Esquemas EU de certificación de ciberseguridad (y ya publicado el primer EECC)

Pelargonium hortorum (geranio rojo)

Con el desarrollo de la certificación de ciberseguridad a escala de la UE se pretende armonizar el reconocimiento del nivel de ciberseguridad de las soluciones TIC en toda la Unión.

Los sistemas de certificación de la UE son desarrollados por ENISA dentro del marco definido en el Reglamento sobre Ciberseguridad (Reglamento 881 /2019), mediante los procedimientos y sistemas de trabajo de esta Agencia  y teniendo en cuenta los sistemas y normas existentes de los que se nutren los esquemas.

Son esquemas europeos de ciberseguridad que se irán aprobando son -en principio- voluntarios. Su seguimiento potencia el Mercado Único Digital de la UE. Sirven para demostrar el cumplimiento de sus requisitos. En algunos casos, a través de normas de derecho positivo escrito, pueden llegar a ser  obligatorios. En particular, alguna legislación ya alude a los esquemas europeos de certificación de ENISA:

la Directiva para un alto nivel de ciberseguridad en toda la Unión (NIS2), en especial en lo relativo a entidades que gestionan infraestructuras críticas,
– la propuesta de Reglamento relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (Reglamento eIDAS) con el Reglamento Wallet/elDAS2
– la propuesta de Reglamento de Ciberresiliencia (CRA), que añade la ciberseguridad a los criterios para obtener el marcado CE en la fabricación de determinados productos,
– la propuesta de sobre Inteligencia Artificial.

 

Definición de Esquema europeo de certificación de la ciberseguridad de la UE:  es un conjunto completo de reglas, requisitos técnicos de ciberseguridad, normas y procedimientos de evaluación, definidos a nivel de la UE y aplicables a la certificación de productos, servicios o procesos específicos de TIC.

  • Cada certificado de ciberseguridad de la UE acredita que un producto, proceso o servicio de TIC ha superado una evaluación de conformidad con dicho régimen y que cumple los requisitos y normas de ciberseguridad especificados.
  • La certificación la realiza un organismo de evaluación de la conformidad (OEC/CAB), que puede auditar y/o probar y/o certificar. Todos los certificados serán publicados por ENISA en un sitio web específico.
  • Dependiendo del riesgo de ciberseguridad asociado al uso previsto de la solución TIC que se va a certificar, se puede elegir un nivel de ciberseguridad diferente que el solicitante define. Cada esquema indica si la certificación tiene un nivel de garantía «básico», «sustancial» o «alto»

Los primeros EEC::

Rododendro
  • EUCC. El Esquema Europeo de Certificación de Ciberseguridad sobre Criterios Comunes, el primer esquema, se dirige a las TIC, tales como productos y componentes de hardware y software. El 31 de enero de 2024, la Comisión Europea aprobó el acto de ejecución por el que se pone en marcha el sistema de certificación. ENISA está publicando los documentos de referencia que respaldan el sistema y que se enumeran en su Anexo 1.

A continuación:

  • EUCS El Esquema Europeo de Certificación de Servicios en la Nube  se encuentra en trámite de análisis por parte del ECCG.
  • EU5G El Esquema Europeo de Certificación de Ciberseguridad para 5G se desarrolla en dos fases. Durante una primera fase que finalizó en otoño de 2022, ENISA, los expertos reunidos en un grupo de trabajo ad hoc con la Comisión de la UE y los Estados miembros analizaron las evaluaciones industriales existentes y los esquemas de certificación y sus actualizaciones necesarias para cumplir con la Ley de Ciberseguridad. La segunda fase se abre con una consulta pública
  • ¿Inteligencia Artificial? Con vistas a la adopción del proyecto de Reglamento de la UE sobre Inteligencia Artificial, ENISA está evaluando si la IA podría ser objeto de certificación en materia de ciberseguridad y de qué manera, así como el modo en que podrían reutilizarse los esquemas en curso de elaboración. Este trabajo es preparatorio, ya que ENISA no ha recibido una solicitud para desarrollar un esquema de certificación por parte de la Comisión Europea

 

Arquitectura en la elaboración y utilización de los EEC

Hortensia atlántica
Hortensia atlántica
  • Comisión Europea La iniciativa de elaborar un EECC es de la Comisión Europea que lo plantea a ENISA. ENISA, una vez que tiene una propuesta, la remite a la Comisión quien la adopta a través de legislación administrativa, Reglamentos de Ejecución
  • ENISA. La elaboración corresponde a ENISA que actúa como coordinadora y anfitriona de grupos de trabajo
  • Partes interesadas y público general Al desarrollar los esquemas de ciberseguridad de la UE, ENISA trabaja con una amplia variedad de partes interesadas en la ciberseguridad. Por ejemplo, las partes interesadas pueden formar parte del «grupo de trabajo ad hoc» de expertos que apoya a la ENISA en el desarrollo de un determinado esquema. Asimismo, es posible invitar a las partes interesadas a participar en proyectos piloto o «pruebas de concepto» para poner a prueba algunos o más elementos de un régimen de la UE (por ejemplo, viabilidad, posibles procedimientos o procesos o métodos de evaluación) antes de su aplicación. Por otro lado, cuando un esquema se encuentra en una fase avanzada de desarrollo, también puede haber consultas públicas, por ejemplo sobre proyectos de regímenes. Una vez implantado, el sistema debe actualizarse y adaptarse a los cambios que se produzcan en el entorno de la ciberseguridad. Los procesos, procedimientos y métodos de evaluación deben mantenerse, evaluarse y revisarse  y en estos procesos también participan las partes interesadas por invitación de ENISA.
  • Entrada en vigor: Para ser efectivo, un proyecto de esquema elaborado por ENISSA a petición de la Comisión debe ser aprobado por un acto legislativo de la UE , «acto de ejecución» y en él se establece un periodo para que los Estados miembros preparen el funcionamiento del sistema antes de expedir los certificados.
  • Organismos de Evaluación de la Conformidad (OEC/CAB) .Los OEC/CAB que estarán acreditados para emitir certificados o realizar actividades de evaluación (ensayos, auditorías) para estos esquemas.. Los sistemas de certificación de ciberseguridad crean un mercado europeo para organismos de evaluación de la conformidad (OEC/CAB ) que podrán ofrecer sus servicios de certificación así como herramientas y servicios de evaluación relacionados en toda la UE. Estos OEC/CAB trabajar en los esquemas de certificación de la UE de dos formas distintas: como evaluadores (mediante auditorías/ensayos) y/o como certificadores. Deben cumplir una serie de requisitos antes de poder realizar tales actividades:
    Para poder evaluar y certificar de acuerdo con los regímenes de certificación de la UE, los OEC deberán estar acreditados por su organismo nacional de acreditación.
    Una vez acreditados para un esquema europeo de certificación de la ciberseguridad, la Autoridad Nacional de Certificación de la Ciberseguridad (ANC) deberá notificar su acreditación a la Comisión.
    Si un OEC quiere ser elegible para certificar una solución TIC bajo el nivel de garantía «alto», puede necesitar cumplir requisitos adicionales. El procedimiento para cumplir estos requisitos lo realiza la ANC y se denomina «autorización». Esta «autorización» también debe notificarse a la Comisión.
  • Usuarios de los certificados Los certificados de ciberseguridad de la UE se conceden a productos y servicios TIC certificados con arreglo a los regímenes de certificación de ciberseguridad de la UE. Demuestran que las soluciones probadas son resistentes a determinados niveles de seguridad y establecen procesos de reparación teniendo en cuenta los últimos avances del estado de la técnica. Como están reconocidos en toda la UE permiten a los proveedores de productos y servicios mostrar la conformidad de su solución con un esquema específico, nivel de garantía, ámbito de aplicación y, potencialmente, extensión o perfiles de seguridad. Los usuarios de soluciones TIC pueden considerar los certificados de ciberseguridad como una demostración de que una solución específica cumple los requisitos de seguridad definidos.
  • Autoridades Nacionales de Certificación en Ciberseguridad ( ANC). Como exige la Directiva sobre Ciberseguridad, cada Estado miembro ha designado una ACNC que se responsabilizará de supervisar, acreditar y controlar la certificación de ciberseguridad de la UE a nivel nacional y de intercambiarla a nivel de la UE. Cada Estado miembro puede optar por expedir certificaciones de conformidad de ciberseguridad de la UE. Las Autoridades Nacionales de Certificación en Ciberseguridad («ANC») supervisan y controlan el cumplimiento del régimen de los certificados expedidos por las OEC en su Estado miembro.
  • Sistemas nacionales. Cada sistema de certificación de ciberseguridad de la UE prevé un periodo de transición tras el cual los sistemas nacionales pertinentes dejan de tener efecto.
    En otras palabras, los certificados expedidos en virtud de estos regímenes dejan de ser válidos. Para garantizar una aplicación sin problemas, la transición de los regímenes existentes a los regímenes de la UE se lleva a cabo en estrecha colaboración con todas las partes interesadas; por ejemplo, se elaborarán orientaciones para los organismos de certificación de ciberseguridad que operan con regímenes nacionales. Por lo tanto, los OEC no deben interrumpir sus actividades relacionadas con los regímenes existentes.
  • Duración. Los certificados son válidos durante un tiempo limitado que puede ampliarse mediante una nueva evaluación de la solución.
  • Certificación la certificación es voluntaria, a menos que la normativa de la UE o de los Estados miembros especifique lo contrario.

 

Ciber resiliencia de productos . Propuesta (UE) de reforma del régimen de responsabilidad del fabricante (Y marcado CE de ciberseguridad)

La Comisión presentó una propuesta de nueva Ley de Ciberresiliencia  o Reglamento Propuesta de Reglamento relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) 2019/1020 (COM(2022) 454 final).  Introduce requisitos obligatorios de ciberseguridad para los productos con elementos digitales, a lo largo de todo su ciclo de vida. Sobre aquella propuesta habíamos comentado aquí.

La propuesta se basa en el nuevo marco legislativo de la UE en materia de productos y establece por un lado, normas para la comercialización de productos con elementos digitales para garantizar su ciberseguridad; por otro requisitos esenciales para el diseño, el desarrollo y la producción de productos con elementos digitales, y obligaciones para los operadores económicos en relación con estos productos; también requisitos esenciales para los procesos de gestión de la vulnerabilidad establecidos por los fabricantes para garantizar la ciberseguridad de los productos con elementos digitales durante todo el ciclo de vida, y obligaciones para los operadores económicos en relación con estos procesos, incluyendo obligaciones de los fabricantes de informar de las vulnerabilidades e incidentes explotados activamente. Además, establece normas sobre vigilancia del mercado y aplicación de la legislación. En conjunto, esta propuesta llamada «Ley de Ciber resiiencia»  refuerza las normas de ciberseguridad para garantizar productos de hardware y software más seguros.

 

Gladiolo

Debe recordarse que los productos de hardware y software son cada vez más objeto de ciberataques con éxito. Ello implica un coste anual mundial estimado de 5,5 billones de euros para 2021. Estos productos adolecen de dos grandes problemas, un bajo nivel de ciberseguridad con vulnerabilidades generalizadas y suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensión y un acceso a la información insuficientes por parte de los usuarios (les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura).

Hoy,  la  mayoría de los productos de hardware y software no están cubiertos la legislación de la UE sobre ciberseguridad. En particular, el actual marco jurídico de la UE no aborda la ciberseguridad de los programas informáticos no integrados, aun cuando son objeto de ciberataques a menudo.

La propuesta tiene dos objetivos principales, en relación con los productos.

  • crear las condiciones para el desarrollo de productos seguros con elementos digitales, garantizando que los productos de hardware y software se comercialicen con menos vulnerabilidades y velando por que los fabricantes se tomen en serio la seguridad a lo largo de todo el ciclo de vida del producto; y
  • crear condiciones que permitan a los usuarios tener en cuenta la ciberseguridad a la hora de seleccionar y utilizar productos con elementos digitales.

Y cuatro objetivos específicos:

  1. que los fabricantes mejoren la seguridad de los productos con elementos digitales desde la fase de diseño y desarrollo y a lo largo de todo el ciclo de vida;
  2. garantizar un marco coherente de ciberseguridad que facilite el cumplimiento de la normativa a los fabricantes de hardware y software
  3. aumentar la transparencia de las propiedades de seguridad de los productos con elementos digitales, y
  4. fomentar que las empresas y los consumidores utilicen los productos con elementos digitales de forma segura.

Documentación técnica (art 23 de la propuesta)

La documentación técnica debe elaborarse antes de que el producto con elementos digitales se introduzca en el mercado y, en su caso, se mantendrá permanentemente actualizada durante la vida útil prevista del producto o durante cinco años a partir de la introducción del producto con elementos digitales en el mercado, si este período fuese más breve

Marcado CE «Conformité Européenne (preámbulo 32 y art 21 de la propuesta)

El marcado CE indica la conformidad de un producto, es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio. Los principios generales por los que se rige el marcado CE se establecen en el Reglamento (CE) n.º 765/2008 Ahora, con esta propuesta de ciber resiliencia se establecen disposiciones relativas a la colocación del marcado CE en productos con elementos digitales, siendo el marcado CE  el único marcado que garantice que los productos con elementos digitales cumplen con los requisitos Téngase en cuenta que cuando existe reserva de Marcado CE, esta mención es obligatoria. Conforme a la propuesta, los productos con elementos digitales deben llevar el marcado CE para acreditar su conformidad con el presente Reglamento y así poder circular libremente por el mercado interno.

  • El marcado CE, tal como se define en el artículo 3, punto 32, estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) n.º 765/2008.:  ««marcado CE»: un marcado con el que un fabricante indica que un producto con elementos digitales y los procesos establecidos por el fabricante son conformes con los requisitos esenciales establecidos en el anexo I y otras normas de la Unión aplicables que armonicen las condiciones para la comercialización de productos (las «normas de armonización de la Unión») y prevean su colocación»
  • Se siguen las reglas de colocación, tamaño etc del art 22

En relación con este marcado la Comisión estará facultada para adoptar actos de ejecución con el fin de especificar el formato o los elementos de los informes obligatorios y la nomenclatura de materiales de los programas informáticos, especificar los esquemas europeos de certificación de la ciberseguridad que puedan utilizarse para demostrar la conformidad con los requisitos esenciales o partes de estos establecidos en el presente Reglamento, adoptar especificaciones comunes, establecer especificaciones técnicas para la colocación del marcado CE y adoptar medidas correctoras o restrictivas a escala de la Unión en circunstancias excepcionales que justifiquen una intervención inmediata destinada a preservar el buen funcionamiento del mercado interior.

