Etiqueta: ciber

Subasta de datos personales con fines publicitarios: El Tribunal de Justicia aclara las normas sobre subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet conforme al Reglamento (UE) 2016/679

Las cuestiones fundamentales que trata de despejar el Tribunal de Justicia en esta Sentencia son, fundamentalmente, las siguientes:

    • ¿Conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (en adelante «RGPD») constituye un dato personal una cadena de letras y caracteres que capta, de manera estructurada y legible mecánicamente, las preferencias de un usuario de Internet relativas al consentimiento de dicho usuario en lo que respecta al tratamiento de sus datos personales? y
    • ¿Quién es “responsable” o “corresponsable del tratamiento?

En efecto, a estos extremos se refiere el Tribunal de Justicia en la Sentencia del de 7 de marzo de 2024 en el asunto C-604/22 (IAB Europe), con motivo de una petición de decisión prejudicial planteada conforme al artículo 267 TFUE, por el hof van beroep te Brussel (Tribunal de Apelación de Bruselas, Bélgica).

Jara en el Bierzo (León). By M.A. Díaz
Jara en el Bierzo (León). By M.A. Díaz

Esta petición de decisión prejudicial tiene por objeto la interpretación de los arts 4, puntos 1 y 7, y 24, apartado 1, del RGPD, y en consonancia con los arts. 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

Esta petición se presentó en el contexto de un litigio entre IAB Europe y la Gegevensbeschermingsautoriteit (Autoridad de Protección de Datos, Bélgica; en adelante, «APD») en relación con una resolución de la Sala de Controversias de la APD adoptada contra IAB Europe por la presunta infracción de varias disposiciones del RGPD.

IAB Europe es una asociación sin ánimo de lucro, establecida en Bélgica, que representa a las empresas del sector de la publicidad y del marketing digitales a nivel europeo. Son miembros de IAB Europe tanto empresas pertenecientes al sector publicitario (así editores, empresas de comercio electrónico y de marketing e intermediarios) como asociaciones nacionales, entre ellas las IAB (Interactive Advertising Bureau) nacionales, entre cuyos miembros figuran empresas de dicho sector. Y precisamente entre los miembros de IAB Europe se incluyen empresas que generan ingresos importantes mediante la venta de espacios publicitarios en sitios de Internet o en aplicaciones.

IAB Europe ha elaborado el Transparency & Consent Framework (Marco de Transparencia y Consentimiento; en adelante, «TCF»), que es un marco de normas compuesto por directrices, instrucciones, especificaciones técnicas, protocolos y obligaciones contractuales que permiten tanto al proveedor de un sitio de Internet o de una aplicación como a los intermediarios de datos o incluso a las plataformas publicitarias tratar legalmente los datos personales de un usuario de un sitio de Internet o de una aplicación.

Idhún. ¿Primavera ya? By M.A. Díaz

El TCF pretende fundamentalmente favorecer el cumplimiento del RGPD cuando esos operadores recurren al protocolo Open RTB, uno de los más utilizados para el Real Time Bidding, que es un sistema de subasta en línea instantánea y automatizada de perfiles de usuarios para la compraventa de espacios publicitarios en Internet. A la vista de determinadas prácticas realizadas por miembros de IAB Europe en el marco de este sistema de intercambio masivo de datos personales relativos a perfiles de usuarios, IAB Europe presentó el TCF como una solución para adaptar el sistema de subastas al RGPD. Y ello teniendo en consideración que técnicamente cuando un usuario consulta un sitio de Internet o una aplicación que contiene un espacio publicitario, las empresas de tecnología publicitaria, y en concreto los intermediarios de datos y las plataformas publicitarias, que representan a miles de anunciantes, pueden pujar en tiempo real, sin ser vistos, por la obtención de ese espacio publicitario a través de un sistema de subastas automatizado que utiliza algoritmos, con un objetivo claro: difundir en ese espacio publicidad dirigida adaptada específicamente al perfil de tal usuario.

Eso sí, antes de mostrar esa publicidad dirigida, habrá de obtenerse el consentimiento del usuario, de forma que cuando éste consulta un sitio de Internet o una aplicación por primera vez, una plataforma de gestión del consentimiento llamada «Consent Management Platform» (en adelante, «CMP») aparece en una ventana emergente en la cual el usuario, puede o bien dar su consentimiento al proveedor del sitio de Internet o de la aplicación para la recogida y el tratamiento de sus datos personales (localización del usuario, edad, historial de búsquedas y sus compras recientes) con fines previamente definidos -como la comercialización o publicidad- o para el intercambio de esos datos con determinados proveedores, o bien oponerse a diferentes tipos de tratamiento de datos o al intercambio de dichos datos.

De esta manera, el TCF constituye un marco para un tratamiento de datos personales a gran escala y facilita el registro de las preferencias de los usuarios a través de la CMP. Posteriormente, estas preferencias se codifican y almacenan en una cadena compuesta por una combinación de letras y caracteres, designada por IAB Europe con el nombre de Transparency and Consent String(en adelante, «TC String»), que se comparte con intermediarios de datos personales y plataformas publicitarias que participan en el protocolo OpenRTB, para que estos conozcan en qué ha consentido el usuario o a qué se ha opuesto. La CMP coloca también una cookie (euconsent-v2) en el dispositivo del usuario. Cuando se combinan, la TC String y la cookie euconsent-v2 pueden vincularse a la dirección IP de ese usuario.

Así las cosas, el TCF tiene protagonismo en el funcionamiento del protocolo OpenRTB, pues permite transcribir las preferencias del usuario para su comunicación a potenciales vendedores y alcanzar diferentes objetivos de tratamiento, particularmente, ofrecer publicidad a medida. El TCF se dirige, principalmente a garantizar a los intermediarios de datos personales y a las plataformas publicitarias el cumplimiento del RGPD a través de la TC String.

Enumerada las circunstancias que sitúan estos temas, cabe reseñar que las cuestiones prejudiciales a que se debe esta Sentencia del Tribuna de Justicia  responden, básicamente, a una serie de hechos que han venido produciéndose desde 2019, en relación con estos temas, que van a describirse a continuación.

  • La APD ha recibido varias denuncias contra IAB Europe, respecto a la conformidad del TCF con el RGPD, originarias no sólo de Bélgica sino también de terceros países. Examinadas estas denuncias, la APD, como autoridad de control principal, en el sentido del art. 56, apartado 1, del RGPD, activó el mecanismo de cooperación y coherencia, derivado de los arts. 60 a 63 de dicho Reglamento, a fin de llegar a una decisión común aprobada conjuntamente por las veintiuna autoridades de control nacionales que participan en este mecanismo. Pues bien, la Sala de Controversias de la APD, por resolución de 2 de febrero de 2022, declaró que IAB Europe actuaba como responsable del tratamiento de los datos personales en relación con el registro del consentimiento, de las objeciones y de las preferencias de los usuarios individuales a través de una TC String, la cual, según la Sala de Controversias de la APD, está asociada a un usuario identificable. Además, en esa resolución, la Sala de Controversias de la APD ordenó a IAB Europe, conforme al art. 100.1, punto 9.º, de la Ley APD, que adecuara a las disposiciones del RGPD el tratamiento de datos personales efectuado en el marco del TCF y le impuso varias medidas correctoras y una multa administrativa.
  • IAB Europe interpuso recurso contra dicha resolución ante el hof van beroep te Brussel(Tribunal de Apelación de Bruselas, Bélgica). IAB Europe solicita a dicho órgano jurisdiccional que anule la resolución de 2 de febrero de 2022, oponiéndose a que se considere que actuó como responsable del tratamiento y, manteniendo además que, al declarar que la TC String es un dato personal, en el sentido del artículo 4.1 del RGPD, dicha resolución no está suficientemente matizada ni motivada y que es errónea. Destaca asimismo IAB Europe que sólo los demás participantes en el TCF podrían combinar la TC String con una dirección IP para transformarla en un dato personal, que la TC String no es específica de un usuario y que ella no tiene la posibilidad de acceder a los datos tratados en este contexto por sus miembros. En esta línea de razonamiento argumenta la APD lo siguiente: que las TC Strings constituyen datos personales en la medida en que las CMP pueden vincular las TC Strings a las direcciones IP; que, además, los participantes en el TCF también pueden identificar a los usuarios sobre la base de otros datos; que IAB Europe tiene acceso a la información requerida para ello y que esta identificación del usuario es precisamente la finalidad de la TC String, encaminada a facilitar la venta de la publicidad dirigida. Aparte de esto, la APD manifiesta que el hecho de que IAB Europe deba ser considerada responsable del tratamiento en el sentido del RGPD se desprende de su función determinante en el tratamiento de las TC Strings. Y junto a ello la APD aduce que esta organización determina, respectivamente, los fines y los medios del tratamiento, el modo en que se generan, modifican y leen las TC Strings, de qué forma y dónde se almacenan las cookiesnecesarias, quién recibe los datos personales y sobre la base de qué criterios pueden establecerse los plazos de conservación de las TC String.
  • El órgano jurisdiccional hof van beroep te Brussel (Tribunal de Apelación de Bruselas) alberga dudas sobre si una TC String, combinada o no con una dirección IP, constituye un dato personal y, de ser así, si IAB Europe debe ser calificada de responsable del tratamiento de los datos personales en el marco del TCF, en particular en relación con el tratamiento de la TC String.Y ello porque entiende dicho órgano jurisdiccional que aunque la resolución de 2 de febrero de 2022 refleja la posición común adoptada conjuntamente por las diferentes autoridades de control nacionales implicadas en el caso de autos, el Tribunal de Justicia aún no ha tenido ocasión de pronunciarse sobre esta nueva tecnología intrusiva que constituye la TC String.
  • En este contexto, el Tribunal de Apelación de Bruselas decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

    Primavera ya, Idhún. By M.A. Díaz

«1) a) ¿Debe interpretarse el artículo 4, punto 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una cadena de caracteres que recoge las preferencias de un usuario de Internet en relación con el tratamiento de sus datos personales de forma estructurada y legible mecánicamente constituye un dato personal en el sentido de la citada disposición en relación con (1) una organización sectorial que pone a disposición de sus miembros un estándar por el que les prescribe las modalidades prácticas y técnicas conforme a las que debe generarse, almacenarse o difundirse tal cadena de caracteres, y (2) las partes que han aplicado dicho estándar en sus sitios web o en sus aplicaciones y, de este modo, tienen acceso a dicha cadena de caracteres?

