa una preocupación creciente para las instituciones, empresas, mercados financieros y ciudadanos. Este informe, Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies, se basa en una encuesta realizada por ocho aseguradoras y cinco reaseguradoras en el Reino Unido, Suiza, Francia, Italia y Alemania.

London’s Eye

Una de las principales conclusiones del informe es la necesidad de una comprensión más profunda del riesgo cibernético, entendimiento que representa, en si mismo, un reto fundamental para el sector asegurador europeo. Recuerda la Autoridad Europea que el mercado de seguros cibernéticos florece  predominantemente en los Estados Unidos, quedando sólo una reducida parte de ese mercado en manos de operadores y tomadores europeos.  Precisamente por ese motivo, los informes y encuestas disponibles se centran en el mercado de seguros mundial o en el de los Estados Unidos, afectando  a la configuración de las propias pólizas en Europa, al tratamiento de riesgos (principalmente los llamados “no afirmativos” , o implícitos en las coberturas) .

Como ocurre en los productos aseguradores novedosos, la falta de amplias series de datos resulta problemático. Este informe es el primer intento de la  EIOPA  de mejorar el nivel de comprensión de la suscripción de riesgos cibernéticos, centrándose en el mercado europeo de seguros, y se presenta como un primer paso en futuros estudios y trabajos de EIOPA en este campo.

  • La encuesta que subyace al informe se basa en un universo limitado, muestra con todo algunos aspectos importantes como es la necesidad de seguir profundizando en este tipo de productos y de alcanzar una mejor comprensión del ciber riesgo, de las estructuras de los productos aseguradores destinados a cubrirlos, y también de las necesidades de los eventuales asegurados, teniendo en cuenta que si bien hasta el momento las coberturas se han centrado fundamentalmente en la cibernética de empresa, con el tiempo la propia configuración de asegurados irá evolucionando para aceptar coberturas de consumo y consumidores.

Si bien el trabajo del que se da noticia no abarca el mercado español, llamamos la atención sobre el hecho de que entre nosotros se comercializan seguros de ciber riesgos, al menos a través de MAPFRE, existiendo una cierta estandarización para los riesgos de responsabilidad civil(cobertura de violación de privacidad y de multimedia y publicidad). Y un segundo conjunto de coberturas de daños propios del asegurado como daños a los sistemas informáticos, ya sean derivados de un acto informático doloso, malware, robo de datos o denegación de servicio o relacionados con  la interrupción del negocio ( que se asimilaría a un seguro de danos de lucro cesante y cubre la pérdida de beneficios como consecuencia de un fallo en los sistemas informáticos, derivado de un ciberataque), y amenaza de extorsión cibernética ( cubre los gastos realizados para proteger los sistemas informáticos y aminorar las consecuencias de una amenaza de extorsión cibernética), y también daños relacionados con la protección de datos (multas y sanciones por vulneración de la normativa de protección de datos; gastos derivados de notificaciones por violación de la privacidad, e incluso gastos de restitución de imagen por sanciones de la Agencia de Protección de Datos.

 

Ver también en este blog, Ciberseguridad y contenidos ilícitos, Sobre la unidad de ciber seguridad de la SEC, Ciberseguridad y seguros; Ciberseguridad en la UE Directiva general v ley especial

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

El Parlamento Europeo rechazó ratificar la versión de la nueva Directiva sobre derechos de autor aprobada en la Comisión, aplazando el debate para septiembre.

el 24 julio, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, Otros

Será, pues, en septiembre cuando el Parlamento Europeo discutirá la normativa sobre derechos de autor en el mercado único digital en la era de la información.

@European Union 2018. Source EP

JURI committee meeting. Vote on Copyright in the Digital Single Market. Foto: @ European Union 2018. Source: EP

La propuesta de Directiva de derechos de autor en el mercado único digital continúa generando polémica y puntos de desencuentro. Buena prueba de ello es que el Parlamento Europeo rechazó ratificar, el pasado el 5 de julio, la versión aprobada en la comisión parlamentaria de asuntos jurídicos. El pleno rechazó, con 318 votos frente a 278, y 31 abstenciones, el mandato negociador propuesto por la comisión parlamentaria de Asuntos Jurídicos el 20 de junio. Aquí.

 

Con el resultado obtenido, el Parlamento descarta así iniciar negociaciones sobre la nueva normativa sobre derechos de autor en el entorno digital. De esta forma, la propuesta deberá someterse a debate y a una nueva votación en el Parlamento Europeo en la próxima sesión plenaria, fijada para el próximo 12 septiembre de 2018.

 

  • Conviene recordar, a este respecto, que en los días anteriores a la votación en el Parlamento Europeo, el movimiento surgido en las redes sociales denominado  #SaveYourInternet, criticó con fuerza la normativa propuesta por la Comisión de Asuntos Jurídicos de la Eurocámara. Wikipedia tampoco quiso quedar al margen en la formulación de críticas a esta propuesta, de modo que -en señal de protesta- dejó de estar disponible temporalmente.
  • Las cuestiones más espinosas, que contribuyeron al rechazo, por existir posturas enfrentadas se centran, básicamente en los artículos 11 y 13 de la Propuesta.

• Uno de los artículos polémicos es el 11, que prevé para los editores de prensa el otorgamiento del derecho a reclamar compensaciones a las plataformas digitales en las que se compartan sus artículos o alguno de sus fragmentos. Y ello a fin que los editores de noticias puedan obtener una remuneración “justa y proporcionada” por los usos digitales de sus publicaciones.

• Y también resulta controvertido el art. 13 de la Propuesta, cuando impone a los “los proveedores de servicios de la sociedad de la información” la obligación de adoptar las “medidas adecuadas y proporcionadas” para garantizar “el correcto funcionamiento de los acuerdos alcanzados con los titulares de derechos para el uso de sus obras”. Exige, además, para el caso de que no existan dichos acuerdos, la adopción por las plataformas digitales de medidas “adecuadas y proporcionadas” para garantizar “que no se compartan ni estén disponibles aquellas obras o trabajo que puedan infringir los derechos de autor”.

Estas nuevas exigencias parecen tener difícil encaje con los preceptos de la Directiva de Comercio Electrónico, ya que como es sabido las plataformas que alojan contenidos -con neutralidad- son consideradas como prestadoras de un servicio de intermediación y gozan de exención de responsabilidad por los contenidos subidos por los usuarios, en tanto no tengan conocimiento efectivo de su ilicitud (o de hechos o circunstancias que revelen el carácter ilícito). Y es también sabido que no se puede imponer a dichas plataformas la obligación de supervisión de los contenidos alojados.

  • El interés del tema, no puede negarse que es extraordinario, siendo -asimismo- de la máxima actualidad. Vid. aquí o aquí.