Tareas encomendadas a ENISA

  • Recibir notificaciones de los fabricantes relativas a las vulnerabilidades presentes en los productos con elementos digitales y sobre los incidentes que repercutan en la seguridad de dichos productos.
  • Transmitir estas notificaciones a los equipos de respuesta a incidentes de seguridad informática (CSIRT) pertinentes o, según corresponda, a los puntos de contacto únicos de los Estados miembros designados de conformidad con DNIS2, así como informar a las autoridades de vigilancia del mercado pertinentes sobre la vulnerabilidad notificada.
  • elaborar un informe técnico bienal sobre las tendencias emergentes en relación con los riesgos de ciberseguridad en productos con elementos digitales y presentarlo al Grupo de Cooperación
  • apoyar el proceso de ejecución del presente Reglamento. En particular, debe ser capaz de proponer actividades conjuntas que las autoridades de vigilancia del mercado deberán llevar a cabo sobre la base de determinadas indicaciones o información sobre el posible incumplimiento del presente Reglamento por parte de productos con elementos digitales en varios Estados miembros, o de identificar categorías de productos para las que deban organizarse acciones de control simultáneas coordinadas.
  • En circunstancias excepcionales que requieran una intervención inmediata, la ENISA, a petición de la Comisión, debe poder llevar a cabo evaluaciones relativas a productos específicos con elementos digitales que presenten un riesgo de ciberseguridad significativo.

Evaluación de conformidad (arts. 25 ss. de la Propuesta)

  • Recuérdese que la conformidad de un producto se efectúa antes de su comercialización. Consiste en demostrar que se cumplen todos los requisitos legislativos. Incluye pruebas, inspección y certificación.
  • El procedimiento para cada producto se especifica en la legislación de producto aplicable.
  • En general, la legislación de productos describe los procedimientos de evaluación de la conformidad para cada producto. Cada fabricante puede elegir entre diferentes procedimientos de evaluación de la conformidad disponibles para sus productos, en su caso. La evaluación la realizaría el fabricante salvo cuando a legislación requiere la intervención de un organismo de evaluación de conformidad. Como parte de la evaluación de la conformidad, el fabricante o el representante autorizado debe redactar una declaración de conformidad (DoC). La declaración debe contener toda la información para identificar:
        • Producto
        • Legislación aplicable a ese producto
        • Fabricante o el representante autorizado
        • Organismo notificado si procede
        • Una referencia a normas armonizadas u otros documentos normativos, cuando proceda
  • En relación con esta Propuesta, los Estados miembros notificarán a la Comisión y a los demás Estados miembros los organismos de evaluación de la conformidad autorizados a realizar evaluaciones de la conformidad con arreglo al presente Reglamento.
Azaleas

A propósito de los organismos notificados  los organismos de evaluación de conformidad (art 29 ss de la Propuesta). Y repaso al sistema de acreditación

  • Con carácter general organismo notificado es una organización designada por un país de la UE para evaluar la conformidad de determinados productos antes de su comercialización. Estos organismos llevan a cabo tareas relacionadas con los procedimientos de evaluación de la conformidad establecidos en la legislación aplicable a petición de terceros como los fabricantes. La Comisión Europea publica una lista de dichos organismos notificados. En España, los Organismos Notificados deben contar con la aprobación previa de ENAC (Entidad Nacional de Acreditación). Conforme al Reglamento  (CE) n.o 765/2008 la ENAC es ,en España, el organismo de acreditación:  el único organismo de un Estado miembro con potestad pública para llevar a cabo acreditaciones. Estas acreditaciones son también definidas en el mismo Reglamento: declaración por un organismo nacional de acreditación de que un organismo de evaluación de la conformidad cumple los requisitos fijados con arreglo a normas armonizadas y, cuando proceda, otros requisitos adicionales, incluidos los establecidos en los esquemas sectoriales pertinentes, para ejercer actividades específicas de evaluación de la conformidad

Rasgos de estos ONEC:

    • Imparcialidad: su personal tiene competencia técnica libre de incentivos económicos que tienten su criterio
    • Confidencialidad: garantizan el secreto profesional y tienen seguro de responsabilidad civil
    • Independencia: tienen personalidad jurídica propia e independiente de la organización evaluada. En este sentido, ni los directivos ni el personal podrán diseñar, instalar, proveer, fabricar, mantener…nada que pueda entrar en conflicto con su independencia, en especial los servicios de consultoría. Los organismos notificados de certificación, son conforme al R (CE) 765/2008 organizaciones que desempeñan actividades de evaluación de la conformidad, que incluyen calibración, ensayo, certificación e inspección. Algunas de las características de los organismos notificados de evaluación son:
  • En la Propuesta se establecen requisitos específicos para los organismos notificados, como su sometimiento a las reglas de notificación (art 29, apartados 2 a 12).
  • .Los organismos de evaluación de la conformidad se establecerán con arreglo al Derecho nacional y tendrán personalidad jurídica. Y, serán terceros organismos independientes de la organización o el producto que evalúen. Pueden pertenecer a una asociación comercial o una federación profesional que represente a las empresas que participan en el diseño, el desarrollo, la producción, el suministro, el montaje, el uso o el mantenimiento de los productos con elementos digitales que evalúen, a condición de que se demuestre su independencia y la ausencia de conflictos de interés.
    • El organismo de evaluación de la conformidad, sus directivos de alto rango y el personal responsable de la realización de las tareas de evaluación de la conformidad no serán el diseñador, el desarrollador, el fabricante, el proveedor, el instalador, el comprador, el dueño, el usuario o el encargado del mantenimiento de los productos con elementos digitales que deben evaluarse, ni el representante autorizado de ninguno de ellos. Ello no será óbice para que usen los productos evaluados que sean necesarios para el funcionamiento del organismo de evaluación de la conformidad, ni para que usen dichos productos con fines personales. Tampoco  intervendrán directamente en el diseño, el desarrollo, la producción, la comercialización, la instalación, el uso ni el mantenimiento de estos productos, ni representarán a las partes que participen en estas actividades. No realizarán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación de la conformidad para las que hayan sido notificados. Ello se aplicará, en particular, a los servicios de consultoría.
    • Los organismos de evaluación de la conformidad se asegurarán de que las actividades de sus filiales o subcontratistas no afecten a la confidencialidad, objetividad o imparcialidad de sus actividades de evaluación de la conformidad.
    • Los organismos de evaluación de la conformidad y su personal llevarán a cabo las actividades de evaluación de la conformidad con el máximo nivel de integridad profesional y con la competencia técnica exigida para el campo específico, y estarán libres de cualquier presión o incentivo, especialmente de índole financiera, que pudieran influir en su apreciación o en el resultado de sus actividades de evaluación de la conformidad, en particular por parte de personas o grupos de personas que tengan algún interés en los resultados de estas actividades.
    • El organismo de evaluación de la conformidad será capaz de realizar todas las tareas de evaluación de la conformidad especificadas en el anexo VI y para las que haya sido notificado, independientemente de si realiza las tareas el propio organismo o si se realizan en su nombre y bajo su responsabilidad.

En todo momento, para cada procedimiento de evaluación de la conformidad y para cada tipo o categoría de productos con elementos digitales para los que ha sido notificado, el organismo de evaluación de la conformidad dispondrá:

            1. de personal con conocimientos técnicos y experiencia suficiente y adecuada para realizar las tareas de evaluación de la conformidad;
            2. de las descripciones de los procedimientos con arreglo a los cuales se efectúa la evaluación de la conformidad, garantizando la transparencia y la posibilidad de reproducción de estos procedimientos; dispondrá también de las políticas y procedimientos adecuados que permitan distinguir entre las tareas efectuadas como organismo notificado y cualquier otra actividad;
            3. de procedimientos para desempeñar sus actividades teniendo debidamente en cuenta el tamaño de las empresas, el sector en que operan, su estructura, el grado de complejidad de la tecnología del producto y el carácter masivo o en serie del proceso de producción.
            4. dispondrá de los medios necesarios para realizar adecuadamente las tareas técnicas y administrativas relacionadas con las actividades de evaluación de la conformidad y tendrá acceso a todo el equipo o las instalaciones que necesite. El personal encargado de llevar a cabo las tareas de evaluación de la conformidad dispondrá de:
                  1. una buena formación técnica y profesional para realizar todas las actividades de evaluación de la conformidad para las que el organismo de evaluación de la conformidad haya sido notificado;
                  2. un conocimiento satisfactorio de los requisitos de las evaluaciones que efectúe y la autoridad necesaria para efectuarlas
                  3. un conocimiento y una comprensión adecuados de los requisitos esenciales, de las normas armonizadas aplicables y de las disposiciones pertinentes de las normas de armonización de la Unión aplicables, así como de las normas de aplicación correspondientes;
                  4. capacidad necesaria para elaborar certificados, documentos e informes que demuestren que se han efectuado las evaluaciones.

Se garantizará la imparcialidad de los organismos de evaluación de la conformidad, de sus directivos de alto rango y del personal de evaluación.

      • La remuneración de los directivos de alto rango y del personal de evaluación de los organismos de evaluación de la conformidad no dependerá del número de evaluaciones realizadas ni de los resultados de dichas evaluaciones.

Garantías frente a responsabilidad

  • El organismo de evaluación de la conformidad suscribirá un seguro de responsabilidad, salvo que el Estado asuma la responsabilidad con arreglo al Derecho interno, o que el propio Estado miembro sea directamente responsable de la evaluación de la conformidad.

Secreto

    • El personal del organismo de evaluación de la conformidad deberá observar el secreto profesional acerca de toda la información recabada en el ejercicio de sus tareas, con arreglo al anexo VI o a cualquier disposición de Derecho interno por la que se aplique, salvo con respecto a las autoridades de vigilancia del mercado del Estado miembro en que realice sus actividades. Se protegerán los derechos de propiedad. El organismo de evaluación de la conformidad contará con procedimientos documentados que garanticen el cumplimiento del presente apartado.

 

 

Zarzas y lila

Otras cuestiones

    • Los organismos de evaluación de la conformidad participarán en las actividades pertinentes de normalización y las actividades del grupo de coordinación de los organismos notificados establecido con arreglo al artículo 40, o se asegurarán de que su personal de evaluación esté informado al respecto, y aplicarán a modo de directrices generales las decisiones y los documentos administrativos que resulten de las labores del grupo.
    • Los organismos de evaluación de la conformidad funcionarán con arreglo a un conjunto de condiciones coherentes, justas y razonables que tengan particularmente en cuenta los intereses de las pymes en relación con las tasas.

Presunción de conformidad/ subcontrataciones y filiales de los organismos notificados

  • Artículo 30.- Presunción de conformidad de los organismos notificados. Si un organismo de evaluación de la conformidad demuestra su conformidad con los criterios establecidos en las normas armonizadas pertinentes, o partes de ellas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, se presumirá que cumple los requisitos establecidos en el artículo 29 en la medida en que las normas armonizadas aplicables cubran estos requisitos.

 

  • Artículo 31. Subcontrataciones y filiales de los organismos notificados: 1.Cuando un organismo notificado subcontrate tareas específicas relacionadas con la evaluación de la conformidad o recurra a una filial, se asegurará de que el subcontratista o la filial cumplen los requisitos establecidos en el artículo 29 e informará a la autoridad notificante en consecuencia. 2.El organismo notificado asumirá la plena responsabilidad de las tareas realizadas por los subcontratistas o las filiales, con independencia de dónde estén establecidos. 3.Las actividades solo podrán subcontratarse o delegarse en una filial previo consentimiento del fabricante. 4.Los organismos notificados mantendrán a disposición de la autoridad notificante los documentos pertinentes sobre la evaluación de las cualificaciones del subcontratista o de la filial, así como sobre el trabajo que estos realicen con arreglo al presente Reglamento.

Nuevo Reglamento General de Seguridad de los Productos en la UE

El 23 de mayo de 2023, la UE publicó el nuevo Reglamento general de seguridad de los productos (RGSP). Este Reglamento entró en vigor el 12 de junio de 2023 y establece un periodo transitorio de 18 meses de adaptación para los Estados miembros de la UE y entidades que deban cumplirlo. Su plena aplicación comenzará el 13 de diciembre de 2024.

No establece obligaciones contractuales de derecho privado relativas a la seguridad. Éstas deberán buscarse en la futura Directiva  de productos defectuosos. (Propuesta de Directiva sobre responsabilidad por los daños causados por productos defectuosos, publicada el 28.09.2022). Sin embargo, al imponer el RGSP que  sólo se pueden comercializar en la UE los productos que puedan calificarse como seguros viene a imponer implícitamente un estándar de seguridad. Además, este Reglamento plantea nuevos requisitos relacionados con la notificación de efectos adversos, las evaluaciones de riesgos previos a la comercialización, las retiradas de circulación de productos como consecuencia de fallos en la seguridad; así como otros relacionados con el etiquetado y con la documentación de los productos. El RDSP  incluye expresamente disposiciones que permiten entablar acciones colectivas

Camelia
SEGURIDAD DE PRODUCTOS COMERCIALIZADOS EN LA UE

 

  • El art 5 define el principio universal de que sólo se pueden introducir o comercializar  en la UE productos que sean seguros. A continuación, y a lo  largo del texto articulado, este principio va tomando forma y adoptando manifestaciones concretas. Destacadamente establece presunciones de seguridad, en el sentido de que la conformidad con las normas de certificación  publicadas en el DOUE en relación con determinados riesgos (conforme al art 10, apartado 7, Reglamento 1025/2012); y la conformidad con normas nacionales de similar alcance tienen como efecto activar tal presunción.
  • Los fabricantes deberán informar «sin demora» de los «accidentes causados por un producto» si éste está relacionado  o implicado en un incidente con resultado de muerte o «efectos adversos graves para la salud y la seguridad».
    • Los productos sólo pueden ser introducidos en el mercado de la UE cuando exista un operador económico establecido en la Unión que sea responsable de las tareas establecidas en el artículo 4, apartado 3, del Reglamento (UE) 2019/1020 respecto de dicho producto.