        1. b) ¿Tiene alguna relevancia a este respecto el hecho de que la aplicación del estándar implique que esta cadena de caracteres esté disponible junto a una dirección IP?
        2. c) ¿Sería distinta la respuesta a las [letras a) y b) de la primera cuestión] si esta organización sectorial normativa no tuviera ella misma acceso legal a los datos personales tratados por sus miembros en el marco de dicho estándar?

2) a) ¿Deben interpretarse los artículos 4, punto 7, y 24, apartado 1, del [RGPD], en relación con los artículos 7 y 8 de la [Carta], en el sentido de que una organización sectorial normativa debe ser calificada de responsable del tratamiento cuando ofrece a sus miembros un estándar para la gestión del consentimiento que, además de un marco técnico vinculante, comprende disposiciones en las que se establece con detalle el modo en que deben almacenarse y difundirse estos datos de consentimiento que constituyen datos personales?

        1. b) ¿Sería distinta la respuesta a la [letra a) de la segunda cuestión prejudicial] si esta organización sectorial no tuviera ella misma acceso legal a los datos personales que son tratados por sus miembros en el marco de este estándar?
        2. c) Si se califica (o si debe calificarse) a la organización sectorial normativa de responsable o de corresponsable del tratamiento respecto a las preferencias de los usuarios de Internet, ¿se extiende esta responsabilidad o corresponsabilidad de la organización sectorial normativa automáticamente a los tratamientos ulteriores por terceros para los que se obtienen las preferencias de los usuarios de Internet, como la publicidad en línea dirigida, realizada por editores y vendedores?»
   El Tribunal de Justicia en su sentencia responde a estas cuestiones prejudiciales:
    • confirmando, en primer lugar, que la TC String contiene información relativa a un usuario identificable, por lo que constituye un dato personal en el sentido del RGPD. Y ello porque, cuando la información contenida en una TC String se asocia con un identificador, como, en particular, la dirección IP del dispositivo del usuario, puede permitir crear un perfil de dicho usuario e identificarlo.
    • En segundo lugar, manifiesta que IAB Europe debe ser considerada «corresponsable del tratamiento», en el sentido del RGPD. En este sentido, indica que, sin perjuicio de las comprobaciones que competen al tribunal belga, parece que IAB Europe influye en las operaciones de tratamiento de datos, en el momento del registro de las preferencias en materia de consentimiento de los usuarios en una TC String, y determina, junto con sus miembros, tanto los fines de esas operaciones como los medios que están en el origen de las mismas. Así las cosas, mantiene que, al margen de la eventual responsabilidad civil derivada del Derecho nacional, IAB Europe no puede ser considerada responsable, en el sentido del RGPD, de las operaciones de tratamiento de datos que acontezcan después de que se registren en una TC String las preferencias en materia de consentimiento de los usuarios, salvo que pueda acreditarse que dicha asociación ha influido en la determinación de los fines de los tratamientos ulteriores y de las modalidades de su ejercicio.

En efecto, así se pronuncia el Tribunal de Justicia, cuando declara literalmente:

«1) El artículo 4, punto 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que una cadena compuesta por una combinación de letras y caracteres, como la TC String (Transparency and Consent String), que contiene las preferencias de un usuario de Internet o de una aplicación relativas al consentimiento de dicho usuario en el tratamiento de datos personales que le conciernen por proveedores de sitios de Internet o de aplicaciones, así como por intermediarios de tales datos y por plataformas publicitarias, constituye un dato personal, en el sentido de esta disposición, en la medida en que, cuando puede asociarse, por medios razonables, a un identificador, como en particular la dirección IP del dispositivo de dicho usuario, permite identificar al interesado. En tales circunstancias, el hecho de que, sin una contribución externa, una organización sectorial que posee esta cadena no pueda acceder a los datos tratados por sus miembros en el marco de las normas que ella ha establecido ni combinar dicha cadena con otros elementos no impide que la mencionada cadena constituya un dato personal en el sentido de la referida disposición.

2) Los artículos 4, punto 7, y 26, apartado 1, del Reglamento 2016/679 deben interpretarse en el sentido de que,

      • por una parte, una organización sectorial, en la medida en que propone a sus miembros un marco normativo que ella ha establecido en materia de consentimiento en el tratamiento de datos personales, que contiene no solo normas técnicas vinculantes, sino también normas que precisan de manera detallada las modalidades de almacenamiento y de difusión de los datos personales referentes a dicho consentimiento, debe calificarse de «corresponsable del tratamiento», en el sentido de estas disposiciones, si, habida cuenta de las circunstancias particulares del caso concreto, influye, atendiendo a sus propios objetivos, en el tratamiento de los datos personales en cuestión y determina, así, junto con sus miembros, los fines y medios de dicho tratamiento. El hecho de que la propia organización sectorial no tenga acceso directo a los datos personales tratados por sus miembros en el marco de dichas normas no obsta a que pueda tener la condición de corresponsable del tratamiento en el sentido de dichas disposiciones;
      • por otra parte, la corresponsabilidad de dicha organización sectorial no se extiende automáticamente a los tratamientos ulteriores de datos personales efectuados por terceros —como los proveedores de sitios de Internet o de aplicaciones— en lo que respecta a las preferencias de los usuarios a efectos de la publicidad dirigida en línea».

Como puede apreciarse, esta Sentencia posee una relevancia nada desdeñable respecto a la clarificación de los temas planteados, particularmente la interpretación del concepto de datos personales y la responsabilidad que, conforme al RGPD, pueda acarrear el tratamiento de dichos datos, especialmente, a efectos publicitarios.

El texto íntegro de la sentencia puede verse aquí.

STJUE. Control de contenidos subidos a plataformas, derechos de autor y libertad de expresión

A propósito de la reciente Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala) de 26 de abril de 2022, Polonia contra Parlamento y Consejo (C-401/19), que tiene por objeto un recurso de anulación interpuesto, con arreglo al artículo 263 TFUE, el 24 de mayo de 2019,

El texto completo de la Sentencia puede consultarse aquí

La Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019 sobre derechos de autor y derechos afines en el Mercado Único Digital, que modifica las Directivas 96/9/CE y 2001/29/CE estableció un mecanismo específico de responsabilidad con respecto a los proveedores de servicios de intercambio de contenidos en línea («proveedores»).

Concretamente, el artículo 17 de dicha Directiva establece el principio de que los proveedores son directamente responsables cuando los usuarios de sus servicios carguen, ilícitamente, obras y otros materiales protegidos. No obstante, pueden eximirse de esta responsabilidad si realizan determinadas actuaciones. Entre ellas, y conforme a lo dispuesto en el artículo 2 de la Directiva, deben supervisar activamente los contenidos cargados por los usuarios, con el fin de impedir la puesta en línea de materiales protegidos respecto de los que, los titulares de derechos no consienten en la puesta a disposición.

El TJUE, en esta sentencia, se pronunció por primera vez sobre la interpretación de la Directiva 2019/790. Y, desestimó el recurso de anulación que había interpuesto Polonia. El TJUE establece que la obligación impuesta por la Directiva a los proveedores consistente fundamentalmente en realizar una revisión automática previa de los contenidos subidos por los usuarios, está acompañada de las garantías adecuadas para asegurar el respeto del derecho a la libertad de expresión e información de dichos usuarios.

El TJUE añadió que la Directiva asienta un marco de equilibrio entre el derecho a la libre expresión e información y el derecho a la propiedad intelectual.

Barbanzóns
Barbanzóns

EL RECURSO DE NULIDAD. La República de Polonia había interpuesto un recurso solicitando,  la anulación de las letras b) y c) in fine, del artículo 17, apartado 4, de la Directiva 2019/790 y, con carácter subsidiario, la anulación de dicho artículo en su en su totalidad.

Alegaba la demandante que el precepto cuestionado obliga a los prestadores a realizar -mediante herramientas informáticas de filtrado automático- un control preventivo de todos los contenidos que sus usuarios deseen cargar.  Consideraba Polonia que la Directiva no establece salvaguardias que garanticen el respeto del derecho a la libertad de expresión y de información, garantizado en el artículo 11 de la Carta.

Más concretamente, la nación recurrente consideraba que la obligación impuesta a los prestadores de hacer los «mayores esfuerzos» para garantizar dos resultados concretos establecidos en el precepto cuestionado, implicaría la implantación de controles preventivos automáticos de filtrado de contenidos subidos por los usuarios. Estos controles serían, conforme a la interpretación sostenida por Polonia, contrarios a la libertad de expresión. Y, no respetarían la exigencia de proporcionalidad y de necesidad de los límites que puedan imponerse sobre los Derechos reconocidos en la Carta y en otros Instrumentos Internacionales para la tutela de Derechos fundamentales.