 

 

  • La Comisión podrá introducir requisitos de trazabilidad para determinados productos o categorías o grupos de productos que pueden presentar un riesgo grave para la salud y la seguridad de los consumidores, habida cuenta de los accidentes registrados en el portal Safety Business Gateway, las estadísticas de Safety Gate, los resultados de las actividades conjuntas en materia de seguridad de los productos y otros indicadores o pruebas pertinentes, y después de consultar a la Red de Seguridad de los Consumidores y a los grupos de expertos y partes interesadas pertinentes (Art 18.1)
  • Si la Comisión tuviera conocimiento de un producto o de una categoría o grupo específico de productos que presente un riesgo grave para la salud y la seguridad de los consumidores, podrá adoptar, por iniciativa propia o a petición de los Estados miembros y mediante actos de ejecución, medidas adecuadas adaptadas a la gravedad y a la urgencia de la situación en los términos del art 28.
RECUPERACIÓN DESPUÉS DE UN SINIESTRO

El Reglamento crea la categoría del operador de recuperación o  «responsable» de la recuperación. Este responsable es quien elabora y comunica a los consumidores el restablecimiento o  aviso de recuperación. En el aviso de recuperación se ofrecen soluciones entre las que el consumidor puede elegir (art 37 ). El operador de recuperación puede ser distinto del que haya emitido una «advertencia de seguridad».

    • Opciones para el consumidor:
      • El operador económico debe ofrecer al consumidor la elección entre al menos dos de estas soluciones: a) la reparación del producto sujeto a recuperación; b) la sustitución del producto sujeto a recuperación por un producto seguro del mismo tipo y de, al menos, igual valor y calidad, o c) el reembolso adecuado del valor del producto sujeto a recuperación, siempre que el importe del reembolso sea al menos igual al precio abonado por el consumidor. Sólo excepcionalmente, el operador económico podrá ofrecer al consumidor una única solución cuando otras soluciones no sean posibles o cuando acarreen costes desproporcionados para el operador responsable, en comparación con la solución ofrecida,  y considerando todas las circunstancias concurrentes
    • Las opciones que se deben ofrecer no obstan para la aplicación de la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales; y de la Directiva ; y de la Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (CE) n.° 2017/2394 y la Directiva 2009/22/CE y se deroga la Directiva 1999/44/CE
    • Alertas y web con incidentes. Conforme a los arts 25 y ss la Comisión mantendrá en funcionamiento un sistema de alertas rápidas con la denominación de Safety Gate.
      • También, y conforme al art 34, un Portal Safety Gate que permitirá al público en general consultar, gratuitamente y sin restricciones, la información esencial sobre productos inseguros (información seleccionada y notificada de conformidad con el artículo 26).
      • Adicionalmente, la Comisión mantendrá un Portal Safety Business Gateway en el que los operadores económicos y los prestadores de mercados en línea puedan proporcionar de manera sencilla a las autoridades de vigilancia del mercado y a los consumidores determinada información (art 27)
MERCADOS EN LÍNEA

Los prestadores de mercados en línea también deben cooperar en las recuperaciones de productos y la notificación de accidentes. El artículo 22 del Reglamento impone obligaciones específicas a los operadores de mercados en línea:  una obligación amplia de notificar «accidentes causados por un producto… que provoquen un riesgo grave o un daño real para la salud o la seguridad de un consumidor». Por otro lado: los prestadores de mercados en línea designarán un punto único de contacto que permita la comunicación directa, por medios electrónicos, con las autoridades de vigilancia del mercado de los Estados miembros en relación con cuestiones de seguridad de los productos

COMUNICACIONES RELATIVAS A PRODUCTOS DEFECTUOSOS EN SUPUESTOS ESPECIALES

los operadores económicos y los prestadores de mercados en línea deben garantizar que incluyen la posibilidad de ponerse directamente en contacto con los consumidores en caso de recuperación o advertencia de seguridad que les afecte, en los programas de fidelización y los sistemas de registro de productos existentes, a través de los cuales se pide a los clientes que, tras haber adquirido un producto, comuniquen voluntariamente al fabricante determinada información, como su nombre, información de contacto, el modelo del producto o el número de serie.

SOBRE LA APLICACIÓN DE ESTE REGLAMENTO
  • Pese a la aplicación general de éste Reglamento, ésta se entenderá sin perjuicio de las disposiciones establecidas por el Derecho de la UE en materia de protección de los consumidores, y del principio de cautela.
  • Se aplica a los productos (nuevos, usados, reparados, reacondicionados)  que se introduzcan en el mercado o que se comercialicen en la UE, en la medida en que no existan disposiciones específicas con la misma finalidad en el Derecho de la UE. Es decir, es derecho general subsidiario que se aplica en toda la UE cuando no existan disposiciones específicas que regulen la seguridad de los productos. En el caso de que determinados productos estén sujetos a requisitos específicos de seguridad impuestos por el Derecho de la UE, el reglamento se aplicará únicamente a los aspectos, riesgos o categorías de riesgo que no estén cubiertos por esos requisitos. Pero, por lo que respecta a los productos que ya estén sujetos a requisitos específicos impuestos por otra legislación de armonización de la UE:
      • no se les aplica el capítulo II (Requisitos de seguridad) en cuanto a los riesgos o categorías de riesgo cubiertos por legislación de armonización de la UE;
      • no se les aplican el capítulo III (Obligaciones de los operadores económicos), sección 1 (Obligaciones de los fabricantes), los capítulos (Vigilancia del mercado y ejecución) y VII (Función de la Comisión y coordinación de la garantía del cumplimiento), ni los capítulos IX a XI (Cooperación internacional, Disposiciones financieras y Disposiciones finales).

     Tampoco se aplica a:

Hugo’s pool
      • medicamentos de uso humano o veterinario;
      • alimentos;
      • piensos;
      • plantas y animales vivos, organismos modificados genéticamente y microorganismos modificados genéticamente en utilización confinada, así como productos procedentes de vegetales y animales directamente relacionados con su futura reproducción;
      • subproductos animales y productos derivados;
      • productos fitosanitarios;
      • equipos en los que los consumidores montan o en los que viajan, cuando dichos equipos sean manejados directamente por un prestador de servicios en el contexto de un servicio de transporte prestado a los consumidores, y no por los propios consumidores;
      • aeronaves;
      • antigüedades.

 

 

 

VER un comentario inicial (y parcial) del Profesor Ángel Carrasco Perera

Aproximación a la responsabilidad civil (objetiva y subjetiva) y a la seguridad de la Inteligencia Artificial en la UE

Para adaptar el ordenamiento de la UE a los retos de la Inteligencia Artificial, IA, se han propuesto , por un lado, modificaciones o adaptaciones en el régimen  de la responsabilidad del productor por productos defectuosos (Propuesta de revisión de la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los daños causados por productos defectuosos (“Propuesta RRPD”) . Por otro, la armonización específica con una Propuesta de Directiva del Parlamento y del Consejo relativa a la adaptación de las normas sobre responsabilidad civil extracontractual a las normas sobre inteligencia artificial ( «Propuesta DIA») . Ambas iniciativas forman un paquete, y pese a que están relacionadas, regulan diferentes tipos de responsabilidad.

  • La Propuesta RRPD cubre la responsabilidad objetiva del productor por productos defectuosos, lo que da lugar a una indemnización por determinados tipos de daños.
  • La Propuesta DIA se ocupa de responsabilidad por culpa y su indemnización.
  • Adicionalmente, la Propuesta de Reglamento sobre IA incorpora exigencias de calidad y seguridad en los sistemas

A continuación se ofrece una  primera aproximación introductoria a las normas que se están gestando

ACTUALIZACIÓN DE LA DIRECTIVA DE RESPONSABILIDAD POR PRODUCTOS DEFECTUOSOS

 

Parterre

En la Propuesta RRDP se adaptan las normas de responsabilidad a los productos en la era digital. Se establece que toda la gama de productos defectuosos está cubierta por las normas revisadas, incluyendo el software, sistemas de IA o servicios digitales. Es decir, en caso de que un sistema de IA integrado en un producto (por ejemplo, robots, drones, o sistemas domésticos inteligentes) presente algún defecto, los perjudicados también podrán presentar una reclamación. Las nuevas normas permiten a los particulares reclamar una indemnización por los daños causados por un producto defectuoso, incluidas las lesiones corporales, los daños materiales o la pérdida de datos.

  • Se aplicará a la economía circular, a las empresas que modifiquen sustancialmente los productos, cuando estos causen daños a una persona, a menos que demuestren que el defecto se refiere a una parte no modificada del producto.
  • Exige a los fabricantes comunicar las pruebas que pueda necesitar el demandante para llevar a cabo a los tribunales y reduce la carga de prueba en casos complejos (i.e. casos relacionados con productos farmacéuticos o de IA). También suprime el umbral inferior y el límite máximo, de forma que el perjudicado pueda quedar totalmente indemnizado por los daños sufridos.
  • Los perjudicados podrán pedir la indemnización al representante del fabricante de un tercer país.  Concretamente, y en virtud del Reglamento sobre vigilancia del mercado y de la próxima revisión del Reglamento relativo a la seguridad general de los productos, los fabricantes no europeos designarán un responsable en la UE,  al que se podrá exigir la indemnización. (La Propuesta se comenta aquí)
RESPONSABILIDAD POR CULPA EN LAS OPERACIONES CON IA

 

Sanabria

La Propuesta DIA establece normas que deben incorporarse a los sistemas nacionales de responsabilidad por culpa de los Estados miembros con el fin de distribuir la carga de la prueba entre la persona potencialmente perjudicada que reclama cualquier tipo de daño cubierto por la legislación nacional ( por ejemplo, la vida, la salud, la propiedad y la intimidad) y los fabricantes de IA:

  • La Comisión Europea obliga a los demandados a revelar los elementos de prueba en determinadas circunstancias. En particular, la Comisión reconoce a los demandantes el derecho a solicitar la divulgación de pruebas tanto antes de los litigios como en el curso de los mismos. Y establece que el incumplimiento de una orden de aportar información permitirá, en los términos de la Propuesta DIA, presumir que no se actuó con suficiente diligencia, y da lugar a una inversión de la carga de la prueba. 
  • Se introduce una presunción iuris tantum de causalidad para los supuestos en los que el perjudicado demuestre el incumplimiento de una obligación, cuando sea razonablemente probable que exista un nexo causal con el rendimiento de la IA
  • La Propuesta DIA también prevé normas aplicables a la conservación y divulgación de pruebas en casos relacionados con sistemas de IA de alto riesgo (según se definen en la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas sobre inteligencia artificial, Propuesta de Reglamento IA -RIA_).

 

FUTURO REGLAMENTO DE SEGURIDAD EN LA IA

 

London’s Eye

En cuanto al  RIA , que no se centra en  RC, tiene  por objeto prevenir daños y perjuicios en el sentido de que establece requisitos de seguridad de los sistemas de IA .

  • En el capítulo 1 del título III  RIA se establecen las normas de clasificación y se definen las dos categorías principales de sistemas de IA de alto riesgo: Por un lado los sistemas de IA diseñados para utilizarse como componentes de seguridad de productos sujetos a una evaluación de la conformidad ex ante realizada por terceros; y por otro, los otros sistemas de IA independientes con implicaciones relacionadas principalmente con los derechos fundamentales (relacionados en el anexo III, a modo de lista abierta de ciertos sistemas de IA cuyos riesgos ya se han materializado o es probable que lo hagan próximamente. Este listado podrá ser ampliado y adaptado en los términos que establece el RIA.
  • En el título II se establecen IA prohibidas. Se  distingue entre los usos de la IA que generan  riesgos inaceptables;  riesgos altos, y riesgos bajos o mínimos. La lista de prácticas prohibidas  abarca todos los sistemas de IA cuyo uso se considera inaceptable por ser contrario a los valores de la Unión. Engloban aquellas prácticas que tienen un gran potencial para manipular a las personas mediante técnicas subliminales que trasciendan su consciencia o que aprovechan las vulnerabilidades de grupos vulnerables concretos para alterar de manera sustancial su comportamiento de un modo que es probable que les provoque perjuicios físicos o psicológicos a ellos o a otras personas.  La propuesta prohíbe también que las autoridades públicas realicen calificaciones sociales basadas en IA con fines generales. Y se prohíbe -con alguna excepción- el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público .
  • El título III contiene normas específicas para aquellos sistemas de IA que acarrean un alto riesgo para la salud y la seguridad o los derechos fundamentales de las personas físicas.
  • El título IV se centra en determinados sistemas de IA para tener en cuenta los riesgos específicos de manipulación que conllevan.
  • En el título VIII se definen las obligaciones de seguimiento y presentación de información de los proveedores de sistemas de IA en su seguimiento posterior a la comercialización y en la comunicación e investigación de incidentes y defectos de funcionamiento relacionados con la IA.
  • El título IX crea un marco para la elaboración de códigos de conducta, cuyo objetivo es fomentar que los proveedores de sistemas de IA que no son de alto riesgo cumplan de manera voluntaria los requisitos que son obligatorios para los sistemas de IA de alto riesgo

 

Más. Blog Prof Alberto Tapia. 11.05. 2023

Geolocalización y protección de datos

Como es sabido, los datos de ubicación, pueden servir para inferir y conocer diversa información personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compañías de servicios digitales, con base en prácticas de geolocalización irrespetuosas con el ordenamiento.