Las obligaciones de resultados a las que nos hemos referido, y cuyo incumplimiento generaría responsabilidad de los proveedores son estos:

  • Por una parte, la indisponibilidad de obras y otras prestaciones específicas respecto de las cuales los titulares de derechos les hayan facilitado la información pertinente y necesaria (conforme al artículo 17, apartado 4, letra b), de la Directiva (UE) 2019/790).
  • Por otra parte, evitar que las obras y otras prestaciones notificadas, respecto a las cuales los titulares de derechos han presentado una notificación suficientemente justificada se carguen en el futuro (conforme al artículo 17, apartado 4, letra c), in fine, de la Directiva (UE) 2019/790)

 

ADMISIBILIDAD DEL RECURSO. En relación con la admisibilidad del recurso, el TJUE declaró que las letras b) y c), in fine del artículo 17, apartado 4, de la Directiva 2019/790 no son disociables del resto del artículo 17.

De esta manera, el TJUE interpretó que el artículo 17 de la Directiva 2019/790 establece un nuevo régimen general de los proveedores. Y que las distintas disposiciones de este precepto conforman un conjunto equilibrado de derecho positivo para ordenar los derechos e intereses de los prestadores, de los de los usuarios de sus servicios y los de los titulares de derechos. Por ello, la anulación parcial alteraría el contenido del artículo 17.  En consecuencia, el TJUE declaró inadmisible -exclusivamente- la pretensión de anulación de la letra b) y de la letra c).

 

FONDO DEL ASUNTO. En cuanto al fondo del asunto, el Tribunal de Justicia examinó el único motivo, admitido, del recurso: la alegación de limitación del ejercicio del derecho a la libertad de expresión e información, derivada del régimen de responsabilidad introducido por el artículo 17 de la Directiva 2019/790.

Como punto de partida de su análisis, el TJUE reconoció que el intercambio de información en Internet a través de plataformas de intercambio de contenidos en línea está comprendido en el ámbito de aplicación del artículo 10 del Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales (Convenio) y en el artículo 11 de la Carta Europea de Derechos (Carta). Observó además, que para evitar la responsabilidad de los proveedores derivada de situaciones en las que los usuarios suben a las plataformas contenidos ilícitos o sin autorización de los titulares de derechos sobre tales contenidos, los proveedores deben demostrar que cumplen todas las condiciones de exención de responsabilidad, establecidas en el artículo 17, apartado 4, letras a), b) y c), de la Directiva 2019/790.

Las condiciones de exención de responsabilidad de proveedores son: que han hecho todo lo posible para obtener dicha autorización [letra a)];  que han actuado con celeridad para poner fin, en sus plataformas, a las infracciones específicas de los derechos de autor después de que se hayan producido, tras recibir una notificación suficientemente justificada de los titulares de derechos [letra c)]; y que  han hecho todo lo posible, tras recibir dicha notificación o cuando dichos titulares de derechos les hayan proporcionado la información pertinente y necesaria antes de que se produzca una infracción de los derechos de autor “de acuerdo con los altos estándares de diligencia profesional del sector» para evitar que se produzcan o repitan dichas infracciones se produzcan o vuelvan a producirse [letras b) y c)].

El cumplimiento de las exigencias de exoneración exige, de facto, que los proveedores realicen una revisión previa de los contenidos que los usuarios desean subir a sus plataformas. Pero, añade el TJUE de conformidad con el precepto analizado, siempre que hayan recibido de los titulares de los derechos la información o los avisos previstos en las letras b) y c) del artículo 17, apartado 4, de la Directiva 2019/790.

Al realizar las revisiones exoneratorias, ciertamente los proveedores utilizarán herramientas de reconocimiento y filtrado automático. Tales instrumentos podrían ser susceptibles de restringir la difusión de contenidos en línea y, por tanto, constituir una limitación del derecho a la libertad de expresión e información garantizado en el artículo 11 de la Carta. Además, esta limitación sería consecuencia directa del régimen específico de responsabilidad establecido por el legislador europeo. No obstante,  correspondía al TJUE analizar también si la limitación controvertida estaría justificada a la luz del artículo 52, apartado 1, de la de la Carta. Y, en este sentido el TJUE manifiesta con bastante rotundidad:

Lariño. A Coruña
  • Que se trata de una limitación de un Derecho Fundamental que tiene base legal. Ello es así dado que resulta de las obligaciones impuestas a los prestadores de los citados servicios por una disposición de derecho positivo de la UE (las letras b) y c), in fine, del artículo 17, apartado 4, de la Directiva 2019/790). Pero además, que tal limitación respeta la esencia del derecho a la libertad de expresión e información de los usuarios de Internet.
  • En el marco del control de la proporcionalidad, el TJUE considera que esta limitación responde a la necesidad de proteger la propiedad intelectual garantizada en el artículo 17, apartado 2, de la Carta. Y, es necesaria para satisfacer dicha tutela. De este modo, las obligaciones impuestas a los proveedores no restringen de forma desproporcionada el derecho a la libertad de expresión e información de los usuarios.
  • Además considera el TJUE que el legislador de la UE estableció un límite claro y preciso a las medidas que pueden adoptarse en relación con las verificaciones de contenidos. El legislador excluyó, en particular, las medidas que filtran y bloquean los contenidos lícitos a la hora de cargarlos.
  • Por otra parte conforme a esta STJUE, la Directiva 2019/790 exige a los Estados miembros que garanticen que los usuarios estén autorizados a cargar y poner a disposición contenidos generados por ellos mismos con los fines específicos de fines de cita, crítica, reseña, caricatura, parodia o pastiche. Y, que los proveedores informen a sus usuarios de que pueden utilizar obras y otras materias protegidas en virtud de las excepciones o limitaciones a los derechos de autor y derechos afines previstas en la legislación de la UE.(Artículo 17(7) y (9) de la Directiva 2019/790.
  • Los proveedores sólo pueden incurrir en responsabilidad cuando los titulares de derechos afectados les faciliten la información pertinente y necesaria en relación con el contenido en cuestión. Por tanto, el artículo 17 de dicha Directiva no conlleva ninguna obligación de control general: no se puede exigir a los prestadores que impidan la carga y la puesta a disposición del público de contenidos. Para que estos contenidos sean considerados ilegales deberán ser objeto de una evaluación independiente (Artículo 17 (8) de la Directiva 2019/790). En este sentido, la disponibilidad de contenidos no autorizados sólo puede evitarse previa notificación de los titulares de los derechos.
  • Añade el TJUE que la Directiva 2019/790 introduce varias garantías procesales, en particular la posibilidad de que los usuarios presenten una reclamación cuando consideren que el acceso a los contenidos cargados ha sido inhabilitado erróneamente, así como el acceso a mecanismos de reparación extrajudicial y a recursos judiciales eficaces. (Apartados 1º y 2º del artículo 17(9) de la Directiva 2019/790)
  • Finalmente, se subraya en esta STJUE que dicha Directiva exige a la Comisión Europea que organice diálogos con las partes interesadas para debatir las mejores prácticas de cooperación entre los proveedores y los titulares de derechos, y también que publique orientaciones sobre la aplicación de ese régimen (artículo 17(10) de la Directiva 2019/790)

En consecuencia, el Tribunal de Justicia concluyó que la obligación de los proveedores de revisar, antes de su difusión al público, los contenidos que los usuarios desean subir a sus plataformas, resultante del el régimen específico de responsabilidad establecido en el artículo 17, apartado 4, de la Directiva 2019/790, ha sido acompañada por las salvaguardias adecuadas por parte del legislador de la UE con el fin de garantizar el respeto del derecho a la libertad de expresión e información de los usuarios, y un justo equilibrio entre ese derecho, por un lado, y el derecho a la propiedad intelectual, por otro. Corresponde a los Estados miembros, al transponer el artículo 17 de dicha Directiva, velar por una interpretación de esta disposición que permita un justo equilibrio entre los distintos derechos fundamentales protegidos por la Carta. Además, en relación con las medidas de transposición las autoridades y los órganos jurisdiccionales de los Estados miembros no sólo deben interpretar su Derecho nacional de forma coherente con dicho artículo 17, sino también asegurarse de que su interpretación no entre en conflicto con derechos fundamentales o con otros principios generales del Derecho de la UE, como el principio de proporcionalidad.

Sanción de 225 M€ a WhatsApp por violación del Reglamento General de Protección de Datos. Irlanda /UE/SEPD

La Comisión de Protección de Datos de Irlanda (Ireland’s Data Protection Commission) (IDPC) impuso recientemente una sanción de 225 millones de euros a WhatsApp Ireland Ltd (“WhatsApp”)  por  falta de transparencia en  sus prácticas de tratamiento de datos de usuarios, que no cumplirían las exigencias de los artículos 12-14 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD).

 

Las investigaciones iniciales
Lariño

El IDPC había iniciado formalmente sus investigaciones sobre WhatsApp el 10 de diciembre de 2018, tras recibir quejas respecto a las actividades de tratamiento de datos de WhatsApp, así cómo una solicitud de asistencia mutua de la Autoridad Federal de Protección de Datos de Alemania (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) a efectos  del cumplimiento del RGPD por parte de WhatsApp. Con todo, formalmente el expediente se abrió «a iniciativa propia» por parte del IDPC. La investigación del supervisor irlandés se centró en averiguar si WhatsApp había cumplido con sus obligaciones de transparencia conforme al RGPD,  particularmente en lo que respecta al  tratamiento de datos personales de los usuarios de la aplicación de mensajería (e incluso de titulares no usuarios ya que WhatsApp permite cargar números de no usuarios, si el usuario actualiza sus contactos); y a su intercambio con otras entidades del Grupo Facebook (recuérdese que Facebook adquirió WhatsApp en 2014). Como  consecuencia de esta investigación del IDPC, este organismo hizo público un borrador de decisión sancionadora que notificó a las Autoridades Supervisoras Competentes (CSAs) de la UE conforme a lo que exige el artículo del 60RGPD.