Invierno. By M.A. Díaz
  • En noviembre 2022, un grupo de 40 Attorney General  (fiscales generales) de Minesota en EEUU  llegó a un acuerdo con Google LLC, a raíz de una sobre la presunta violación por parte de la compañía de las correspondientes normativas estatales de protección del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalización. Poco antes, se había alcanzado un acuerdo similar en Arizona. Según ha trascendido, Google habría trasmitido  la errónea impresión de que cuando los usuarios desactivaban los servicios de seguimiento de localización la compañía dejaría de recopilar datos de geolocalización sobre ellos. En realidad, Google seguía acumulando estos datos y luego los ofrecía a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de dólares, así como facilitar a los usuarios información adicional al activar o desactivar un determinado ajuste relacionado con la localización; y tiene que asegurar que la obtención de información clave sobre el seguimiento de la localización sea «insoslayable» para los usuarios , así como proporcionar información detallada sobre los tipos de datos de localización que recopila y utiliza. Más aquí
  • En la UE, dado que los sistemas de geolocalización capturan, almacenan y analizan la información geográfica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicación el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimación. Cuando el dispositivo sea propiedad de una persona física será necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalización se instale en un dispositivo responsabilidad de una empresa, se podrá legitimar por interés legítimo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recuérdese que el art. 20.3 del Estatuto de los Trabajadores permite «adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales». Estas medidas, deberán, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constitución Española, en coherencia además con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibición del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopción de la medida. La noción de “fines” del art. 5.1.c RGPD, relativo al principio de minimización, excluye todo intento de aprovecharse de los datos de carácter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Además, los datos de localización se deben conservar exclusivamente durante el tiempo oportuno en función de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localización deberá restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma legítima en función de sus finalidades. Por consiguiente, los empresarios deberán adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducción de medidas de verificación e identificación.

 

Además de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalización estarán sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habrán de llevar un registro de las actividades de tratamiento que efectúen bajo su responsabilidad (art. 30 RGPD).
  2. El análisis de riesgos con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad. En este documento se van a recoger las medidas técnicas y organizativas de seguridad que garanticen la protección de los datos personales, y que demuestren la adecuación con el GDPR, teniendo en consideración los derechos e intereses legítimos de las personas físicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluación de impacto (DPIA) en el caso el tratamiento se realice a gran escala e implique la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público (art. 35.4 RGPD).

 Ver también 

En España, en enero de 2023, Audiencia Nacional anuló una decisión de la AEPD en la que sostuvo que la empresa Virgin telco había actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalización. El asunto había sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresión inglesa None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relación con los acuerdos de trasmisión de datos a EEUU). La ONG especializada en protección de datos recurrió una decisión de la AEPD. NOYB sostenía que la información sobre geolocalización es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en España solicitó acceder a sus datos de geolocalización. Le fueron denegados por lo que reclamó ante la AEPD. La agencia dio la razón a la empresa por lo que Noyb recurrió esa decisión en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en España están obligados a almacenar datos de geolocalización de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa información a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado sólo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anuló la decisión inicial de la AEPD. Ver aquí  la web de esta ONG

TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo

Springtime

El 9 de febrero de 2023, el Tribunal de Justicia de la Unión Europea («TJUE») dictó sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisión, el TJUE aclaró los criterios para evaluar si existe un conflicto de intereses entre la función de Delegado de Protección de Datos («DPD/DPO») y otras tareas o funciones asignadas al mismo DPD/DPO.

  • Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislación sobre protección de datos y las políticas adoptadas en cada organización, y actuar como punto de contacto con las autoridades de control.
  • Para desempeñar eficazmente estas tareas debe operar con independencia. A tales efectos, el artículo 38, apartado 3, del RGPD establece específicamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al más alto nivel directivo (recuérdese que el mismo artículo prohíbe despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).

En esta sentencia, el TJUE hizo hincapié en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecución de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en función de otro cargo que compatibilice) determinar los objetivos y métodos del tratamiento de datos personales.

Ahora bien, a  efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluación casuística, para determinar si existe un conflicto de intereses. En esta evaluación se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, así como las políticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este último aspecto, se planteó la cuestión de si esta prohibición se opone a una legislación nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal únicamente cuando exista una causa justificada, aunque el despido no esté relacionado con el ejercicio de las tareas del DPD/DPO.  Para llegar a esta conclusión, el Tribunal reiteró que los conceptos de «destituir» y «sancionar» deben interpretarse con arreglo al lenguaje corriente (véase también la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra «cualquier decisión que ponga fin a sus funciones, por la que se le coloque en una situación de desventaja o que constituya una sanción». El Tribunal confirmó que una medida de despido por parte de un empleador puede constituir una decisión de este tipo.

El Tribunal también reiteró que la prohibición de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relación con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo sólo cuando los motivos subyacentes a la decisión se refieren al desempeño de sus funciones. El Tribunal consideró que cada Estado miembro es libre de establecer disposiciones específicas más protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protección no menoscabe la consecución de los objetivos del RGPD. Tal menoscabo podría producirse, por ejemplo, cuando la legislación nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.

  • En cuanto al conflicto de intereses, el TJUE señala que el artículo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el artículo 39 del RGPD), pero impone la obligación de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
  • Sobre las circunstancias podrían suponer tal conflicto de intereses, el Tribunal respondió de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan «menoscabar la ejecución de las funciones desempeñadas por el DPD/DPO». Más concretamente, el Tribunal confirmó que se produciría un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinación de los objetivos y métodos de tratamiento de datos personales por su parte. Evidentemente, la determinación de objetivos o métodos de tratamiento de datos chocaría con el requisito de poder revisar de forma independiente dichos objetivos y métodos. La evaluación de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y políticas aplicables).

Fallo:

1)      El artículo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protección de datos que forme parte de su plantilla por causa grave, aun cuando la destitución no esté relacionada con el desempeño de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecución de los objetivos de ese Reglamento.

2)      El artículo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un «conflicto de intereses», en el sentido de esta disposición, cuando se encomienden a un delegado de protección de datos otras funciones o cometidos que llevarían a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales políticas de estos últimos.

Más:

 

Sanción belga por conflicto entre DPD y compliance Officer

El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protección de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protección de datos («RGPD») relativos al nombramiento de un responsable de la protección de datos («DPD»).

Tras la notificación de una violación de datos, la APD belga inició una investigación sobre las prácticas de protección de datos y el programa de privacidad de la empresa y su investigación se centró en tres supuestas infracciones del RGPD,

Canaval_Omaña (León)
  1. el deber de cooperar con la APD;
  2. las obligaciones de rendición de cuentas (evaluaciones de riesgo y violación de datos); y
  3. los requisitos relacionados con el cargo de DPD de la sociedad.

En su decisión, la Sala de lo Contencioso de la APD belga solo confirmó la  infracción de los requisitos del DPD del RGPD (artículo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gestión de Riesgos y Auditoría a ese DPD, la sociedad había incumplido su obligación de garantizar que su DPD esté libre de cualquier conflicto de intereses.

En particular, la Sala de lo Contencioso de la APD belga indicó en su decisión que:

  • Si el DPO, como Jefe del departamento de Auditoría Interna, tiene poder de decisión con respecto al despido de empleados, no es compatible con la función del DPO.
  • El que los departamentos que dirige la persona que actúa como DPO de la sociedad cumplan una función independiente y consultiva en relación con los demás departamentos de la empresa y, como tales, no tengan poder de decisión con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
  • Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gestión de Riesgos y Auditoría, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.

En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la función de jefe de departamento de Cumplimiento Normativo, Gestión de Riesgos y Auditoría la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinación de funciones, existe una falta total de supervisión independiente del DPO en relación con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gestión de Riesgos y Auditoría. Además, la APD belga indica que, debido a su doble función, el DPO puede no ser capaz de ofrecer suficientes garantías a los empleados afectados en términos de confidencialidad y secreto.

En vista de lo anterior, la Sala de lo Contencioso ordenó modificar la situación e impuso una multa administrativa de 50.000 euros. (recurrible)

Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

 

DIGITAL SERVICES ACT- Reglamento (UE) de Servicios Digitales

El llamado Digital Services Act, DSA, fue publicado en el DOUE el día 27 octubre 2022. Se trata del Reglamento (UE) 2022/2065 del Parlamento europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales)

Obrigado

El principal  objetivo del DSA es  mejorar el control de los contenidos ilícitos en las plataformas y redes sociales. Conforme a su Art 1: “contribuir al correcto funcionamiento del mercado interior de servicios intermediarios estableciendo normas armonizadas para crear un entorno en línea seguro, predecible y fiable que facilite la innovación y en el que se protejan efectivamente los derechos fundamentales amparados por la Carta, incluido el principio de protección de los consumidores”.

Se articula en torno a 5 capítulos. Entre ellos destacan por su contenido sustantivo el relativo a la responsabilidad (y a la exención de responsabilidad) de los intermediarios (capítulo 2), las obligaciones de los intermediarios (capítulo 3) y la supervisión y control por parte de las autoridades nacionales y de la comisión, entre las que se establecerán cooperaciones

Valporquero en León

 I Entidades a las que se aplica:

El DSA se aplica a los proveedores de servicios intermediarios con establecimiento o con residencia en la UE, en la medida que ofrezcan servicios en la UE.  Es decir, se aplica a entidades que ofrecen servicios de intermediación a destinatarios o usuarios finales ubicados en la UE (Art 2 DSA), sin perjuicio de la aplicación de otras normas sectoriales a esos mismos intermediarios, cuando resulte procedente (Art 2-4 DSA)

 Dentro de los intermediarios que quedan sujetos al DMA distinguimos:

  1. Servicios de intermediación:  Ponen a disposición de los usuarios las infraestructuras de red. Son proveedores de acceso a Internet y entidades de registro de nombres de dominio, entre otros.
  2. Servicios de alojamiento de datos: Almacenan información proporcionada por los destinatarios o clientes de su servicio. Incluyen, entre otros, servicios de computación en nube o de alojamiento web.
  3. Plataformas en línea: Redes sociales, mercados en línea, prestadores de servicios de alojamiento de datos, entre otros.
  4. Motores de búsqueda
  5. Plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño. Determinados prestadores serán calificados así, y se les impondrán obligaciones adicionales (más estrictas). Su designación por parte de la Comisión se basa en que el umbral de usuarios supere el 10% de la población de la UE (45 millones). Dicho umbral podrá ser ajustado por la Comisión. //// La DSA clasifica plataformas o motores de búsqueda que tienen más de 45 millones de usuarios al mes en la UE como plataformas en línea de muy gran tamaño (VLOP) o motores de búsqueda en línea de muy gran tamaño (VLOSEs).Para ello, estas entidades, las plataformas y los motores de búsqueda, estaban obligados a publicar datos antes del 17 de febrero de 2023. Y,  deberán actualizar estas cifras al menos cada 6 meses (DSA: Orientación sobre el requisito de publicar números de usuario). Una vez designadas, la entidad tiene cuatro meses para cumplir con las normas  de la DSA que abordan los riesgos particulares que representan para los europeos y la sociedad tales grandes servicios en lo que respecta a los contenidos ilícitos, y su impacto en los derechos fundamentales, la seguridad pública y el bienestar.La Comisión revocará su decisión si la plataforma o el motor de búsqueda ya no alcanzan el umbral de 45 millones de usuarios mensuales durante un año completo.

Quedan fuera del ámbito de aplicación de la DSA los servicios de comunicaciones interpersonales, contemplados en la Directiva (UE) 2018/1972 del Parlamento Europeo y el Consejo (como los servicios de correos electrónicos y los servicios de mensajería privada). Sin embargo, es decir incluso en esos casos mencionados, las obligaciones de la DSA se podrían exigir a los prestadores de servicios que permitan poner información a disposición de un número potencialmente ilimitado de destinatarios, no determinado por el remitente de la comunicación.(considerando, 14)

  

II Obligaciones y responsabilidad de los prestadores intermediarios de servicios digitales

Visión general y relación con el régimen anterior

Hasta ahora, con la Directiva 2000/31/CE, Directiva de Comercio Electrónico, la responsabilidad de los prestadores de servicios digitales se asentaba en dos principios fundamentales. El primero, la ausencia de responsabilidad por los contenidos ilícitos que alojaban o transmitían siempre que no tuviesen conocimiento efectivo de los mismos. El segundo, la inexistencia de una obligación general de realizar seguimientos para impedir la publicación o transmisión de estos contenidos.

El DSA mantiene ambos principios (Art 4-mera trasmisión-; Art 5 -memoria caché; Art 6 -alojamiento de datos; Art 8- inexistencia de obligación general de monitorización).En suma, el DSA mantiene en buena medida el régimen de responsabilidad de los prestadores intermediarios, en tanto que conserva el régimen de exclusión de responsabilidad de los prestadores de servicios intermediarios de la Directiva 2000/31/CE, del Comercio Electrónico (safe harbour). Sigue impidiendo imponer a las plataformas una obligación general de supervisión de los contenidos subidos por los usuarios, es decir, no impone una obligación de verificar ex ante la legalidad de los contenidos subidos por los usuarios. En consecuencia, no impone responsabilidad directa respecto de estos contenidos. Las exenciones de responsabilidad de la DSA se aplican a cualquier tipo de responsabilidad, sea cual sea la materia o naturaleza precisa de las disposiciones legales, por ejemplo, derecho de marcas, patentes, publicidad, imagen, honor…

Por tanto, estos prestadores de estos servicios, cuando actúen como meros intermediarios, no serán responsables del contenido subido por los usuarios, si en el momento en el que tienen conocimiento efectivo del contenido ilícito, actúan de manera diligente para su retirada o inhabilitan el acceso. El prestador puede obtener dicho conocimiento efectivo a través de órdenes de los organismos competentes, investigaciones realizadas por iniciativa propia o notificaciones de los afectados, en la medida en que sean suficientemente precisas y estén bien fundamentadas.

  • Este régimen especial de exención de responsabilidad no será aplicable en ningún caso a la información generada por la propia plataforma, respecto de la cual los prestadores tendrán responsabilidad directa.
  • Además,  los intermediarios deben presentar la información de manera que no induzca a los consumidores a creer que ha sido facilitada por las propias plataformas y no por sus usuarios (por ejemplo, los mercados en linea deberán aclarar qué servicios son prestados por terceros a través de sus plataformas).