En su propuesta de sanción, el IDPC había identificado infracciones de los artículos 12-14 del RGPD por parte  WhatsApp, con respecto a los usuarios y a no usuarios, determinando que WhatsApp no les había proporcionado información suficientemente clara, transparente o adecuada sobre sus actividades de tratamiento. Fundamentalmente, el IDPC consideró que WhatsApp no había identificado con suficiente detalle la base jurídica para cada actividad de tratamiento, como lo requiere el Artículo 13 (1) (c) del RGPD. Y,  con respecto a las transferencias de datos personales a jurisdicciones fuera del EEE, determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el Artículo 13 (1) (f) del RGPD. En este último aspecto, según la propuesta de resolución sancionadora WhatsApp debería haber identificado con concreción si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos, y  determinó que la declaración de WhatsApp de que las transferencias «pueden» basarse en determinaciones de adecuación era insuficiente para cumplir con el artículo 13 (1) (f) del RGPD: WhatsApp debería haber identificado si existía o no una decisión de adecuación para respaldar la transferencia de categorías específicas de datos y no limitarse a una afirmación vaga.

Previamente a la notificación a otras CSAs, en diciembre de 2020, el IDPC había propuesto una multa de (30-50 millones €). Pero, fue objetada por ocho de las CSAs que recibieron la notificación, el asunto alcanzó al Supervisor Europeo de Protección de Datos, y la sanción finalmente impuesta  por el IDPC es de 225 millones €.

La intervención del Supervisor Europeo de Protección de Datos (SEPD)

Debido a la naturaleza transfronteriza de las actividades de tratamiento y trasferencia de datos de WhatsApp, el proyecto de decisión de la IDPC fue revisado por otras autoridades de supervisión relevantes, conforme al mecanismo de cooperación y coherencia del Capítulo VII del RGPD. Y , las objeciones formuladas  se remitieron al  Supervisor Europeo de Protección de Datos («SEPD»), de acuerdo con el procedimiento de resolución de disputas establecido en el artículo 65 (1) (a) del RGPD. Este último organismo ha adoptado una posición más estricta que el IDPC

El SEPD se opuso a la propuesta del IDPC. Frente a la opinión inicial de éste, que consideraba que WhatsApp había cumplido el ordenamiento sobre tratamiento de datos ( Artículo 13 (1) (d) del RGPD), el SEPD recordó, por el contrario, que el operador de mensajería instantánea debería haber identificado el interés específico para cada actividad de tratamiento relevante, para así garantizar que los interesados puedan ejercer los derechos que les asisten en virtud del RGPD. El SEPD también señaló que el efecto acumulativo de los incumplimientos por parte de WhatsApp tenía como consecuencia la violación del principio de transparencia contemplado en el Artículo 5 (1) (a) del RGPD, debido «a la “gravedad , la reiteración y el impacto de las infracciones». Y, en virtud de ello consideró que se había producido un incumplimiento adicional a lo establecido por la IDPC.

Por otra parte y con respecto a la cuantía de la multa inicialmente propuesta por la IDPC, la SEPD determinó que debería haberse tenido en cuenta  la facturación consolidada de Facebook Inc., matriz de WhatsApp. Además, si bien el IDPC había propuesto un compromiso único y conjunto a Facebook y WhatsApp en su proyecto de decisión, el SEPD recordó que según la jurisprudencia del TJUE ( Akzo Nobel and Others v Commission, (C-97/08 P, jsentencia de 10 septiembre 2009), cuando una empresa matriz y su filial conforman una unidad, a efectos de categorizar la infracción (aunque haya sido directamente cometida por la filial), debe tenerse en cuenta el volumen de negocios total de las empresas que componen la unidad, pues es éste el que determina la capacidad financiera de lo que , a estos efectos, se considera una empresa unitaria. El SEPD también consideró que el volumen de negocios consolidado era relevante para el cálculo de la multa en sí, no solo para garantizar que la multa no excediera los límites establecidos en el artículo 83 (4) – (6) del RGPD (lo que si respetaba lo propuesto por el IDPC), sino para que las sanciones sean  efectivas, proporcionadas y tengan efecto disuasorio.

Además, el SEPD aclaró que cuando se hayan cometido múltiples infracciones en el contexto de una misma o varias actividades de tratamiento vinculadas, todas esas infracciones deben tenerse en cuenta en el cálculo de la multa correspondiente a los efectos del artículo 83, apartado 3, del RGPD. Con el límite de que la sanción total no debe exceder la cantidad especificada para la infracción más grave.

Finalmente, el SEPD sostuvo que WhatsApp debe cumplir con sus actividades de tratamiento en un plazo de tres meses, a diferencia del período de tiempo original de seis meses propuesto por el IDPC, dada la importancia primordial del cumplimiento del principio de transparencia consagrado en el  RGPD. WhatsApp también debe actualizar sus avisos de privacidad para usuarios y no usuarios para incluir la información requerida en virtud de los artículos 13 y 14 del RGPD, incluso para aclarar cómo estos pueden  presentar una queja ante una autoridad supervisora con respecto a las actividades de tratamiento de WhatsApp.

La Decisión vinculante del SEPD y la Resolución sancionadora del IDPC

El 28 de julio de 2021, el SEPD adoptó una Decisión vinculante que fue notificada al IDPC. La Decisión del SEPD contenía instrucciones exigiendo al IDPC que procediese a una nueva valoración y que incrementase la sanción. Consecuencia de todo lo anterior, la multa efectivamente impuesta por el IDPC a WhatsApp Ireland Ltd y anunciada el 2 de septiembre de 2021 asciende a 225 millones € .

Junto con la sanción, el supervisor irlandés ha advertido a WhattsApp sobre la importancia de  reformar sus mecanismos de tratamiento de texto.

Aunque en su resolución, la IDPC concede a WhatsApp un plazo de 6 meses para adaptarse al RGPD, WhatsApp ha manifestado su intención de recurrir judicialmente

Software crítico en el sector público. Orden Ejecutiva sobre Ciberseguridad del Presidente Biden y su desarrollo

Según lo solicitado en la Orden Ejecutiva de Ciberseguridad («EO») del 12 de mayo de 2021 publicada por la Administración de Biden ( aquí ), el National Institute for Standards and Technology, NIST ha publicado su definición de «software crítico» dentro del plazo de 45 días que establecía la OE. Esta definición de «software crítico» representa un requisito, conforme a la OE, para dotar de seguridad a la cadena de suministro de software, especialmente en lo relativo a los proveedores de servicios para el ejecutivo Federal de Estados Unidos. Eventualmente, se reflejará en un  futuro Reglamento Federal de Adquisiciones obligatorio para los proveedores de software. Como es sabido, los documentos sobre seguridad del NIST acaban constituyendo una referencia de definiciones y estándares en todo el mundo, y muy especialmente en el ámbito de la ciberseguridad.

Acrobacias 2015
acrobacias2015

La definición de NIST de «software crítico» como se establece en su documento técnico publicado el 25 de junio de 2021 incluye a cualquier software  que influye directamente sobre otro software o sobre componentes de otro software («dependencias directas» y cuenta con al menos uno de estos atributos:

  • está diseñado para ejecutarse con permisos o privilegios o para administrar privilegios;
  • tiene acceso directo o privilegiado a redes o recursos informáticos;
  • está diseñado para controlar el acceso a datos o tecnología operativa;
  • realiza una función fundamental para los servicios «críticos de confianza»; o,
  • opera fuera de los límites de confianza normales, con acceso privilegiado.

El documento técnico especifica además, que  esa definición se aplica a software muy variado, como software independiente, software integral para dispositivos o componentes de hardware específicos, software basado en la nube; y tanto cuando ha sido adquirido por compra como cuando es desarrollado en sistemas de producción y utilizado para fines operativos. Sin embargo,  cuando se trata de software utilizado únicamente para investigación o pruebas , es decir, que no se implementa en sistemas de producción, estaría fuera del alcance de esta definición.

By M.A. Díaz

NIST proporciona también información sobre cuestiones terminológicas de la propia definición. Por ejemplo las «Dependencias directas sobre otro software” significa, para un componente o producto dado, “otros componentes de software (por ejemplo, bibliotecas, paquetes, módulos) que están directamente integrados y son necesarios para el funcionamiento de la instancia de software en cuestión. No incluye las interfaces y servicios de lo que de otra manera serían productos independientes «. En cuanto a «Crítico para la confianza» significa «categorías de software utilizadas para funciones de seguridad como control de red, seguridad de punto final y protección de red».

El documento técnico, destinado principalmente a los contratistas con la administración federal,  también ofrece un cuadro que explica cada categoría de software que considera «crítico para la EO», así como una lista de preguntas frecuentes (FAQ) y respuestas. Las categorías de software enumeradas en la tabla de NIST incluyen los destinados a gestión de identidades, credenciales y acceso (ICAM), los sistemas operativos, hipervisores, entornos de contenedores, los navegadores web, el software de control y protección de red, supervisión y configuración de redes, seguimiento y análisis operativos, copias de seguridad, almacenamiento remiro, entre otros.

 

 

Medidas para mejorar la ciberseguridad en las empresas

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son más graves, la reflexión relativa a los ciber-incidentes es más intensa. Van surgiendo sugerencias y recomendaciones expertas relativas prácticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM
  • Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisión de sus prácticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas prácticas son especialmente relevantes en sectores como el  del transporte de viajeros. ;   o en las empresas de transporte y distribución energética, por mencionar algunos de los que recientemente han sufrido grandes pérdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y  los eventos de 6 de mayo de 2021). También son importantes para la gestión pública de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibernéticos (véase los que afectaron a varias ciudades de Texas en 2019).