Aunque,  no afecta a la aplicación de la legislación europea que regula determinados aspectos sobre la prestación de servicios de la sociedad de la información, que tiene carácter de lex specialis como, por ejemplo, el artículo 17 de la Directiva 2019/790, sobre los derechos de autor y derechos afines en el mercado único digital (DMUD); la Directiva (UE) 2018/1808, sobre los prestadores de plataformas de intercambio de vídeos (DSCA 2018); el Reglamento (UE) 2019/1150, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (Reglamento B2B2C) o el Reglamento (UE) 2016/679 de Protección de Datos (RGPD). Ciertamente, la interrelación de la DSA con otras normas del entorno online plantea cuestiones complejas

Nuevas obligacionesArija

El DSA introduce novedades importantes, en forma de obligaciones de los intermediarios. El Reglamento identifica las siguientes obligaciones aplicables a todos los servicios intermediarios:

  1. Establecer puntos de contacto que permitan la comunicación directa con los Estados miembros, la Comisión .
  2. Designar un punto de contacto único para los destinatarios de los servicios que permita una comunicación rápida, directa y eficiente.
  3. Designar a una persona para actuar como representante legal en un Estado miembro, cuando esos prestadores estén están establecidos en un tercer país.
  4. Indicar y actualizar en sus condiciones la información relativa a las medidas por las que pueden restringir la prestación de sus servicios.
  5. Indicar y actualizar en sus condiciones las normas del procedimiento de su sistema interno de tramitación de reclamaciones.
  6. Diversas obligaciones de transparencia informativa; incluyendo la publicación de informes sobre su actividad de moderación de contenidos (al menos, una vez al año) en un formato legible por máquina.
  7. Colaborar con las autoridades: Informar a las autoridades policiales de sospechas sobre la posible comisión de un delito por un destinatario.
Obligaciones adicionales aplicables a los prestadores de servicios de alojamiento, incluidas las plataformas en línea.
  • Moderación  de contenidos.
    • Establecimiento de mecanismos (NTDs) que permitan notificar la presencia de contenidos y productos presuntamente ilícitos (incluyendo productos falsificados). Salvo que se trate de una notificación de un delito, las plataformas deberán pedir al notificante que revele su identidad.
    • Suspensiones de cuentas. En determinadas condiciones, las plataformas en línea deberán suspender temporalmente sus actividades a la persona que muestre comportamientos abusivos. Se consideran comportamientos abusivos la publicación frecuente de contenidos manifiestamente ilícitos y el envío frecuente de avisos o reclamaciones manifiestamente infundados a través de los mecanismos y sistemas, respectivamente. La información debe tener la consideración de contenido manifiestamente ilícito cuando sea evidente para una persona lega en la materia, sin un análisis de fondo, que dicho contenido es ilícito o que los avisos o reclamaciones son infundados.
    • Establecer procesos específicos para permitir solicitar la retirada de contenidos ilícitos,
    • Establecer un sistema interno de tramitación de reclamaciones con respecto a las decisiones adoptadas por estas plataformas, con mecanismos para permitir que los usuarios puedan defenderse en caso de que entiendan que sus contenidos han sido retirados sin justificación infringiendo, por ejemplo, sus libertades de expresión e información
    • Transparencia informativa de los prestadores de servicios intermediarios y publicación de informes sobre cualquier actividad de moderación de contenidos.
  • Trasparencia en la publicidad que se aloje en los intermediarios (Art 26).
    • Los destinatarios del servicio deben tener información sobre los principales parámetros utilizados para determinar la presentación de la publicidad. Además, deberán ofrecer explicaciones de la lógica utilizada con ese fin. Los prestadores de estos servicios se asegurarán de que los destinatarios puedan conocer, por cada anuncio publicitario, de manera clara e inequívoca y en tiempo real:
      • a) que la información presentada es un anuncio publicitario;
      • b) la persona física o jurídica en cuyo nombre se presenta el anuncio publicitario;
      • c) información significativa acerca de los principales parámetros utilizados para determinar el destinatario al que se presenta el anuncio publicitario.
    • En relación con la publicidad, los destinatarios deben poder acceder directamente desde la interfaz donde se presente el anuncio a información sobre los principales parámetros utilizados, ofreciendo explicaciones útiles de la lógica utilizada con ese fin, también cuando se base en la elaboración de perfiles.
  • Transparencia en las recomendaciones (Art 27)
  • Protección de menores (Art 28)
  • Obligaciones especiales para las plataformas que permitan a los consumidores concluir contratos a distancia, (y que no sean PYMES) (Arts 29 yss). : Incluyen la trazabilidad de comerciantes; el disponer las interfaces para facilitar que los comerciantes puedan cumplir sus obligaciones (el llamado cumplimiento desde el diseño, Art 31 ), así  como a los consumidores, ejercer sus derechos de información (Art 32)
  • Cooperación con las autoridades de los Estados Miembros tanto en la retirada de contenidos ilícitos como en la identificación de determinados usuario
Obligaciones de las plataformas y motores en línea de gran tamaño

En relación con éstos plataformas, una de las cuestiones iniciales a tener en cuenta es la de su identificación. Véase esta entrada del Blog GARRIGUES: Las plataformas y buscadores deben publicar su número de usuarios antes del 17 de febrero: primer paso para saber si son de “muy gran tamaño”

  • La DSA impone obligaciones específicas a las grandes plataformas con el fin de evaluar los riesgos sistémicos que entraña el funcionamiento y uso de su servicio, así como los posibles usos indebidos por parte de los destinatarios (Arts 33 y ss).
  • Los principales riesgos sistémicos identificados por el DSA son los riesgos asociados al uso indebido de su servicio mediante la difusión de contenidos ilícitos, como la difusión de materiales de abuso sexual de menores o delitos de incitación al odio, y la realización de actividades ilícitas como la venta de productos o servicios prohibidos. También los efectos del servicio para el ejercicio de los derechos protegidos por la Carta de los Derechos Fundamentales, incluida la libertad de expresión e información, el derecho a la vida privada, el derecho a la no discriminación y los derechos del niño. Además, la manipulación deliberada con efectos para la salud, el discurso cívico, los procesos electorales, la seguridad pública y la protección de los menores. Por ejemplo, por la creación de cuentas falsas, el uso de bots y otros comportamientos total o parcialmente automatizados.
  • Adicionalmente, deben asumir la adaptación de los sistemas de moderación de contenidos o de recomendación, sus procesos decisorios, las características o el funcionamiento de sus servicios, o sus condiciones.
  • También han de detectar, analizar y evaluar con diligencia cualquier riesgo sistémico que se derive de su diseño, incluidos los sistemas algorítmicos, el funcionamiento y el uso que se haga de sus servicios.
  • Así mismo, tienen que establecer medidas selectivas dirigidas a limitar la presentación de anuncios publicitarios. En este sentido el art 39 exige trasparencia especial.
      • Art 99.1 : Los prestadores de plataformas en línea de muy gran tamaño o de motores de búsqueda en línea de muy gran tamaño que presenten anuncios publicitarios en sus interfaces en línea recopilarán y harán público, en una sección específica de su interfaz en línea, a través de una herramienta de búsqueda fiable que permita realizar consultas en función de múltiples criterios, y mediante interfaces de programación de aplicaciones, un repositorio que contenga la información a que se refiere el apartado 2, durante todo el tiempo en el que presenten un anuncio y hasta un año después de la última vez que se presente el anuncio en sus interfaces en línea. Se asegurarán de que el repositorio no contenga ningún dato personal de los destinatarios del servicio a quienes se haya o se pueda haber presentado el anuncio y harán todos los esfuerzos que resulten razonables para garantizar que la información sea exacta y completa.
  • Estas grandes plataformas también deben reforzar los procesos internos o la supervisión de cualquiera de sus actividades, en particular en lo que respecta a la detección de riesgos sistémicos.
  • También deben ocuparse de la puesta en marcha o el ajuste de la cooperación con los llamados  alertadores fiables; así como de la puesta en marcha o el ajuste de la cooperación con otras plataformas en línea mediante los códigos de conducta y los protocolos de crisis. Finalmente, dada la necesidad de garantizar la verificación por expertos independientes, las plataformas en línea y los motores de búsqueda de muy gran tamaño deben rendir cuentas, mediante auditorías independientes.

Sin perjuicio de todo ello, el DSA contempla también posibles medidas voluntarias a adoptar por los proveedores de servicios, entre las que se encuentra la elaboración de un código de conducta relativo a materias concretas: publicidad, accesibilidad y protocolos de crisis.

 

III Otras cuestiones

 

A)   Doctrina del Buen Samaritano

La DSA reconoce expresamente la aplicación de la doctrina anglosajona del “Buen Samaritano” con el fin de no desincentivar las actividades destinadas a detectar, identificar y actuar contra contenidos ilícitos que se puedan llevar a cabo de forma voluntaria. Es decir, las plataformas no perderán las ventajas del régimen de exclusión de responsabilidad por actuar proactivamente en la lucha contra contenidos ilícitos.

B)   Trazabilidad: nuevos requisitos de información de los usuarios

Una importante novedad es que las plataformas en línea que permitan formalizar contratos a distancia deberán asegurarse de que los vendedores sean localizables. Para ello, deberán recabar información sobre los comerciantes y hacer esfuerzos razonables para verificar su fiabilidad, por ejemplo, mediante el uso de bases de datos, registros mercantiles y el sistema de intercambio de información sobre el IVA.

Esta información puede permitir a los titulares de derechos identificar al infractor, responsable directo del ilícito, y, por tanto, facilita el ejercicio de acciones legales contra el responsable principal de la infracción.

No obstante, las plataformas no estarán obligadas a realizar actividades excesivas o costosas de búsqueda de hechos, ni tampoco a realizar verificaciones sobre el terreno, si bien deberán hacer todo lo posible para evaluar la fiabilidad de la información.

C)   Alertadores o informadores fiables

Se crea la figura de los “alertadores fiables”, que permiten una especie de “fast track” a sus reclamaciones de infracciones en las plataformas. Dicha condición se otorgará solo a entidades que acrediten conocimientos para luchar contra los contenidos ilícitos, que representan intereses colectivos y que trabajan de manera diligente y objetiva.

Esta condición será otorgada por el coordinador de servicios digitales del Estado miembro donde el solicitante esté establecido y debe ser reconocida por todos los prestadores de plataformas en línea incluidos en el ámbito de aplicación del DSA.

D) Resolución de conflictos

La DSA contempla la vía de resolución extrajudicial de litigios por organismos certificados que posean la independencia, los medios y los conocimientos necesarios para desarrollar sus actividades con equidad, rapidez y eficacia en términos de costes. Además, deben ser complementarias a la posibilidad de recurso judicial. Por otra parte, los consumidores podrán retirarse del procedimiento en cualquier momento si no están satisfechos con el funcionamiento o la tramitación del procedimiento.

Los destinatarios del servicio podrán elegir entre el mecanismo interno de reclamación, la resolución extrajudicial de litigios y la posibilidad de iniciar, en cualquier momento, un procedimiento judicial.

ACTUALIZACIÓN:

  • Primera designación de Plataformas y Motores de Gran Tamaño Plataformas en línea de muy gran tamaño y motores de búsqueda de muy gran tamaño designados con arreglo al artículo 33, apartado 4, del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Ley de servicios digitales) (Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).) 2023/C 249/02

 

TJUE: RGPD y Despido del Delegado de Protección de Datos

En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunció sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminación del empleo de un responsable de la protección de datos (DPO) de conformidad con el artículo 38 (2) y el artículo 6 (4) frase 2 de la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz, BDSG).

No Eume- Ponte do Eume

Antecedentes

La decisión del TJUE se basa en la petición de decisión prejudicial del Tribunal Federal de Trabajo alemán (Bundesarbeitsgericht, BAG) formulada mediante la decisión de 30 de julio de 2020 (2 AZR 225/20). El BAG debía pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.

  • El empleador, una sociedad de Derecho privado que, con arreglo a la legislación alemana, está obligada a nombrar a un DPO, había puesto fin a la relación laboral de la DPO con la debida antelación debido a una medida de reestructuración. Los tribunales de primera instancia consideraron que la rescisión no era válida porque eran aplicables las disposiciones que regulan la rescisión de la relación laboral de un DPO con arreglo al artículo 38, apartado 2, y al artículo 6, apartado 4, segunda frase, de la BDSG, por lo que la relación laboral sólo podía haberse rescindido por “causa justificada”, en el sentido de la BDSG y el RGPD.
            • El artículo 6 (4) de la BDSG, establece:…No se pondrá fin a la relación laboral del responsable de la protección de datos a menos que existan hechos que den al organismo …. una causa justa para poner fin a la relación laboral sin previo aviso. […]»
  • El BAG tenía dudas sobre la compatibilidad de esta disposición (artículo 6 (4) de la BDSG) con el artículo 38, apartado 3, frase 2, del RGPD («El responsable del tratamiento o el encargado del tratamiento no podrá despedirlo ni sancionarlo por el desempeño de sus funciones«), ya que las disposiciones alemanas imponen requisitos más estrictos al cese del empleo de un DPO que la disposición de la legislación de la UE. En este contexto, el BAG planteó la siguiente pregunta al TJCE*:

«¿Debe interpretarse el artículo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposición de Derecho nacional, como el artículo 38, apartados 1 y 2, en relación con el artículo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisión ordinaria del contrato de trabajo del delegado de protección de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempeño de sus funciones?».

En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que   los delegados de protección de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempeñar sus funciones y cometidos de manera independiente. Y que el l artículo 37 del RGPD, titulado «Designación del delegado de protección de datos», tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:  a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos con arreglo al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. El artículo 38 del RGPD, titulado «Posición del delegado de protección de datos», establece, en sus apartados 3 y 5: «3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.[…] 5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.» El artículo 39 del RGPD, titulado «Funciones del delegado de protección de datos», dispone, en su apartado 1, letra b): «El delegado de protección de datos tendrá como mínimo las siguientes funciones:…, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;…..

Merindades burgalesas
Merindades burgalesas

La respuesta del TJUE a la pregunta del BAG es que la segunda frase del artículo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislación nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protección de datos, que es miembro de su personal, únicamente con justa causa, aunque la rescisión contractual no esté relacionada con el desempeño de las tareas de dicho delegado, en la medida en que dicha legislación no menoscabe la consecución de los objetivos del RGPD. Según el TJCE, las disposiciones alemanas, en virtud de las cuales la relación laboral de un DPO sólo puede rescindirse por causa justificada, aunque la rescisión no esté relacionada con el desempeño de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicación tradicional de la legislación alemana de protección del empleo favorable a los trabajadores.