 

  • Otro conjunto de prácticas recomendadas para la prevención de riesgos cibernéticos consiste  en la contratación, mantenimiento y actualización de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos físicos susceptibles de recibir daños materiales fruto de una intervención ilícita en los sistemas digitales de la empresa; daños derivados de pérdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contratación de expertos que van desde la recuperación de datos electrónicos hasta el análisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado después de un ciberataque, o que éste decida interponerlos.  Hoy, las prácticas comerciales prudentes hacen que la contratación de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

 

NYC_by Jara IPM. One Trade Center Tower
  • Continuando en esta enumeración, la contratación de expertos externos especializados en la prevención y control de los ciberataques se considera una buena práctica. Los especialistas en ciberseguridad desempeñan un papel importante para minimizar la exposición, para detectar y supervisar los riesgos así como para establecer protocolos de seguridad de la infraestructura de información de una empresa. Como buena práctica, la contratación de estos expertos es también interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

 

  • No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la práctica, en los estándares de seguridad como NIST o ISO, y van penetrando el ámbito normativo positivo.  En este sentido, recordamos algunas entradas anteriores en este blog,  como la relativa al Responsable de Información (exigido a las administraciones conforme al Esquema Nacional de Seguridad y también a ciertas empresas que contratan con la administración), que debe ser una figura distinta del Responsable de Seguridad y también del Responsable del Servicio en los términos del Real Decreto 3/2010. O el Responsable de Seguridad de la Información en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunciábamos, estas figuras de altos ejecutivos se van haciendo habituales en la práctica  y han sido reforzadas mediante su inclusión en estándares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.

 

 

 

Responsable de seguridad de la Información en el Esquema Nacional de Seguridad Electrónica (para la administración pública y ) para algunas empresas privadas que contratan con la administración

Entrada que debe actualizarse conforme al: Nuevo Esquema Nacional de Seguridad

 

Esquema Nacional de Seguridad en el ámbito de la administración electrónica ( ENS) está regulado en el Real Decreto 3/2010 de 8 de enero

Hamburgo. Ayuntamiento. Epc

El objeto del ENS es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”. En principio se aplica  sólo a las administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”. Pero, como veremos,  afecta también a algunas empresas del sector privado.

Es recomendable que las entidades privadas que manejen datos sensibles, de alto riesgo, implanten este ENS ya que el RGPD, exige aplicar  medidas que resultan adecuadas a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc. de cada organización mediante análisis de riesgos previo, evaluaciones de impacto, etc. Pero además resulta obligatorio en los casos establecidos en la D.A. 1 de la Ley Orgánica 3/2018 de Protección de datos personales y garantía de derechos digitales, que se reproduce: 1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679. 2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos fue la primera en establecer el Esquema Nacional de Seguridad. En 2010 se aprobó el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.  Posteriormente, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad en su artículo 156 apartado 2 en similares términos. En 2015 se publicó la modificación del Esquema Nacional de Seguridad a través del Real Decreto 951/2015, de 23 de octubre, en respuesta a la evolución del entorno regulatorio, en especial de la Unión Europea, de las tecnologías de la información y de la experiencia de la implantación del Esquema.

Entre las obligaciones más destacables que derivan del ENS está la de clasificar los niveles de riesgo de ciberseguridad en tres grandes categorías (bajo, medio, alto) , así como  las correspondientes medidas aplicables a cada uno de esos niveles.

Otra obligación afecta a la gobernanza empresarial, pues conforme al ENS, las entidades afectadas deben nombrar a responsables específicos. Concretamente, conforme al art 10 del RD 3/2010 (ENS),  en los sistemas de información de las entidades sometidas a ese RD, se deben establecer tres figuras de responsabilidad distintas: el responsable de la información, el responsable del servicio y el responsable de la seguridad: El responsable de la información  será competente para determinar los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones  que deban adoptarse para satisfacer los requisitos de seguridad de la información y de los servicios.

Pero, adicionalmente, conforme al ENS la responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios. A todo esto se une que la política de seguridad de la organización, documento estratégico con el  que deben contar las entidades sometidas al ENS,  detallará las atribuciones de cada responsable, los mecanismos de coordinación y lo de resolución de conflictos.

Como adelantábamos, el ENS  también resulta aplicable a la empresa privada en algunos casos.

Para entender mejor el contexto,  recordemos que  la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD) adapta nuestro ordenamiento al Reglamento (UE) 2016/679”, RGPD. Y,  es aplicable tanto a la administración como a la empresa privada

  • El RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente el principio de “integridad y confidencialidad” establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental
  • El artículo 32 del RGPD, establece que teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Por tanto, las medidas de seguridad para proteger los datos personales no se recogen en una lista taxativa. Con este artículo 32, se introduce una suerte de  autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales, ya sean estos objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya
Vista de San Sebastian

La LOPD GDD, art 77, estableció, además, unos sistemas y medidas de protección de datos especiales ara la Administración Pública española. Ello se completa con la DA 1ª LOPD-GDD que establece un marco específico de seguridad en el sector público, a través del ENS, sustituyendo la autoevaluación del art 5.2 por un régimen específico para el sector público: “Medidas de seguridad en el ámbito del sector público:

  1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
  2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado
  3. En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad

Por lo tanto, en la distintas entidades de la DA 1 , apartado 3 LOPD-GDD, ya sea en calidad de responsable o encargado del tratamiento, han de  categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y  de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema. Ello para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten,

Casamento no Pazo

Cualquier entidad  privada que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia. Y, en efecto, es habitual que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

¿El papel de responsable de seguridad en estas empresas podrá corresponder, es decir, coincidir con el  RSI o Chief Information Security Officer (CISO) que deriva del RD  43/2021 -dentro del desarrollo del paquete NIS (Network Information and Security) ; al que aludíamos en entradas anteriores? Conforme al art 7 apartado 5 delReal Decreto 43/2021,  así sería, al menos en el caso de las empresas privadas sometidas tanto a NIS como al ENS. 

El Responsable de Seguridad de la Información – RSI/CISO en los operadores de servicios esenciales. RD 43/2021 que desarrolla el RD-l 12/2018 (seguimos con el paquete NIS)

El Boletín Oficial del Estado (BOE) publica el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. El texto completa la incorporación del  la Directiva (UE) 2016/1148 del Parlamento Europeo y  del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión Europea, conocida como Directiva NIS (Security of Network and Insformation Systems)

Cabanas, 2016

Recuérdese que a  finales del año 2018, la transposición de la citada Directiva NIS se llevó al ordenamiento jurídico español mediante el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. que  regula la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y los servicios digitales, estableciendo mecanismos que, con una perspectiva integral, permiten mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, y fija un marco institucional de cooperación que facilita la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea

En esta ocasión, el Real Decreto 43/2021, de 26 de enero, que publica el BOE, establece como ámbito de aplicación la prestación de los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas. Pero también la prestación de servicios digitales que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.

En el artículo 2.2. RD contempla que está sometidos a este nuevo Real Decreto «los operadores de servicios esenciales establecidos en España. En coherencia con lo ya expresado respecto de NIS, se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que estos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades. Así mismo, este real decreto será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.» También «los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión

Por contra, este Real Decreto no se aplica, según establece el artículo 2.3, a «los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.». Tampoco a «los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.«

Sanabria

Cabe destacar que en dicho Real Decreto:

  1. se establecen los requisitos de seguridad, así como las medidas para el cumplimiento de las obligaciones de seguridad,
  2. contempla en el plano normativo al responsable de la seguridad de la información o RSI, el CISO, que veíamos desarrollado en normas o estándares privados como ISO.
  3. se ocupa de la gestión de incidentes de seguridad
  4. detalla las obligaciones de notificación de los incidentes de los operadores de servicios esenciales: «Los operadores de servicios esenciales notificarán a la autoridad competente respectiva, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios, considerándose a tal efecto los incidentes con un nivel de impacto crítico, muy alto o alto, según el detalle que se especifica en el apartado 4 de la Instrucción nacional de notificación y gestión de ciberincidentes, que se contiene en el anexo de este real decreto. Asimismo, notificarán los sucesos o incidencias que, por su nivel de peligrosidad, puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, aun cuando no hayan tenido todavía un efecto adverso real sobre aquellos. A estos efectos, se considerarán los incidentes con un nivel de peligrosidad crítico, muy alto o alto, según el detalle que se especifica en el apartado 3 de la citada Instrucción«, reza el artículo 9.1 de este RD.

El RSI o CISO (para OSE)

En relación con el Responsable de Seguridad de la Información, el artículo 7  del RD 43/2021 insta a que esta figura mantenga «una comunicación real y efectiva con la alta dirección». Además, señala que su posición debe «facilitar el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad». Esta figura, ya sea una persona, unidad u órgano colegiado, deberá contar con medios personales y materiales para desarrollar su función. Ejercerá de punto de contacto y coordinación técnica con la autoridad competente y el CSIRT de referencia. El art 7 es de aplicación únicamente a los OSE

Entre las funciones del RSI/CISO está el  elaborar las políticas de seguridad y proponerlas para su aprobación por la organización. Estas políticas han de incluir las medidas técnicas y organizativas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados. Y, para prevenir y reducir al mínimo los efectos de los ciberincidentes

Se reproduce a continuación el art 7 del RD 43/2021:

Artículo 7. Responsable de la seguridad de la información.

  1. Los operadores de servicios esenciales designarán una persona, unidad u órgano colegiado, responsable de la seguridad de la información que ejercerá las funciones de punto de contacto y coordinación técnica con la autoridad competente y CSIRT de referencia que le corresponda de conformidad con lo previsto en el apartado tercero. En el supuesto de que el responsable de seguridad de la información sea una unidad u órgano colegiado, se deberá designar una persona física representante, así como un sustituto de este que asumirá sus funciones en casos de ausencia, vacante o enfermedad. El plazo para llevar a cabo dicha designación será de tres meses desde su designación como operador de servicios esenciales.
  2. Los operadores de servicios esenciales comunicarán a la autoridad competente respectiva la designación del responsable de la seguridad de la información dentro del plazo establecido en el apartado anterior, así como los nombramientos y ceses que afecten a la designación del responsable de la seguridad de la información en el plazo de un mes desde que aquellos se produzcan.
  3. El responsable de la seguridad de la información actuará como punto de contacto con la autoridad competente en materia de supervisión de los requisitos de seguridad de las redes y sistemas de información, y como punto de contacto especializado para la coordinación de la gestión de los incidentes con el CSIRT de referencia. Se desarrollarán bajo su responsabilidad, entre otras, las siguientes funciones:

a) Elaborar y proponer para aprobación por la organización, de conformidad con lo establecido en el artículo 6.2 de este real decreto, las políticas de seguridad, que incluirán las medidas técnicas y organizativas, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados y para prevenir y reducir al mínimo los efectos de los ciberincidentes que afecten a la organización y los servicios, de conformidad con lo dispuesto en el artículo 6.

b) Supervisar y desarrollar la aplicación de las políticas de seguridad, normativas y procedimientos derivados de la organización, supervisar su efectividad y llevar a cabo controles periódicos de seguridad.

c) Elaborar el documento de Declaración de Aplicabilidad de medidas de seguridad considerado en el artículo 6.3 párrafo segundo de este real decreto.

d) Actuar como capacitador de buenas prácticas en seguridad de las redes y sistemas de información, tanto en aspectos físicos como lógicos.

e) Remitir a la autoridad competente, a través del CSIRT de referencia y sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios a los que se refiere el artículo 19.1 del Real Decreto-ley 12/2018, de 7 de septiembre.

f) Recibir, interpretar y supervisar la aplicación de las instrucciones y guías emanadas de la autoridad competente, tanto para la operativa habitual como para la subsanación de las deficiencias observadas.

g) Recopilar, preparar y suministrar información o documentación a la autoridad competente o el CSIRT de referencia, a su solicitud o por propia iniciativa. El responsable de la seguridad de la información, para desarrollar estas funciones, se podrá apoyar en servicios prestados por terceros.

4. Los operadores de servicios esenciales garantizarán que el responsable de la seguridad de la información cumpla con los siguientes requisitos:

a) Contar con personal con conocimientos especializados y experiencia en materia de ciberseguridad, desde los puntos de vista organizativo, técnico y jurídico, adecuados al desempeño de las funciones indicadas en el apartado anterior.

b) Contar con los recursos necesarios para el desarrollo de dichas funciones.

c) Ostentar una posición en la organización que facilite el desarrollo de sus funciones, participando de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la seguridad, y manteniendo una comunicación real y efectiva con la alta dirección.

d) Mantener la debida independencia respecto de los responsables de las redes y los sistemas de información.

5. Siempre que concurran los requisitos de conocimiento, experiencia, independencia y, en su caso, titulación, las funciones y responsabilidades encomendadas al responsable de la seguridad de la información podrán compatibilizarse con las señaladas para el Responsable de Seguridad  del Esquema Nacional de Seguridad,  a lo que dedicamos la siguiente entrada de este blog

Tratamiento de datos personales y discriminación algorítmica en el entorno asegurador. A propósito de un libro reciente

JUNQUEIRA, Thiago, Tratamento dos Dados Pessoais e Discriminacão Algorítmica nos Seguros, Thomson Reuters /Revista dos Tribunais, São Paulo, 2020.

(Prologado por Anderson Schreiber; presentado por Bruno Miragem)

Presentábamos recientemente para consultor jurídico de Brasil,  este libro recientemente recibido de allende los mares. Su autor Thiago Junqueira es Doctor en Derecho por la Universidad del Estado de Rio de Janeiro,  Profesor  y Abogado socio, del reconocido bufete Chalfin, Goldberg & Vainboim Advogados.  Se reproduce a continuación, con adaptaciones, esa reseña, ahora en el marco del blog DerMerUle

Es estudio de Junqueira parte de la idea del carácter innovador del mundo asegurador para el Derecho. Justifica su afirmación en la frecuencia con la que, en efecto, los contratos de seguros suelen anticipar hitos importantes en el devenir de la evolución de algunas relaciones jurídicas especialmente en Derecho  privado. A través de ejemplos y fundamentos doctrinales clásicos, entre los que resulta paradigmática la tendencia objetivadora de la responsabilidad civil asegurada; Junqueira conduce al lector a otros supuestos actuales como es el de a tutela de los datos personales  en el marco de la contratación de seguros. Si esta cuestión ya ha sido objeto de atención doctrinal en años recientes, mayor reflexión merece a la luz del tratamiento algorítmico automatizado que hoy subyace a los cálculos matemáticos y actuariales esenciales en la industria aseguradora. Y es que, el carácter carácter necesario de las informaciones (inputs) que necesita la industria para poder asegurar riesgos, no obsta para que el tratamiento que se realice con tales datos deba valorarse a la luz de los derechos que asisten a los asegurados, y en concreto frente a la prohibición de discriminación.

Las vías sugeridas por Junquira para aminorar los riesgos derivados del tratamiento automatizado en el caso de las aseguradoras  reflejan una investigación lúcida y un profundo conocimiento tanto del ámbito jurídico de la protección de datos, como del de la responsabilidad y del asegurador.

El autor de esta obra se basa en  el análisis de figuras e institutos jurídicos tradicionales, propios de la teoría dogmática más clásica en derecho de seguros continental, brasileño y anglosajón. No deja de lado, por tanto,  cuestiones relativas al análisis de riesgos, la elaboración de perfiles, o su relación con el cálculo de las primas. Pero además, introduce en sus reflexiones las formulaciones teóricas más avanzadas sobre la privacidad, protección de datos personales y discriminación directa e indirecta. Todo ello, a la luz de la reciente aprobación en el país brasileño de una nueva Ley General de Protección de Datos Personales – LGPD, que introduce entre otras instituciones, una regulación básica sobre la discriminación directa. También se contemplan en esta obra formulaciones científicas que se van asentando en la doctrina como la de la llamada “justicia actuarial” o de la intimidad informática, ahora aplicada a los tratamientos con inteligencia artificial.  Y es que el  panorama actual relativo a la discriminación por el tratamiento de datos en los seguros  tiene sus raíces  en formulaciones doctrinales y jurisprudenciales clásicas nacionales y comparadas, y se proyecta hacia nuevos panoramas

El volumen se divide en tres grandes partes.

  • En el primer capítulo se examina la clasificación de los riesgos por parte del asegurador en la llamada ciencia actuarial. Tras subrayar la base económica y social de la clasificación del riesgo, y su apoyo jurídico – normativo, el autor  aborda una cuestión nuclear: la dificultad de comprensión de los presupuestos y procesos actuariales para el iusprivatista.  Conceptos como el de «generalización del riesgo» o ll de la «correlación» , propios de formulaciones actuariales van más allá de la causalidad jurídica. También aborda la relación entre los criterios de medición actuarial utilizados por la aseguradora, con el deber de protección de la intimidad del asegurado y con las  prohibiciones de discriminación. En este sentido, destaca Junqueira  como  algunos datos personales, de género o de étnica son objeto de tratamiento con consecuencias discriminatorias directas o indirectas.
  • El segundo capítulo se centra en la dicotomía entre la necesidad de prevenir discriminaciones en el tratamiento inteligente de datos, y el requisito de valorar riesgos como base de la eficacia y de la sostenibilidad del negocio asegurador. Y, centrando la cuestión, investiga las posibles estrategias para prevenir la discriminación racial algorítmica en la clasificación de riesgos. A este respecto, Thiago Junqueira formula una proposición innovadora en el sentido de que la tutela frente a la discriminación en sus diversas facetas, debe observarse no sólo en su perspectiva directa, sino también en la indirecta. La discriminación indirecta es  más difícil de combatir pues a menudo se basa en datos de apariencia neutra.
  • En la parte final o tercer capítulo, posiblemente la más innovadora del libro, el Doctor ofrece estrategias preventivas en el tratamiento de datos,  en particular en lo relativo a evitar la discriminación racial  susceptible de general  discriminación indirecta. Así, en lugar de una aproximación de control en cuanto a los inputs, u informaciones de recogida por parte de los aseguradores, presenta la opción de favorecer un control de outputs, esto es de los servicios y ofertas aseguradoras para evitar también la discriminación indirecta. En efecto, frente a la fairness through blindness conocida en el mundo anglosajón,  actualmente se proponen regímenes de fairness through awareness (FTA). El FTA implica, o puede hacerlo, la necesidad de conocer datos sensibles por parte de la aseguradora, precisamente para equilibrar los cálculos actuariales en su programación automatizada basada en una justicia desde el diseño, design fairness o privacy from design. Son abundantes, pertinentes y muy interesantes las reflexiones doctrinales y jurisprudencia bien traída en este libro. Principalmente casos norteamericanos, de los que se evidencia que, frente a prohibiciones de discriminación directa que posiblemente puedan abordarse con cierto éxito desde la “ceguera”, la combinación de la automatización en las decisiones actuariales con la proyección de la discriminación indirecta evidencia la insuficiencia de un tratamiento consistente en la mera eliminación de datos. Apuntaría el autor, o eso creo, a favorecer una suerte de discriminación positiva en el cálculo algorítmico una “discriminación (positiva) por concienciación. Una discriminación, pero no tanto en lo relativo a los resultados, o dicho de otro modo, no tanto aplicando una reducción en la prima de seguros cuando el asegurado pertenezca a un grupo racial concreto. Sino, contrarrestando algunos efectos que la inteligencia artificial tiende a asignar, que derivan de cuestiones socio económicas y que en realidad, no tendrían impactos significativos sobre el riesgo pero que tienen consecuencias en el encarecimiento de los seguros para los grupos humanos en cuestión. En el fondo, se plantea la necesidad de que el legislador efectúe controles preventivos, más que a posteriori, para lograr un equilibrio entre nuevas tecnologías automatizadas y tutela de derechos fundamentales. Y, de contar con mecanismos comprensibles  que no abandonen del todo el ámbito del control humano y por tanto de la responsabilidad. En efecto transparencia y accountability se configuran en esta obra, como pilares en el devenir de una industria aseguradora apoyada en la inteligencia artificial,  pero no hasta el punto de abrazar sin filtro las inferencias y deducciones que conllevarían consecuencias nocivas en el terreno de los Derechos Humanos, entre ellos los derivados de la discriminación en el tratamiento automatizado de datos personales.