El TJUE justificó su decisión afirmando que el artículo 38, apartado 3, frase 2, del RGPD sirve únicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relación laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero sólo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijación de normas sobre la protección de los DPD/DPO frente a la terminación de su relación laboral es fundamentalmente una cuestión de política social, ámbito en el que los Estados miembros de la UE pueden establecer disposiciones más tuitivas y estrictas que el legislador de la UE, siempre dentro de unos límites. Así, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE señala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podrían impedir la  rescisión del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempeñar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD

Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerarán estos dos casos como «causas justas» para el despido en futuras decisiones y/o si desarrollarán otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuestión de si existe una causa justa para el despido aún debe determinarse caso por caso, si bien los efectos de una rescisión sobre las obligaciones derivadas del RGPD desempeñarán un papel importante a la hora de determinar si existe una causa justa para la rescisión.

Entrada redactada con el apoyo del Proyecto de Investigación «Retribución de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa», con el número de referencia: SBPLY/21/180501/000240 concedido por la Consejería de Educación, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

25 THINGS YOU SHOULD KNOW ABOUT ARTIFICAL INTELLIGENCE ART AND COPYRIGHT, Fernández Carballo-Calero

Artificial Intelligence (IA) is no longer science fiction. Con esta frase , el Profesor Pablo Fernández Carballo- Calero inicia su obra 25 THINGS YOU SHOULD KNOW ABOUT ARTIFICAL INTELLIGENCE ART AND COPYRIGHT, Aranzadi (colección estudios), 2022 ISBN- 978-84-1391-652-1 .

Los sistemas de IA escriben, pintan, componen música. Y plantean problemas de calado en el ámbito de la Propiedad y Tutela intelectual sobre las obras así generadas. ¿deberían estar protegidas por derechos de autor?  ¿quién sería el autor y el titular de los derechos? La obra comentada aporta 25 factores clave sobre la Propiedad Intelectual de las obras generadas con inteligencia artificial, distinguiendo entre las creadas de forma principalmente autónoma por máquinas inteligentes de aquellas en las que ha existido, dentro del proceso creativo, una contribución humana relevante y verificada.

Este trabajo del Profesor Fernández Carballo-Calero, mercantilista de la Universidad de Vigo contribuye a encontrar respuestas a las preguntas formuladas. Escrita en inglés, se divide en VI partes (25 capítulos). Ofrece un completo análisis basado en derecho comparado, europeo y nacional sobre la relación de las creaciones y resultados surgidos total o parcialmente de la Inteligencia Artificial, y los derechos de autor

Artificial intelligence, art and copyright, la parte Iª, sitúa el conjunto de fenómenos que se conocen o identifican en torno a la denominada Inteligencia Artificial (A). En esta sección se da cuenta de las imprescindibles delimitaciones conceptuales y económicas necesarias para abordar el libro en su conjunto. El retrato Edmond Belamy creado por IA y subastado en Sotherby’s, o la generación algorítmica de melodías con Magenta son algunos de los ejemplos escogidos por el autor para acercarnos una representación clara de los debates jurídicos que se están desarrollando en torno a la protección de creaciones realizadas o apoyadas en IA (capítulo 4). Las nuevas realidades han exigido adaptar las normas de derecho de autor y continuarán demandando flexibilidad, o nuevas reglas. Resultan especialmente acertadas las reflexiones del autor sobre la evolución doctrinal en parte amparada por la OMPI/WIPO, evolución que no ha terminado. Incorpora concepciones donde la creación basada en máquinas seria obra que quien la utiliza y permite prever nuevas formulaciones para la protección de las obras generadas mediante IA

 

La IIª parte del libro se titula The typology of artificial intelligence artwork: a first assessment in the light of copyright fundamentals. Aquí se formulan cuestiones clave en torno a la creación mediante inteligencia artificial Recuerda Fernández Carballo-Calero que cabría que la IA esté protegida como programa de ordenador cuando se dan los requisitos al efecto (capitulo 8). También aborda la distinción entre obras generadas mediante IA y obras generadas con la asistencia de IA (capitulo 9, capítulo 10). A continuación, el autor reconduce el hilo de su trabajo retomando la clásica dicotomía entre las ideas utilitaristas (que priorizan el valor de la obra, en sí misma, y que han gozado de algún predicamento en el mundo anglosajón) y las teorías de la personalidad (que reconocen especialmente la relevancia del impacto del autor sobre las obras). Este marco permite asentar con rigor el debate sobre a definición de políticas futuras.

The protection of AI generaled works es el título de la IIIª parte. En ella se delimitan las creaciones sin intervención humana y se plantean vías por las que se iría formulando su tutela. Ello, sin perjuicio de que el reconocimiento clásico de derechos de autor se apoya en la concepción de la creatividad como un talento exclusivamente humano, que excluiría la protección de las obras en las que no hay intervención humana. Posición en la que la doctrina y la jurisprudencia ya aportan matices (capítulo 11).

  • En Europa, el Tribunal de Justicia de la Unión Europea (TJUE) ha declarado en varias ocasiones, como en su histórica sentencia Infopaq (C-5/08 Infopaq International A/S contra Danske Dagbaldes Forening), que los derechos de autor sólo se aplican a las obras originales, y que la originalidad debe reflejar la «propia creación intelectual del autor». De alguna manera, esto reflejaría que la obra original está impregnada y manifiesta la personalidad del autor, y se vincularía a la necesidad de que exista un autor humano como requisito para la protección de derechos de autor. Y, por ello, en la mayor parte de los ordenamientos las obras generadas por IA no gozarían de la protección de los derechos de autor.
  • Sin embargo, ciertos sistemas jurídicos – y sus tribunales- como los de Hong Kong, India Irlanda, Nueva Zelanda o Reino Unido habrían optado por introducir alguna tutela a las creaciones de IA. No se trata por el momento de un reconocimiento absoluto, ni autónomo, sino de atribuir derechos a quien realiza la programación que permite la creación (o a quien utiliza el programa). Es decir, se trata de proteger la participación humana (aunque sea mínima) en la creación. Este planteamiento se recoge claramente en la vigente legislación británica sobre derechos de autor: el artículo 9(3) de la Ley británica de Derechos de Autor, Diseños y Patentes (CDPA) , que establece: «En el caso de una obra literaria, dramática, musical o artística generada por ordenador, se considerará autor a la persona que haya tomado las medidas necesarias para la creación de la obra». Y, el artículo 178 de la CDPA define una obra generada por ordenador como aquella que «se genera por ordenador en circunstancias tales que no hay autor humano de la obra». La idea que subyace a esta disposición es crear una excepción a todos los requisitos de autoría humana, reconociendo el trabajo que conlleva la creación de un programa capaz de generar obras, aunque la tarea creativa recaiga en la máquina.
  • Con todo queda abierta otra pregunta fundamental consistente en la cuestión de a quién debe considerar la ley como la persona que realiza las acciones para generar la obra. En especial si la tutela y reconocimiento la merecería el programador o el usuario del programa que da lugar a la creación
  • Las posibles vías de tutela de las creaciones generadas por IA dan lugar a interesantes reflexiones.
    • Cabría, por ejemplo, una asimilación -o adaptación- de la protección de obras generadas por ordenador (capítulo 12). Aunque ello no evita reconocer dificultades hermenéuticas, por ejemplo, en torno a la originalidad del resultado. Y tampoco conduce a soluciones uniformes en todos los ordenamientos (como el inglés, el estadounidense, el español a la luz de la jurisprudencia de nuestro TS) ni conforme a la doctrina del Tribunal de Internet de Pekín.
    • Otra posible vía de tutela se apoyaría en la técnica jurídica de protección de obras efectuadas en el marco de trabajos, encargos de terceros (capítulo 13), respecto de la que el autor se muestra crítico.  Esta técnica tiene base en derecho positivo escrito, y conforme a ella (si) una obra se realiza por encargo, el empresario es tutelado como autor, sin serlo materialmente. Se ha formulado la posibilidad de que sirva en la búsqueda de soluciones para las creaciones generadas por IA .
    • O la futura tutela podría venir de la mano de la técnica de los derechos sui generis del productor de una base de datos (capítulo 14) , aunque tampoco parece la vía óptima. O en el reconocimiento de un nuevo derecho sui generis (capítulo 15).

Las maquinas no siempre serán meros instrumentos al servicio de los humanos. Ni son de momento mecanismos autónomos capaces de generar resultados con una intervención humana irrelevante (o inexistente). En muchos casos, y al menos hoy por hoy, la intervención de la IA ocupa un campo intermedio y difícil de definir.  Y en el camino hacia la clarificación del marco de tutela de estas creaciones es fundamental establecer los criterios para distinguir el nivel de contribución humana sobre los resultados creativos finales. Y es que si existe intervención humana, aunque sea pequeña, habrá lugar para activar la tutela del derecho de autor al creador personificado

La parte IVª se dedica a The protection of AI assisted Works. El autor ofrece una crítica ilustrada sobre la Resolución de 12 de febrero de 2019 del Parlamento Europeo sobre IA y Robótica. Y además, apunta al carácter incompleto de la Directiva UE 2019/790, que no llega a establecer un marco satisfactorio para la IA.  Nos encontramos ante una realidad difícil de precisar, en la que a menudo resulta difícil identificar la persona o la tecnología que soporta las creaciones.

Muy enriquecedora resulta la Vª parte Authorship and ownership of rights in relation to AI assisted works, donde se ofrecen perspectivas para delimitar la autoría conjunta de obras, frente a la generación exclusivamente apoyada en IA. La distinción no es homogénea ni en la doctrina , ni en el plano comparado. Ni es sencilla. Ocurrirá a menudo que las contribuciones  automatizadas o apoyadas en IA a una creación no son susceptibles de tutela en el sentido clásico del derecho de autor. O que  quien diseño el programa y quien lo utiliza ni siquiera se conocen, con lo cual no podría hablarse de una obra en colaboración en sentido propio.

En los anexos se recogen debates sobre la relación entre la Propiedad Intelectual y la Inteligencia Artificial, auspiciados por la WIPO. También de gran utilidad el Anexo relativo a la reglamentación de los trabajos generados por ordenadores. Y la útil bibliografía con referencias que completan el rigor científico de este libro.

Prologado por el catedrático Anxo Tato, en Navidad y desde la ribera del Ulla, los agradecimientos que el autor dedica a los colegas mercantilistas de la Universidad forman parte de un trabajo bien resuelto que aporta a la escuela gallega de Propiedad Industrial, y Derecho Mercantil del siglo XXI

 

Esta entrada ha sido elaborada con el apoyo del Proyecto de investigación «Los remedios restaurativos en el Derecho de la competencia: una respuesta a los retos que plantea la economía digital -RETOS  2020». PID2020-116217RB-I00.  Conv.  2020 de «Proyectos I+D+i» en el marco del Programa Estatal de Generación de conocimiento y fortalecimiento científico y tecnológico del sistema de I+D+i y del Programa estatal de I+D+i orientada a los retos de la sociedad».

 

Notas sobre el Reglamento de Mercados Digitales/Digital Markets Act  (DMA), Reglamento (UE) 2022/1925.

La Ley de Mercados Digitales/Digital Markets Act  (DMA), es el nombre con el que se ha dado en llamar al Reglamento (UE) 2022/1925

Este Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 fue publicado en el DOUE el 12.10.2022. Entrará en vigor en marzo de 2023.

Valporquero en León

El objetivo del DMA (a cuyo proceso prelegislativo habíamos prestado atención aquí) es promover la competencia en los mercados digitales europeos, evitando abusos de poder por parte de los grandes operadores, y facilitando la entrada de nuevos actores. Y es que, en efecto, los medios digitales en general y las plataformas en línea en particular desempeñan un crecientemente relevante en el mercado interior. Pero, precisamente las características de los servicios que ofrecen las plataforma, facilitan su uso abusivo.

Las plataformas digitales proporcionan acceso para que otros usuarios profesionales y empresariales puedan ofrecer sus bienes y servicios a los usuarios finales. En la práctica, un reducido número de grandes compañías y grupos que prestan servicios básicos plataforma han acumulado gran poder económico y ejercen una gran influencia en el mercado interior europeo. Esta circunstancia venia siendo observada, investigada y sancionada a través del derecho común de la competencia de la UE, y del derecho nacional. Con el DMA se establece un marco común  legislativo.

La Propuesta de DMA había sido presentada por la Comisión Europea al Parlamento Europeo y al Consejo de la Unión Europea el 15 de diciembre de 2020. En la misma fecha se presentó otra propuesta sobre Servicios Digitales (DSA). Ambas forman parte de la Estrategia Digital Europea titulada Shaping Europe’s Digital Future

Antecedentes: Derecho de la competencia  de la UE y mercados digitales.

Hasta ahora, el marco de la Unión Europea que se venía aplicando respecto al control de las prácticas contrarias a la libre competencia en los mercados digitales se apoyaba en los ordenamientos europeo y nacional de la competencia. Resultaban de especial importancia los artículos 101 (relativos a acuerdos anticompetitivos y prácticas concertadas que pueden afectar al comercio entre los Estados miembros o reducir la competencia en el mercado común) y 102 (lucha contra las posiciones dominantes con efectos anticompetitivos) , ambos del Tratado de Funcionamiento de la Unión Europea (TFUE).

Además, tanto en la UE como en las jurisdicciones nacionales europeas y comparadas, la actividad de las grandes plataformas digitales venía siendo objeto de atención supervisora (y de sanciones), y las reflexiones que subyacen a algunos litigios han influido en la redacción del DMA del que aquí se da noticia. A modo de ejemplo sobre la fijación de precios (prácticas colusorias de Amazon y algunos editores), sancionada en EEUU en 2013 (aunque la sanción fue apelada con éxito), ( ver también aquí)

La aprobación del DMA no implica que en adelante las plataformas prestadoras de servicios digitales vayan a quedar excluidas del derecho competencial común. Por el contrario, representa un elemento adicional de regulación especial

Estructura y visión general del DMA.

Este Reglamente consta de cinco capítulos, completados con disposiciones finales

  • El capítulo primero versa sobre el objetivo del DMA. Delimita su ámbito de aplicación. Incorpora las definiciones esenciales. Establece que el objetivo del DMA es garantizar “… la equidad y la disputabilidad de los mercados en el sector digital donde haya guardianes de acceso, en beneficio de los usuarios profesionales y los usuarios finales”. Conforme a este capítulo, el DMA se  aplica a los servicios básicos de plataforma prestados u ofrecidos por intermediarios. Algunos de estos intermediarios, reciben la consideración de GATEKEEPERS o «guardianes de acceso» por su participación consolidada como proveedores de servicios,  y porque cumplen ciertos criterios relacionados con el número de usuarios, volúmenes de negocio o capitalización.  Conforme al art 2 DMA, los «guardianes de acceso» son  empresas prestadoras de servicios básicos de plataforma, designadas de conformidad con el artículo 3 DMA.  El resto de prestadores  que operan en los 9 sectores contemplados en el DMA son  «servicios básicos de plataforma». Aún no existe la lista de los guardianes, pero es previsible que entre ellos se incluirán, cuando menos, las  llamadas «Big Tech» (Google, Amazon, Meta, Apple, Microsoft).

 

  • El  segundo capítulo II se centra en los “guardianes de acceso” (gatekeepers). No se trata de una consideración o categoría que se adquiera automáticamente, sino que debe ser atribuida por la Comisión Europea. Los Gatekeepers son empresas que prestan servicios básicos de plataforma, y que por su poder económico, controlan el acceso a los mercados digitales y ostentan también poder sobre la competencia en ellos. El artículo 3.1 define a los guardianes en relación con tres requisitos:
      • i) deben tener una gran influencia en el mercado;
      • ii) deben prestar un servicio básico de plataforma que constituya una puerta de acceso para que los usuarios profesionales lleguen a otros usuarios finales; y
      • iii) deben tener una posición afianzada y duradera.

Además, el artículo 3.2 establece la presunción de que concurren los requisitos para ser Gatekeeper cuando se superan determinados umbrales económicos, presunción que admite prueba en contra.

  • El capítulo III se centra en las obligaciones de acción y de omisión de los guardianes
    • Estas obligaciones se contienen principalmente en los artículos 5 a 7. Pero también en los artículos 8, 12, 14 (donde se les impone, entre otras,  un régimen especial de trasparencia y comunicación respecto de las concentraciones que deseen realizar), y en el artículo 15 (sobre técnicas utilizadas para elaborar los perfiles de los consumidores).
    • Se establece la posibilidad de suspender la obligación de cumplir las obligaciones de los artículos 5 a 7, así como la exención por razones de salud pública y seguridad pública.
  • El capítulo IV se centra en 3 tipos de investigaciones que podrá realizar la Comisión Europea. Por un lado, aquellas necesarias para designar guardianes. Por otro, las investigaciones para valorar si una plataforma incumple sus obligaciones. Y también las investigaciones necesarias para identificar nuevos elementos y prácticas (potencialmente ilícitas) de una plataforma.

 

  • El capítulo V versa sobre las competencias de investigación, ejecución y supervisión de la Comisión.  Permite recurrir a “agentes de verificación”. Establece multas sancionadoras y coercitivas, así como las condiciones o finalidades para determinarlas. Y reconoce derechos procesales a los guardianes de acceso. Entre estos derechos destaca el de ser oído y el de acceso al expediente.  También se contempla la cooperación de la Comisión Europea con las autoridades y órganos jurisdiccionales nacionales, así como la creación de un Grupo de Alto Nivel.

 

  • En las Disposiciones Finales del DMA se  establece la competencia del TJUE para revisar las decisiones sancionadoras de la Comisión, así como su competencia para elaborar normas de desarrollo, publicar directrices y adoptar actos delegados. También se anuncia la revisión periódica de la norma, su entrada en vigor y plazos de aplicación.

Recuérdese que a la luz de los problemas estructurales que presentan ciertos operadores (por su estratégica posición operativa y funcional) y teniendo en cuenta la  jurisprudencia del TJUE (y nacional) se habían ido formulando soluciones específicas, que ahora se incorporan al Reglamento.

Sectores en los que operan las plataformas del DMA  

El DMA regula la competencia en sectores en los que operan plataformas digitales,  las llamadas Plataformas de Servicio Básico que prestan servicios en alguno de los siguientes sectores:

Riotinto
Riotinto
  1. motores de búsqueda en línea;
  2. servicios de redes sociales en línea;
  3. servicios de plataforma de intercambio de vídeos;
  4. servicios de comunicaciones interpersonales independientes de la numeración;
  5. sistemas operativos;
  6. navegadores web;
  7. asistentes virtuales;
  8. servicios de computación en nube;
  9. servicios de publicidad en línea, incluidas las redes de publicidad, las plataformas de intercambio de publicidad y cualquier otro servicio de intermediación publicitaria, prestados por una empresa que preste cualquiera de los servicios básicos de plataforma

 

Calificación de determinados proveedores como Guardianes

Para la clasificación de los operadores como Guardianes digitales deben cumplir una combinación de condiciones cuantitativas y cualitativas, previéndose que el supervisor europeo realice investigaciones de mercado para su clasificación.

  • I El DMA establece la presunción de que estamos ante un Guardian si se cumplen ciertos criterios cuantitativos (art. 3(2)) si:
      1. La prestadora de servicio de plataforma principal tiene un volumen de negocios anual en el EEE igual o superior a 500 millones de euros en los últimos tres ejercicios o tiene una capitalización de mercado media igual o superior a 75.000 millones de euros y presta un servicio de plataforma principal en al menos tres Estados miembros″
      2. Dicha empresa opera un servicio de plataforma principal que sirve de importante puerta de entrada para que los usuarios empresariales lleguen a los usuarios finales.  A tales efectos, se establece la presunción de que los criterios se cumplen cuando el servicio de plataforma principal cuenta con más de 45 millones de usuarios finales activos mensuales establecidos o localizados en la Unión y más de 10.000 usuarios empresariales activos anuales establecidos en la Unión en el último ejercicio.
      3. La misma empresa goza de una posición consolidada y duradera en sus operaciones, o es previsible que goce de tal posición en un futuro próximo. Lo que se traduce en el cumplimiento de los umbrales del apartado anterior en cada uno de los tres últimos ejercicios

La presunción admite prueba en contra:  si la plataforma demuestra que debido a las condiciones del servicio de plataforma que opera no satisface los requisitos cualitativos del artículo 3(1) , no le será aplicable la condición de Gatekeeper. Pero, a tales efectos no podrá apoyarse en argumentos económicos relacionados con la definición de mercado, ni en criterios de eficiencia; sino únicamente podrá basarse en los mencionados criterios cuantitativos, para rebatirlos

  • II Criterios cualitativos (art 3.1 DMA) . Hacen referencia al impacto significativo en el mercado interior, a que la plataforma sea un punto de acceso importante para usuarios profesionales o empresariales hacia sus clientes finales y que la titular de la plataforma tenga una posición consolidada y duradera en ese mercado. Estos criterios cualitativos toman en cuenta diversas variables, como la capacidad para controlar el acceso o para aprovechar una posición dominante

Debe también tenerse en cuenta la posibilidad de designar «guardianes emergentes»

 

Bóveda. Catedral de León
Marco general de las obligaciones de los Guardianes de Acceso

 

Deben tenerse en cuenta :

  • Art 5 Obligaciones de los guardianes de acceso
  • Art 6 Obligaciones de los guardianes de acceso que pueden ser especificadas con mayor detalle en virtud del artículo 8
  • Art 7 Obligación de los guardianes de acceso en materia de interoperabilidad de los servicios de comunicaciones interpersonales independientes de la numeración
  • Art 8 Cumplimiento de las obligaciones de los guardianes de acceso
  • Art 12 Actualización de las obligaciones de los guardianes de acceso

Obligaciones y prohibiciones. Apoyo en jurisprudencia anterior

  1. El art 5 (2) DMA prohíbe a los Gatekeepers una serie de comportamientos. Entre ellos: tratar, con el fin de prestar servicios de publicidad en línea, los datos personales de los usuarios finales que utilicen servicios de terceros que a su vez hagan uso de servicios básicos de plataforma del guardián . También prohíbe que los guardianes crucen o combinen los datos personales procedentes de los servicios de sus plataformas con los datos recogidos a través de otros servicios de los mismos Guardianes o de un tercero. Asimismo, impide que los usuarios finales se vean obligados a registrarse en otros servicios ofrecidos por los Guardianes, salvo si éstos dan su consentimiento.
  2. El Guardian debe permitir a los usuarios empresariales ofrecer los mismos productos o servicios a los usuarios finales a través de servicios de intermediación en línea de terceros, y hacerlo a cambio de precios o en condiciones diferentes de los ofrecidos a través de los servicios de intermediación en línea del Guardián (art 5(3))
    • La práctica contraria había sido analizada en un asunto relativo a los libros electrónicos de Amazon donde esta plataforma  exigía a sus usuarios comerciales que ofrecieran, al menos el mejor precio o las mejores condiciones que propusieran a cualquier otro competidor, a través de Amazon. También se apoya en previas investigaciones sobre Booking.com y Expedia
  3. El Guardian deberá permitir a sus usuarios empresariales que realicen ofertas a los usuarios finales con los que tienen contacto mediante su plataforma principal, y  que la celebración de contratos con estos usuarios finales se realice en la misma plataforma del Guardian, o en otra (art 5 (4)). También deben permitir a los usuarios finales acceder y utilizar, a través de los servicios de plataforma principal del Guardián, contenidos, suscripciones, características u otros elementos utilizando la aplicación de software de un usuario empresarial, aun cuando tales elementos hayan sido adquiridos por los usuarios finales del usuario empresarial correspondiente sin utilizar los servicios de plataforma principal del Guardián (art 5(5))

4.  El Guardián debe abstenerse de impedir o restringir a los clientes comerciales que planteen reclamaciones de cualquier tipo u otras cuestiones a cualquier autoridad pública pertinente en relación con cualquier práctica de los Guardianes (art 5 (6))

5.  Igualmente ha de abstenerse de exigir a los usuarios empresariales que utilicen, ofrezcan o interoperen con un servicio de identificación del Guardián en el contexto de los servicios ofrecidos por los usuarios empresariales que utilizan los servicios de la plataforma principal de dicho Guardián

6. Los Guardianes no deben obligar a sus usuarios empresariales a utilizar la identificación de los servicios de la plataforma central del Guardian cuando ofrecen sus servicios. Así, se trata de evitar abusos en la recogida de datos.

7.  Deben evitar la agrupación de diferentes servicios de la plataforma que se identifican como Guardián. Se trata qui de prohibir ciertas prácticas de bundling respecto de la cual en 2018, Google fue multado con 4.300 millones de euros por la Comisión en una decisión sobre Android]. Este grupo había infringido las normas antimonopolio de la UE al obligar a los usuarios de Android a preinstalar sus propios servicios, como la búsqueda de Google y Google Chrome De esta forma, Google se aseguró su posición dominante en términos de búsqueda en internet. Esta sanción acaba de ser confirmada, en su práctica totalidad, con una sanción de 4125 Millones euros por el Tribunal General (Sentencia del Tribunal General en el asunto T-604/18 | Google y Alphabet/Comisión (Google Android))

8-.Tienen que facilitar a los anunciantes y editores a los que presta servicios publicitarios, a petición de éstos, la información relativa al precio pagado por el anunciante y el editor, así como el importe o la remuneración pagada al editor, por la publicación de un determinado anuncio y por cada uno de los servicios publicitarios pertinentes prestados por el Guardián (art 5 (9)). Esta última obligación está relacionada con la investigación de la Comisión Europea sobre las prácticas de Google en materia de datos y publicidad. Sin olvidar sanciones como la de la AEPD de mayo de 2022 contra el mismo operador por 10 millones de euros

Obligaciones y prohibiciones basados en análisis casuísticos.

Reina-Teuta-de-Iliria-circa-235-200-a-C

Tras realizar una evaluación conjunta con el Guardián, (art 6) la Comisión Europea puede especificar individualmente la imposición de obligaciones.

El diálogo con el Guardián tiene que respetar el principio de eficacia y proporcionalidad, tal como se establece en el artículo (7 (5)). Una vez más, la mayoría de estas acciones debidas y prohibidas derivan de asuntos investigados y sancionados por el derecho de la competencia:

  1. Abstenerse de utilizar, en competencia con sus usuarios empresariales, cualquier dato que no esté disponible públicamente y que se genere a través de las actividades de dichos usuarios empresariales, incluidos los usuarios finales de estos usuarios empresariales, de sus servicios de plataforma principal o proporcionados por dichos usuarios empresariales de sus servicios de plataforma principal o por los usuarios finales de estos usuarios empresariales. La posible prohibición de esta práctica se deriva del caso de Amazon Marketplace que está siendo investigado por la Comisión Europea y en el que la Comisión alega que Amazon infringió las normas antimonopolio al utilizar «datos no públicos» de sus usuarios empresariales para competir con ellos (ver nota de prensa de la Comisión de 10.11.2020) 
  2. Garantizar la posibilidad de que los usuarios finales puedan desinstalar las aplicaciones preinstaladas en sus SPI. Esta obligación se deriva de los casos sobre Microsoft Internet Explorer y Google Android, en los que la Comisión Europea les obligó a permitir a los usuarios finales desinstalar la aplicación preinstalada de los servicios de sus plataformas principales.