 

Las últimas páginas del libro se dedican a exponer en modo claro y sucinto el conjunto de 21 conclusiones a las que llega el Doctor, y a recoger la importante batería bibliográfica y documental nacional y comparada, en la que ha basado su investigación.

Reiteramos nuestra felicitación y agradecimiento por el regalo de este importante trabajo, quedamos a espera de las futuras obras del Doctor. Y, sin duda animamos a los interesados en tanto en el mundo asegurador, como en el de la inteligencia artificial desde el derecho privado, a utilizar este trabajo que encontrarán de gran utilidad.

ENISA, la (renovada) Agencia Europea de Ciberseguridad

El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69),  renueva el mandato de la Agencia Europea de Ciberseguridad, (de forma permanente a partir del 27 . 06. 2019)

 

ENISA está situada en Heraclitón, Grecia  desde 2004. Su misión es contribuir a la política cibernética de la UE, mejorar la confiabilidad de los productos, servicios y procesos de TIC fomentando la puesta en marcha de sistemas de certificación de ciberseguridad. Coopera con los Estados miembros para impulsar la resiliencia de la infraestructura de la Unión, así como para mantener la seguridad digital en la UE.

Las tareas de ENISA son, más concretamente:

  • contribuir al desarrollo y a la ejecución del Derecho de la UE en materia de ciberseguridad;
  • promover la creación de capacidades, la mejora de la prevención, la detección y el análisis de ciberamenazas,  así como de la respuesta a las mismas
  • apoyar el desarrollo de equipos de respuesta a incidentes de seguridad informática (CSIRT) y a la organización de ejercicios de ciberseguridad a escala de la UE;
  • apoyar la cooperación operativa de la UE, especialmente mediante su equipo de respuesta a emergencias informáticas de la UE (CERT-UE), que apoya el el intercambio de conocimientos y de mejores prácticas para el  mantenimiento de las redes de la UE y los CSIRT nacionales;
  • apoyar y promover el desarrollo y la ejecución de certificados de ciberseguridad de la UE para productos, servicios y procesos de TIC, en el marco de un nuevo marco europeo de certificación de la ciberseguridad;
  • recoger y analizar datos e información sobre ciberseguridad, especialmente sobre tecnologías emergentes, ciberamenazas e incidentes;
  • sensibilizar al público sobre los riesgos relacionados con la ciberseguridad, facilitar buenas prácticas para usuarios individuales y promover la concienciación y la educación en general en materia de ciberseguridad;
  • asesorar sobre necesidades y prioridades de investigación y contribuir a la agenda estratégica de la UE en materia de innovación e investigación de ciberseguridad;
  • contribuir a la  cooperación de la UE en el plano internacional.

La estructura administrativa y de gestión de ENISA está integrada por:

  • un Consejo de Administración con 1 representante de cada país de la UE y 2 miembros designados por la Comisión Europea, que establece la dirección general de las actividades de la agencia;
  • un Comité Ejecutivo de 5 miembros que prepara las decisiones que adoptará el Consejo de Administración;
  • un Director Ejecutivo independiente, que da cuenta de su gestión al Consejo de Administración e informa al Parlamento Europeo y al Consejo cuando así se le solicita, es el responsable de gestionar la agencia;
  • un Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, pymes, consumidores, académicos, y operadores de servicios esenciales, y también por representantes de las autoridades competentes recogidas en la Directiva (UE) 2018/1972 por la que se establece el Código Europeo de las Comunicaciones Electrónicas, organizaciones de normalización y autoridades de supervisión policial y de protección de datos, que se centra en asuntos de interés para las partes interesadas y los ponen en conocimiento de ENISA;
  • una red de funcionarios de enlace nacionales que consta de representantes de todos los países de la UE y que facilita el intercambio de información entre estos y ENISA, a la que apoya en la difusión de sus actividades, conclusiones y recomendaciones.
  • el Reglamento  configura ahora además un Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad, (GPICC)  compuesto por expertos de reconocido prestigio, que se encarga de asesorar a la Comisión en asuntos estratégicos relativos al marco de certificación de la UE en materia de ciberseguridad y a ENISA, si así lo solicita, sobre asuntos generales y estratégicos relativos a las labores pertinentes de la agencia; y un Grupo Europeo de Certificación de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisión en sus tareas para garantizar la coherencia en la ejecución y la aplicación del Reglamento, y a ENISA en lo concerniente a la preparación de posibles esquemas de certificación de la ciberseguridad.

ENISA ha firmado acuerdos con los organismos Europeos de Normalización (CEN, CENELEC, ETSI) y colaborará con ellos

Ciberseguridad de infrastructuras energéticas. Situación en los países de la UE.

Damos noticia del Informe sectorial sobre  ciberseguridad en las infraestructuras de energía y más concretamente de las medidas nacionales que se han ido poniendo en marcha al amparo del  articulo 5 de la Directiva 1148/2018 o Directiva NIS en relación con los OPERADORES DE SERVICIOS ESENCIALES,  en energía: Sectorial implementation of the NIS Directive in the Energy sector ( Report -CG Publication 03/2019 ) Oct 2019

 

Cabanas, 2016

Se trata de un documento elaborado por la Autoridad de Energía de Austria, la Comisión Europea y ENISA, en el marco del GRUPO DE COOPERACIÓN NIS. Da repaso a la incorporación nacional al Régimen de Operadores de Servicios Esenciales conforme a NIS, en lo relativo a las entidades públicas o privadas  de uno de los tipos que figuran en el anexo II-1 de la Directiva (Operadores de Servicios Esenciales del sector de la energía). En esta primera etapa de aplicación de NIS, no es cuestión poco relevante la propia identificación de los sectores a los que debe aplicarse

 

a) Electricidad:

  • Empresas eléctricas, tal como se definen en el artículo 2,punto 35, de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo. Son empresas que efectúan la función de «suministro» definida en el artículo 2, punto 19, de dicha Directiva.
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/72/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/72/CE.

b) Crudo

  • Operadores de oleoductos de transporte de crudo.
  • Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.

c) Gas

  • Empresas suministradoras, tal como se definen en el artículo 2, punto 8, de la Directiva 2009/73/CE del Parlamento Europeo
    y del Consejo
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/73/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/73/CE.
  • Gestores de almacenamiento, tal como se definen en el artículo 2, punto 10, de la Directiva 2009/73/CE.
  • Gestores de la red de GNL, tal como se definen en el artículo 2, punto 12, de la Directiva 2009/73/CE.
  • Compañías de gas natural, tal como se definen en el artículo 2, punto 1, de la Directiva 2009/73/CE.
  • Gestores de las instalaciones de refinado y tratamiento de gas natural  que reúna los criterios establecidos en el artículo 5, apartado 2;

(recuérdese que en los relativo a los OSE la Directiva permite una ampliación nacional de su consideración. Así, en España se unen también los operadores de servicios esenciales que dependan de las redes de información en los sectores contemplados en la Ley 8/2011 de infraestructuras críticas)

Hamburgo. Ayuntamiento. Epc

El informe incluye información sobre los modelos de gobernanza elegidos en cada país y las mejores prácticas a nivel nacional. Presenta las capacidades de ciberseguridad de las asociaciones, organizaciones y organismos de la UE con un papel en el sector energético. Además, proporciona una visión general de los diferentes esquemas de colaboración público-privada en los países miembros de la UE.  De conformidad con la Recomendación de la Comisión de 3.4.2019 sobre ciberseguridad en el sector energético , el documento apoya a los Estados miembros a abordar las especificidades del sector energético en materia de ciberseguridad: requisitos de seguridad en tiempo real, efectos en cascada, estado de la técnica etc. Más específicamente, el informe aporta un interesante «mapeo» de los contenidos de la Recomendación de la Comisión en relación con los estándares internacionales (por ejemplo, ISO) y las buenas prácticas.

Dado que la Recomendación requiere que los Estados miembros comuniquen información sobre su aplicación a la Comisión, a través del Grupo de Cooperación NIS (dentro de los 12 meses de su adopción), este documento será útil como modelo o plantilla para los informes.

Junto a este informe del Grupo de Cooperación NIS cabe mencionar trabajos previos que también resultan de importancia como

Relacionado:

Derecho al olvido, datos sensibles especialmente protegidos, y los gestores de búsqueda. Conclusiones del Abogado General del TJUE

En el asunto Caso C – 136/17, el Abogado General Szpunar propone al Tribunal de Justicia que declare que los gestores de motores de búsqueda deben aceptar sistemáticamente las solicitudes de desreferenciación de datos sensibles, si bien, dichos gestores deben garantizar la protección del derecho de acceso a la información y del derecho a la libertad de expresión.

En los hechos subyacentes encontramos el conflicto entre varios particulares y la Commission nationale de l’informatique et des libertés (Francia) (CNIL) en relación con cuatro decisiones adoptadas por ésta que se negó a requerir a Google Inc. para que procediera a la desreferenciación de diversos vínculos incluidos en la lista de resultados obtenida a raíz de una búsqueda efectuada a partir de sus apellidos, y que llevan a páginas de Internet publicadas por terceros.

Las páginas de Internet en cuestión contenían un fotomontaje satírico contra una política, publicado usando un pseudónimo;  un artículo sobre el responsable de relaciones públicas de la Iglesia de la Cienciología (uno de los interesados);  la investigación de la que fue objeto un político y la condena de otro interesado por hechos constitutivos de un delito de agresión sexual a un menor.