    Biblioteca Nacional KSV
  3. Permitir la instalación y el uso efectivo de aplicaciones de software o tiendas de aplicaciones de software de terceros que utilicen los sistemas operativos de ese Guardián o interoperen con ellos, y permitir que se acceda a estas aplicaciones de software o tiendas de aplicaciones de software por medios distintos de los servicios de la plataforma principal de ese Guardián. Esta práctica está siendo investigada en el caso de la App Store de Apple. La Comisión considera que Apple no deja que sus competidores informen a los usuarios de la posibilidad de comprar sus productos en otras plataformas distintas de la App store, a precios potencialmente más baratos
  4. Abstenerse de dar un trato más favorable en la clasificación de los servicios y productos ofrecidos por el propio Guardián o por cualquier tercero perteneciente a la misma empresa o grupo, frente a  los servicios o productos similares de terceros y aplicar condiciones justas y no discriminatorias a dicha clasificación. Esta práctica ya ha sido prohibida en el caso de Google Shopping y actualmente se investiga en el caso de Amazon Buy Box. Principalmente, se refiere a la autopreferenciación de productos propios en detrimento de los competidores en los resultados de búsqueda de un determinado marketplace.
  5. Abstenerse de restringir técnicamente la capacidad de los usuarios finales para suscribirse a diferentes aplicaciones y servicios de software distintos de aquellos a los que se accede mediante el sistema operativo del Guardián. Esta prohibición puede considerarse derivado del conflicto entre Spotify y Apple sobre las restricciones impuestas para utilizar Spotify en los dispositivos de Apple, que tenían el propósito de promover los servicios musicales de Apple. Ver aquí
  6. Permitir a los clientes comerciales y a los proveedores de servicios auxiliares el acceso y la interoperabilidad con el mismo sistema operativo, hardware o características de software que están disponibles o se utilizan en la prestación por parte del Guardián de cualquier servicio auxiliar. Esta disposición se deriva de las prácticas analizadas en el asunto Apple Pay. Al favorecer sus dispositivos y su propio método de pago -Apple Pay- en detrimento de sus competidores. Ver aquí 
  7. Proporcionar a los anunciantes y editores, a petición suya y de forma gratuita, acceso a las herramientas de medición del rendimiento del Guardián y a la información necesaria para que los anunciantes y editores realicen su propia verificación independiente del inventario publicitario. Este artículo ayudaría a los clientes comerciales de las plataformas, especialmente a los anunciantes, a tener acceso a los datos relacionados con los anuncios y publicaciones publicados en las plataformas del Guardián. Facebook y Google son potencialmente los principales destinatarios de este precepto

    Rey Alfonso V de León, el de los buenos fueros
  8. Proporcionar una portabilidad efectiva de los datos generados a través de la actividad de un usuario empresarial o usuario final y, en particular, proporcionará herramientas a los usuarios finales para facilitar el ejercicio de la portabilidad de los datos, en consonancia con el GDPR (Reglamento UE 2016/679), incluso proporcionando un acceso continuo y en tiempo real. La citada disposición tiene un alcance más general y no se construye en torno a casos específicos. Considerada como un complemento del Reglamento RGPD, da más precisión en cuanto al alcance de la portabilidad de los datos, al añadir que el acceso a los datos debe ser «continuo» y «en tiempo real” En términos prácticos, esto garantiza tanto el acceso a los usuarios (incluidos los usuarios empresariales) como los beneficios en términos de portabilidad de datos actualizados generados por la plataforma.
  9. Proporcionar a los usuarios empresariales, o a los terceros autorizados por un usuario empresarial, de forma gratuita, el acceso y la utilización efectivos, de alta calidad, continuos y en tiempo real de los datos agregados o no agregados, que se facilitan o se generan en el contexto de la utilización de los servicios básicos pertinentes de la plataforma por parte de dichos usuarios empresariales y de los usuarios finales que utilizan los productos o servicios proporcionados por dichos usuarios empresariales; en el caso de los datos personales, proporcionar el acceso y el uso solo cuando estén directamente relacionados con el uso efectuado por el usuario final con respecto a los productos o servicios ofrecidos por el usuario empresarial pertinente a través del servicio de la plataforma principal correspondiente, y cuando el usuario final opte por dicho intercambio con un consentimiento en el sentido del Reglamento (UE) 2016/679 del RGPD. Este supuesto se deriva de asuntos analizados en la UE y complementa el RGPD. Garantiza más derechos a las empresas y a los usuarios finales en relación con la interoperabilidad de los datos generados en las plataformas. Esto tiene como objetivo hacer que los datos generados por diferentes plataformas sean compatibles y utilizables por diferentes sistemas.
  10. Proporcionar a cualquier tercero proveedor de motores de búsqueda en línea, a petición suya, el acceso, en condiciones justas, razonables y no discriminatorias, a los datos de clasificación, consulta, clic y visualización en relación con la búsqueda gratuita y de pago generada por los usuarios finales en los motores de búsqueda en línea del guardián, con sujeción a la anonimización de los datos de consulta, clic y visualización que constituyen datos personales. Este artículo está especialmente destinado a garantizar un mayor grado de competencia en el mercado de los motores de búsqueda en línea, proporcionando más derechos a los (nuevos) competidores Da a los proveedores de motores de búsqueda en línea acceso a los datos generados por el Guardián del sector (presumiblemente Google Search en este momento, ya que concentra el 95% de la cuota de mercado en este sector) Este supuesto también está relacionado con el caso de Google Search y  con «la lista negra» de la DMA. Ver aquí
  11. Aplicar condiciones generales de acceso justas y no discriminatorias para los usuarios empresariales a su tienda de aplicaciones de software. Esta disposición se dirige a la tienda de aplicaciones de Guardianes (App Store, Google Play) y tiene como objetivo proteger los derechos de los desarrolladores de aplicaciones y de las empresas-usuarios.

 

Covas, Viveiro (Lu)

Otras obligaciones para los Guardianes

  • Según el art. 3, los Guardianes tienen que notificar a la Comisión cuando cumplan los umbrales para ser considerados Guardianes
  • De acuerdo con el art. 11,los Gatekeepers deben aportar a la Comisión Europea un informe describiendo de forma detallada y transparente las medidas que han puesto en práctica para cumplir las obligaciones de los artículos 5, 6 y 7.
  • Conforme al art. 12, los Guardianes tienen que notificar a la Comisión su intención de realizar futuras fusiones y adquisiciones.
  • Según el art. 13, cuando son designados como Guardianes, la empresa tiene que realizar una auditoría independiente sobre su técnica de elaboración de perfiles de consumidores y presentarla a la Comisión.
  • El art. 14  les obliga a informar sobre sus operaciones de concentración, cuando las partes de tal operación estructural presten servicios básicos de plataforma u otros servicios en el sector digital o permitan la recopilación de datos,  ya sean o no objeto de notificación al amparo del Reglamento europeo de concentraciones.
  • El art. 15 establece que los Guardianes deben hacer llegar a la Comisión Europea, dentro de los 6 meses de su designación como tales,  un informe de auditoría relativo a las técnicas utilizadas para elaborar perfiles de sus clientes, que el guardián de acceso aplique en sus servicios básicos de plataforma.

Competencias de investigación y sancionadoras de la Comisión Europea

El DMA reconoce a la Comisión Europea competencias de regulación, investigación del mercado y sanción.

  • Efectuar investigaciones de mercado para designar a los Guardianes (Art. 15)
  • Llevar a cabo investigaciones de mercado para especificar las obligaciones impuestas a los Guardianes y controlar su cumplimiento (Art. 16)
  • Realizar investigaciones de mercado para identificar nuevos servicios y prácticas que puedan estar sujetos a las obligaciones enumeradas en el Art. 5 y Art. 6 (Art. 17)
  • Llevar a cabo investigaciones de mercado para designar a los Guardianes (Art. 15)
  • La Comisión Europea podrá realizar investigaciones de mercado para examinar si un Guardián de acceso incumple sistemáticamente las obligaciones impuestas por el DMA (art. 18).

Si la Comisión Europea apreciara que un incumplimiento sistemático de las obligaciones contenidas en los artículos 5, 6 o 7, y ha reforzado o extendido la posición del Gatekeeper, está facultada para imponer sanciones estructurales o de conducta proporcionadas para asegurar el cumplimiento del DMA. Las sanciones que podrán imponerse a los Guardianes en caso de incumplimiento o incumplimiento sistemático pueden alcanzar hasta el 10% del volumen de negocios mundial del Guardián

Relación con la aplicación del derecho nacional de la competencia

Merindades burgalesas
Merindades, Burgos
  • El Art. 1(5) DMA establece que los Estados miembros tienen prohibido imponer a los Guardianes otras obligaciones por medio de leyes, reglamentos o acciones administrativas con el fin de garantizar mercados contestables y justos. Quedan exentas de esta prohibición las obligaciones que no estén relacionadas con el hecho de que las empresas correspondientes tengan la condición de Guardián en el sentido del Reglamento DMA.
  • No obstante, debe tenerse en cuenta que el 22 de marzo de 2022, el Tribunal de Justicia de las Unión Europea dictaminó, en los asuntos C-117/20 Bpost y C-151/20 Nordzucker, a favor de la licitud de iniciar el escrutinio antimonopolio de las sociedades, aunque ya hayan sido investigadas en virtud de una normativa sectorial (como sería el DMA), siempre y cuando los dos asuntos «se lleven a cabo de forma suficientemente coordinada en un marco temporal próximo y las sanciones globales impuestas se correspondan con la gravedad de las infracciones cometidas” Esto abre una vía para la investigación y sanción nacional paralela de los Guardianes

Entrada redactada con el apoyo del Proyecto de Investigación Nacional “Los remedios restaurativos en el Derecho de la Competencia: una respuesta a los retos que plantea la economía digital”, con referencia PID2020-116217RB-I00 (convocatoria de Proyectos de I+D+i en el marco del Programa estatal de generación de conocimiento y fortalecimiento científico y tecnológico del sistema de I+D+i. Y con el apoyo del Programa Estatal de I+D+i orientada a los retos de la sociedad”. (Orden CNU/320/2019, de 13 de marzo, se aprobaron las bases reguladoras para la concesión de ayudas públicas del Programa Estatal de Generación de Conocimiento y Fortalecimiento Científico y Tecnológico del Sistema de I+D+i y del Programa Estatal de I+D+i Orientada a los Retos de la Sociedad, en el marco del Plan Estatal de Investigación Científica y Técnica y de Innovación 2017-2020).

 

 

Hacia la regulación del IoT. El Real Decreto-ley (sobre 5G )de 2022- Definiciones iniciales y sujetos obligados

Las redes y servicios 5G, pueden definirse como el conjunto de todos los elementos de la infraestructura de red pertinentes para las tecnologías de las comunicaciones móviles e inalámbricas utilizados en los servicios de conectividad y de valor añadido con características de alto rendimiento, tales como capacidades y velocidades de datos muy elevadas, comunicaciones de baja latencia, fiabilidad ultraelevada o soporte de un elevado número de dispositivos conectados. Pueden incluir elementos de la red preexistentes basados en generaciones anteriores de tecnologías de las comunicaciones móviles e inalámbricas, como 4G o 3G. Se entiende que las redes 5G incluyen todas las partes pertinentes de la red;(Recomendación (UE) 2019/534 de la Comisión, de 26 de marzo de 2019, Ciberseguridad de las redes 5G). Permiten transportar ingentes volúmenes de información y permiten la interacción simultánea entre personas y cosas. Se basan  en complejas arquitecturas de red abierta y desagregada. Y plantean riesgos graves y específicos.

Expo. Cidade da Cultura. Santiago de Compostela. 2021–

Los equipos y programas informáticos del 5G ofrecen prestaciones características como la computación en el borde (edge computing) ; o la virtualización múltiple de redes (network slicing), y utilizan enfoques propios de la informática y de los servicios de computación en nube, distintos del enfoque tradicional de las redes de comunicaciones electrónicas. Operan fundamentalmente mediante sistemas informáticos y de servicios proporcionados por proveedores externos, de los que dependen los proveedores o suministradores de servicios. 

  • La computación en el borde desplaza el procesamiento de datos de la nube a su lugar de origen, reduciendo la latencia: los datos de Internet of Things (IoT) son procesados en la periferia de la red (cloud edge), en la misma fuente que los genera o tan cerca de ella como sea posible
  • La virtualizacion  de redes permite dividir una red física en diferentes subredes virtuales dedicadas, en específico, a un grupo de usuarios o a un servicio concreto.

El 5G plantean retos de seguridad que no puedan abordarse únicamente con las normas sobre seguridad e integridad de las redes de comunicaciones electrónicas (Ley 9/2014, de 9 de mayo, General de Telecomunicaciones), ni con el paquete de Seguridad de Redes y Sistemas de Información (NIS, incorporado entre nosotros con el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información), ni con la normativa de protección de infraestructuras críticas (Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas). De ahí la aprobación del Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación,  lex specialis en el ámbito de las redes móviles de quinta generación o 5G,  esencial en el IoT.

Este Real Decreto-ley se aplica, conforme a su artículo 4 a tres tipos de organizaciones. Todas ellas deberán llevar a cabo un tratamiento integral de la seguridad de las redes, elementos, infraestructuras, recursos, facilidades y servicios de los que sean responsables. Deberán llevar a cabo, mediante un método holístico, un análisis de las vulnerabilidades, amenazas y riesgos que les afecten como agentes económicos y mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su mitigación o eliminación y alcanzar el objetivo final de una explotación y operación seguras de las redes y servicios 5G. Están sometidas a especiales deberes de gestión de riesgos

Expo na Cidade da Cultura (Santiago, 2021)
  • Los operadores 5G. Son personas físicas o jurídicas que instalan, despliegan o explotan redes públicas 5G o prestan servicios 5G disponibles al público a través, total o parcialmente, de las redes 5G, dispongan de red 5G propia o no.
  • Los suministradores 5G. Son fabricantes, representantes autorizados, importadores, distribuidores, prestadores de servicios logísticos o cualquier otra persona física o jurídica sujeta a obligaciones en relación con la fabricación de productos, su comercialización o su puesta en servicio en materia de equipos de telecomunicación, los suministradores de hardware software y los proveedores de servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G.
    • A su vez, el Gobierno,  previo informe del Consejo de Seguridad Nacional y previa audiencia de los  afectados  podrá calificar que determinados suministradores 5G son de alto riesgo.
  • Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación. Son personas físicas o jurídicas que instalan, despliegan o explotan redes privadas 5G o presta servicios 5G a través, total o parcialmente, de las redes 5G, para fines profesionales o en autoprestación.

La extraordinaria y urgente necesidad de este Real Decreto-ley se justifica en el incremento del riesgo de ciberataques contra redes 5G desplegadas o a punto de ser desplegadas en nuestro país, en la necesidad de fortalecer la ciberseguridad de la tecnología 5G y  la autonomía y soberanía tecnológica de la Unión Europea