Carnaval.-

Habiendo interpuesto los interesados sendos recursos ante el Conseil d’État (Consejo de Estado, actuando como Tribunal Supremo de lo Contencioso-Administrativo, Francia) mediante los que impugnan las decisiones de la CNIL de negarse a requerir a Google para que proceda a la desrefererenciación solicitada, dicho órgano jurisdiccional plantea varias cuestiones al Tribunal de Justicia en relación con la interpretación de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en vigor a la sazón).

 

  • Mediante su primera cuestión prejudicial, el Conseil d’État desea saber si los gestores de motores de búsqueda se hallan sometidos a la prohibición de tratar datos pertenecientes a ciertas categorías especiales (como son las opiniones políticas, las convicciones religiosas o filosóficas, o la sexualidad), que como es sabido se someten a especialidades en el ámbito del tratamiento de datos. En sus conclusiones el Abogado General Maciej Szpunar interpreta las disposiciones de la Directiva 95/46 de modo que se tengan en cuenta las responsabilidades, competencias, y posibilidades de los motores de búsqueda. Así, subraya, que las prohibiciones y restricciones establecidas en la Directiva 95/46 no pueden aplicarse a los gestores de motores de búsqueda como si ellos mismos hubieran incluido los datos sensibles en las páginas de Internet referenciadas. Dado que  los motores de búsqueda no intervienen hasta después de la publicación en línea de los datos (sensibles), tales prohibiciones y restricciones solo pueden aplicárseles en razón de esa referenciación, realizando una verificación a posteriori cuando la persona afectada presente una solicitud de olvido. El AG propone al TJUE que la prohibición de tratar datos pertenecientes a ciertas categorías especiales impuesta a los demás responsables del tratamiento  si se aplica a las actividades de los gestores de motores de búsqueda.
  • La segunda cuestión planteada por el Conseil d’État al Tribunal de Justicia versa sobre la existencia de una obligación sistemática de desreferenciación a cargo de los gestores de motores de búsqueda. El Abogado General recuerda que la Directiva 95/46 prohíbe el tratamiento de datos sensibles. En consecuencia, afirma que la prohibición impuesta a los gestores de motores de búsqueda de tratar datos sensibles les obliga a aceptar sistemáticamente las solicitudes de desreferenciación relativas a vínculos que lleven a páginas de Internet en las que figuren tales datos sensibles, sin perjuicio de las excepciones previstas en la Directiva 95/46. El Abogado General considera, en efecto, que resultan aplicables las excepciones a la prohibición de tratamiento de datos sensibles previstas en la Directiva 95/46, si bien es cierto que algunas de esas excepciones parecen  teóricas en lo que concierne a su aplicación a los motores de búsqueda.
  • Después, el Abogado General aborda la cuestión de las excepciones autorizadas en virtud de la libertad de expresión y de su conciliación con el derecho al respeto de la vida privada.  Propone al Tribunal de Justicia que responda que, cuando el gestor de un motor de búsqueda recibe una solicitud de desreferenciación relativa a datos sensibles, este debe llevar a cabo una ponderación entre, por un lado, el derecho al respeto de la vida privada y el derecho a la protección de datos;  y por otro lado, el derecho del público al acceso a la información de que se trate y el derecho a la libertad de expresión de aquel de quien emana la información.

    Riaño, by Ricardo Castellanos Blanco
  • Por último, el Abogado General aborda la cuestión de las solicitudes de desreferenciación relativas a datos personales que resulten incompletos, inexactos u obsoletos, como, por ejemplo, artículos de prensa relativos a una etapa anterior a la finalización de un procedimiento judicial. El Abogado General propone al Tribunal de Justicia que declare que, en tales circunstancias, el gestor de un motor de búsqueda ha de proceder, caso por caso, a una ponderación entre, por unlado, el derecho al respeto de la vida privada y el derecho a la protección de datos en virtud de los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea y, por otro lado, el derecho del público al acceso a la información de que se trate, tomando asimismo en consideración el hecho de que dicha información entre dentro del ámbito periodístico o constituya una expresión artística o literaria.

Más:

 

ICO, tokens y aplicación de la Ley de Mercado de Valores. Criterios de la CNMV

La CNMV ha publicado  los criterios iniciales de actuación que está llevando a cabo frente a las Initial Coin Offering (ICO).

Reconoce el supervisor español que la complejidad de la materia hace que los criterios estén sometidos a una revisión constante, pero aún así,  avanza en la determinación de los de aplicación en España para este tipo de mecanismos de financiación empresarial.

NYC_by Jara IPM. One Trade Center Tower
Calificación de los Tokens como valores negociables.

 

 

 

Supervisión de las entidades autorizadas a  emitir y comercializar ICOs.

El texto se ocupa también de la necesidad y alcance de la intervención de entidades autorizadas para prestar servicios de inversión, cuestión en la que remite al art. 35.3 de la Ley del Mercado de Valores (LMV), y a sus “Preguntas y Respuestas dirigidas a empresas FinTech sobre actividades y servicios que pueden tener relación con la CNMV”

  • Mínimamente, la entidad autorizada para prestar servicios de inversión a efectos de la comercialización debe realizar una supervisión general del proceso y validar la información a entregar a los inversores, que deberá ser clara, imparcial y no engañosa y referirse a las características y riesgos de los valores emitidos, así como a la situación jurídica y económico-financiera del emisor de una manera suficientemente detallada como para permitir que el inversor pueda tomar una decisión de inversión fundada.
  • En este momento se permite que la entidad autorizada a la ICO no valide la información que remite a los inversores, salvo incluir advertencias destacadas acerca de la naturaleza novedosa de la tecnología de registro y que la custodia de los instrumentos no se realiza por una entidad autorizada para prestar servicios de inversión.
Intermediación y custodia.
  • No se considera necesaria la intervención generalizada de entidades autorizadas para colocar valores porque las ICO se consideran actividades normalmente ocasionales. En cambio, la reserva de actividad a las entidades autorizadas prevista del artículo 144.1 LMV (en relación con el artículo 140 e) y f) del mismo cuerpo legal) requiere que la actividad se realice “con carácter profesional o habitual”.
  • Similarmente, no se exigirá la intervención de entidades de custodia de valores, pues su intervención sólo es necesaria conforme al 44.1 LMV (en relación con el artículo 141 a) LMV ) cuando la actividad se realice “con carácter profesional o habitual”.
Representación de las ICO y negociación.
Cantábrico (Asturias)

El texto establece la diferencia entre los requisitos de representación (así como de supervisión e intermediación) cuando la ICO se comercializa en España o en otra jurisdicción.

  • Por lo que respecta a España:
    • El artículo 6.1 de la LMV permite interpretar que es posible que ciertos valores no se representen por medio de anotaciones en cuenta o títulos. Por tanto, no puede excluirse la posibilidad del registro de derechos a través de la tecnología DLT (blockchain).
    • La negociación en mercados regulados, SMN o SOC españoles el artículo 6.2 LMV exigiría que estuviesen representados por medio de anotaciones en cuenta. Y el artículo 8.3 LMV sobre entidades encargadas de la llevanza de registros contables que responden frente a los perjudicados por la falta de las inscripciones, por las inexactitudes y retrasos en las mismas y, en general, por el incumplimiento culposo o doloso de sus obligaciones legales, obligaría a que la llevanza del registro se realizara por un depositario central de valores. La gestión del centro de negociación debería realizarse por una ESI o por una entidad rectora de un mercado, y estarían sujetas en general a la normativa del mercado y al ámbito de supervisión de la CNMV. Adicionalmente, las ICO estarían sometidas a la necesidad de representación mediante anotaciones en cuenta y a  la participación de un depositario central de valores.
    • En caso de preferir generar un mercado interno en una plataforma privada no regulada o la negociación en una plataforma (exchange) localizada en España, la ICO encontraría otros problemas pues los tokens considerados valores negociables darían lugar a la obligación de que estas plataformas contasen con las autorizaciones exigibles para ejercer su actividad como centro de negociación (como mercado regulado, SMN o SOC); o bien como empresa de servicios de inversión (ESI) o entidad de crédito que opere como internalizador sistemático (IS), con sus respectivos requisitos.
    • Con todo, el artículo 6.2 sólo es aplicable a los tokens que se negocien en un mercado español.
  • Ahora bien, si los tokens se van a negociar en mercados no españoles, la CNMV no es competente para exigir que estén representados mediante anotaciones en cuenta. Por el contrario, será la ley (y la autoridad competente) del país en el que se encuentre el mercado en el que vayan a negociarse los tokens, la que determine en qué medida es exigible una forma concreta de representación para su negociación en un mercado organizado, así como otros requisitos cuales que la llevanza del registro se realice por un depositario central de valores.

 

Rey Alfonso V de León
Sobre el folleto informativo. 
  • Dado que la mayoría de las operaciones que se están planteando pueden ampararse en el artículo 35.2 LMV (relativo a las situaciones en las que no existe obligación de publicar un folleto), en el texto del que se da noticia se aconseja a los emisores que se atengan a los criterios del artículo 35.3 LMV, porque la elaboración de un folleto para una ICO puede encontrarse con dificultades debido a la ausencia de un modelo armonizado a nivel europeo, que a su vez, puede generar disfunciones con otras autoridades europeas respecto del pasaporte del folleto aprobado por la CNMV.
  • Cuando resulte necesario un folleto por las características de la operación, la CNMV adelanta que realizará la adaptación y tendrá en cuenta el principio de proporcionalidad (máxime cuando es previsible que las operaciones no sean de gran tamaño) a efectos de reducir en lo posible la complejidad y extensión del documento.

Más

Sobre las ICO en España, ver:

Más allá: