Primeros desarrollos reglamentarios y de normas técnicas de DORA. Listados

Las normas de desarrollo del DORA, aprobadas por la Comisión Europea  con el apoyo en las normas técnicas de las autoridades independientes financieras  han sido ya en su mayoría  adoptadas, o al menos han sido publicadas los borradores finales de normas técnicas:

Rio Arno, Luminaria, di San Rainieri, 2024

 

 

Sobre la Directiva DORA, el Reglamento DORA y las cadenas de proveedores TIC en el sector financiero

La Directiva (UE) 2022/2556 del Parlamento Europeo y del Consejo, adoptada el 14 de diciembre de 2022, introduce modificaciones en varias directivas clave para fortalecer la resiliencia operativa digital del sector financiero en la Unión Europea.

Il Giardino II

Il Giardino II

Forma parte del paquete de medidas conocido como Digital Operational Resilience Act (DORA), que busca garantizar que todas las entidades financieras puedan resistir y recuperarse de cualquier tipo de perturbación relacionada con las tecnologías de la información y la comunicación (TIC). Además, introduce un enfoque integral sobre las cadenas de valor en el sector financiero, especialmente en lo que se refiere a la gestión de riesgos derivados de las terceras partes que proveen servicios tecnológicos esenciales para el funcionamiento de las entidades financieras. Su plazo de trasposición concluyó el pasado 17.01.2025

Principales Modificaciones Introducidas por la Directiva (UE) 2022/2556

  • Directiva 2009/65/CE: relativa a la coordinación de las disposiciones legales, reglamentarias y administrativas en materia de organismos de inversión colectiva en valores mobiliarios (OICVM).
  • Directiva 2009/138/CE: sobre el acceso a la actividad de seguro y de reaseguro y su ejercicio (Solvencia II).
  • Directiva 2011/61/UE: relativa a los gestores de fondos de inversión alternativos.
  • Directiva 2013/36/UE: sobre el acceso a la actividad de las entidades de crédito y la supervisión prudencial de las entidades de crédito y las empresas de inversión.
  • Directiva 2014/59/UE: por la que se establece un marco para la recuperación y la resolución de entidades de crédito y empresas de servicios de inversión.
  • Directiva 2014/65/UE: relativa a los mercados de instrumentos financieros (MiFID II).
  • Directiva (UE) 2015/2366: sobre servicios de pago en el mercado interior (PSD2).
  • Directiva (UE) 2016/2341 relativa a las actividades y la supervisión de los fondos de pensiones de empleo.

Objetivos de la directiva:

Camminare sopra le mura pisane

  1. Fortalecer la Resiliencia Operativa Digital: Garantizar que las entidades financieras de la UE posean las capacidades necesarias para prevenir, detectar, contener, reparar y recuperarse de incidentes relacionados con las TIC.
  2.  Establecer un marco coherente y uniforme en toda la UE respecto a los requisitos de resiliencia operativa digital, evitando discrepancias entre Estados miembros.
  3. Supervisión y gestión de riesgos: Implementar mecanismos robustos de gestión de riesgos de las TIC y establecer procesos de notificación de incidentes significativos.
  4. Terceras Partes Críticas: Regular la supervisión de proveedores externos de servicios TIC que sean críticos para el funcionamiento de las entidades financieras, asegurando que también cumplan con los estándares de resiliencia operativa.

En relación con este último aspecto,  las cadenas de suministros TIC más importantes (cadenas de valor) esta directiva ofrece pautas importantes

4.1 Gestión de Riesgos de Terceras Partes Críticas

La directiva enfatiza la importancia de gestionar los riesgos asociados con las terceras partes que proporcionan servicios críticos, como los proveedores de tecnología, de infraestructura digital y de servicios en la nube. Estos proveedores son fundamentales en las cadenas de valor del sector financiero, y su fallo puede tener impactos significativos en la resiliencia operativa de las entidades financieras. El Artículo 28 de la Directiva establece que las entidades financieras deben asegurarse de que sus proveedores de servicios críticos cumplan con los requisitos de resiliencia operativa digital establecidos por DORA. Por ello, estas terceras partes deben ser monitorizadas y evaluadas en cuanto a su capacidad para gestionar los riesgos operativos y cibernéticos. En particular, se exige que las entidades financieras evalúen la concentración de sus proveedores, para evitar dependencias excesivas de un único proveedor o de una región geográfica vulnerable.

4.2 Supervisión de las Cadenas de Valor Externas

La directiva establece una obligación de transparencia y supervisión de las cadenas de valor externas, es decir, las relaciones que las entidades financieras tienen con sus proveedores externos en el marco de las operaciones tecnológicas y de infraestructura. Las entidades deben documentar y gestionar los riesgos asociados a su entorno externo, realizando evaluaciones de impacto en caso de incidentes que afecten a los proveedores clave en sus cadenas de suministro. Esto incluye incidentes cibernéticos, tecnológicos o de infraestructura que afecten a los servicios críticos.

4.3 Requisitos de Notificación de Incidentes de Terceras Partes

El Artículo 31 de la Directiva establece que las entidades financieras deben notificar los incidentes graves que ocurran a través de sus proveedores externos si estos afectan la capacidad operativa de la entidad. Además, las autoridades competentes deben tener acceso a esta información para evaluar el impacto de tales incidentes en la cadena de valor global del sector financiero. Las entidades deberán informar de los incidentes que hayan tenido un impacto significativo en su operación o en sus relaciones con proveedores, sobre todo si estos incidentes afectan a la resiliencia digital.

4.4 Evaluación y Mitigación de Riesgos en las Cadenas de Valor

  • La directiva también obliga a las entidades financieras a llevar a cabo evaluaciones continuas de los riesgos sistémicos derivados de sus cadenas de valor. Las entidades deben garantizar que los servicios esenciales no se vean interrumpidos en caso de fallos de sus proveedores de tecnología.
  • Las medidas de mitigación pueden incluir la diversificación de proveedores y la gestión de contratos con cláusulas específicas que aseguren la continuidad de los servicios en caso de crisis.

  4.5 Intervención de las Autoridades de Supervisión

  • Si una entidad financiera identifica un riesgo significativo derivado de un proveedor en su cadena de valor, las autoridades de supervisión pueden intervenir y ordenar medidas correctivas para prevenir posibles disrupciones en el mercado.

¿Qué relación tiene esta directiva con el Reglamento DORA, en especial en lo relativo a las cadenas ?

La Directiva DORA (Digital Operational Resilience Act) y su correspondiente Reglamento DORA abordan la resiliencia operativa digital en el sector financiero europeo, pero de manera diferente en cuanto a los ámbitos que regulan. La Directiva DORA se centra principalmente en establecer las bases generales para la resiliencia operativa digital del sector financiero, con un énfasis en la gestión de riesgos de las cadenas de valor externas y la supervisión de las relaciones con terceros. Se ocupa de los siguientes aspectos de las cadenas de valor:

  • La Directiva se enfoca en la gestión de riesgos derivados de los proveedores de servicios tecnológicos críticos para las entidades financieras. Esto incluye, por ejemplo, los proveedores de servicios en la nube, las infraestructuras de TI y otros servicios de tecnología. Su art 28 impone a las entidades financieras a asegurar que sus proveedores de servicios críticos en las cadenas de valor cumplan con los requisitos de resiliencia operativa. Las entidades deben identificar, gestionar y reducir los riesgos asociados a estos proveedores.
  • En cuanto a la evaluación de riesgos y continuidad de los servicios, la Directiva DORA regula la necesidad de que las entidades financieras realicen evaluaciones de riesgos sobre sus proveedores externos y que mitiguen los posibles impactos derivados de disrupciones en la cadena de valor. También exige que las entidades informen sobre incidentes graves de terceros que afecten su operación.
  • Por lo que respecta a la supervisión y transparencia,: exige que las entidades informen a las autoridades competentes sobre riesgos operativos significativos en sus relaciones con los proveedores y sobre incidentes cibernéticos o tecnológicos que puedan afectar la cadena de valor.

Teverga

Por su parte, el Reglamento DORA complementa la Directiva DORA proporcionando detalles más técnicos y operativos sobre la implementación de las medidas de resiliencia operativa. Mientras que la Directiva establece el marco legal, el Reglamento detalla los requisitos específicos y los procedimientos.

  • El Reglamento DORA establece los detalles operativos para la evaluación de proveedores de servicios críticos (terceras partes). En él, se encuentran las especificaciones para la supervisión de los proveedores de servicios tecnológicos y los requisitos detallados sobre cómo las entidades financieras deben gestionar su relación con estos proveedores.
  • El artículo 28 del Reglamento detalla cómo deben gestionarse las relaciones contractuales con los proveedores críticos, asegurando que las cláusulas contractuales garanticen que los proveedores de servicios puedan soportar los requisitos de resiliencia operativa exigidos por la Directiva DORA.
  • El Reglamento DORA define los requisitos más detallados para la evaluación de riesgos y la mitigación de disrupciones que puedan surgir en la cadena de valor externa, sobre todo de los proveedores de servicios tecnológicos.
  • Establece las obligaciones de monitoreo y gestión continua de las relaciones con terceros y cómo las entidades deben gestionar los riesgos de concentración, es decir, evitar una excesiva dependencia de un solo proveedor.

Por tanto, la  Directiva DORA proporciona el marco legal general para la gestión de riesgos de las cadenas de valor en el sector financiero, enfocándose en las relaciones con proveedores externos (servicios críticos) y la obligación de gestionar y mitigar los riesgos asociados a estos proveedores. Mientras, el Reglamento DORA ofrece los detalles operativos y específicos sobre cómo deben implementarse las exigencias de la Directiva, particularmente con respecto a la evaluación de riesgos, contratos con proveedores y supervisión continua de las relaciones externas. Es decir, la Directiva establece los principios fundamentales, y el Reglamento ofrece las herramientas y procedimientos específicos para llevar a cabo esos principios en la práctica, garantizando una resiliencia operativa efectiva en toda la cadena de valor del sector financiero.

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Conformidad de los Productos con Elementos Digitales en el Reglamento de Ciberresiliencia

El Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativo a los requisitos horizontales de ciberseguridad para los productos con elementos digitales y por el que se modifica el Reglamento (UE) n.° 168/2013 y el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828 (Reglamento de Ciberresiliencia, CRA por sus siglas en inglés) introduce un sistema escalonado de verificación de conformidad, para que los productos con elementos digitales cumplen con estándares de ciberseguridad antes de su comercialización en la UE. La combinación de la declaración de conformidad, la certificación y el marcado CE refuerza la seguridad en el ecosistema digital europeo

1. Declaración UE de Conformidad (Artículo 20 CRA)

Es un documento obligatorio que el fabricante debe emitir para confirmar que su producto cumple con los requisitos esenciales de ciberseguridad establecidos en el Anexo I del Reglamento.

  • Es exigida para todos los productos con elementos digitales que entran en el mercado de la UE.
  • Permite la libre circulación de estos productos dentro del mercado único europeo.
  • Debe mantenerse actualizada y accesible para las autoridades nacionales competentes durante al menos 10 años después de que el producto haya sido comercializado.
  • Su contenido mínimo está detallado en el Anexo V del Reglamento.

2. Certificación Europea de Ciberseguridad (Artículo 21 CRA)

Para productos considerados de mayor riesgo, el Reglamento exige una certificación de ciberseguridad que verifique su conformidad con los estándares europeos.

  • Aplica a los productos críticos con elementos digitales enumerados en el Anexo IV del CRA.
  • La certificación se realiza bajo esquemas europeos de certificación regulados por el Reglamento (UE) 2019/881 sobre ciberseguridad.
  • Existen tres niveles de garantía, en función del riesgo:
    • Básico: Protección contra riesgos mínimos.
    • Sustancial: Protección frente a ataques más sofisticados.
    • Alto: Garantiza un alto nivel de resistencia ante amenazas avanzadas.
  • La certificación debe ser realizada por Organismos de Evaluación de la Conformidad, acreditados por los Estados miembros y supervisados por la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

3. Marcado CE y Obligaciones del Fabricante (Artículos 18 y 19 CRA)

El marcado CE indica que un producto cumple con los requisitos del CRA y que puede comercializarse en la UE.

  • Con el marcado, el fabricante garantiza que el producto ha pasado los procedimientos de evaluación de conformidad.
  • Debe ser visible, legible e indeleble en el propio producto, su embalaje o su documentación.
  • Las autoridades nacionales pueden solicitar pruebas de conformidad y, en caso de incumplimiento, exigir la retirada del producto del mercado.

4. Procedimientos de Evaluación de la Conformidad (Artículo 22 CRA)

El CRA establece diferentes procedimientos para evaluar si un producto cumple con los requisitos de ciberseguridad:

      1. Control interno de la producción:

        • Aplicable a productos con menor impacto en la ciberseguridad.
        • El fabricante realiza una autoevaluación y emite la Declaración UE de Conformidad.
      2. Gestión de calidad total:

        • Aplicable a productos con mayor impacto en la ciberseguridad (por ejemplo, los del Anexo III del Reglamento).
        • Requiere que un organismo independiente supervise el sistema de gestión de calidad del fabricante.
      3. Evaluación por un organismo notificado:

        • Obligatorio para productos críticos incluidos en el Anexo IV.
        • Un organismo de certificación independiente (acreditado para certificar) verifica la conformidad antes de su comercialización.

Reglamento de Ciberresiliencia (CRA): Nuevas Obligaciones en Materia de Ciberseguridad para Productos con Elementos Digitales

El 10 de diciembre de 2024 entró en vigor el Reglamento (UE) 2024/2847 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, más conocido como Reglamento de Ciberresiliencia (CRA, por sus siglas en inglés). Establece requisitos de ciberseguridad para los productos con elementos digitales y modifica el ordenamiento anterior, principalmente el Reglamento (UE) n.º 168/2013, el Reglamento (UE) 2019/1020 y la Directiva (UE) 2020/1828.

El Reglamento de Ciberresiliencia representa un cambio significativo en la normativa de ciberseguridad en la UE con obligaciones claras para fabricantes y distribuidores, que repercuten en la mejor protección de consumidores y empresas al exigir productos más seguros en el mercado. En este blog ya se había prestado atención a la Propuesta de la Comisión

El Reglamento de Ciberresiliencia introduce normas horizontales aplicables a múltiples sectores, estableciendo requisitos mínimos de ciberseguridad en toda la UE para

  • Mejorar la ciberseguridad de muchos productos y evitar la falta de actualizaciones de seguridad oportunas.
  • Facilitar que los productos digitales sean seguros a lo largo de su ciclo de vida.
  • Exigir a los fabricantes una supervisión continua de sus productos tras su comercialización.
  • Obligar a la certificación de productos críticos mediante organismos de certificación especializados.

Tambre

El CRA define los productos digitales en su artículo 3, como: «Programas informáticos o equipos informáticos y sus soluciones de procesamiento de datos remoto, incluidos los componentes consistentes en programas informáticos o equipos informáticos que se introduzcan en el mercado por separado.»

En términos simples, los productos digitales son cualquier producto de software o hardware que incorpore elementos digitales y esté conectado directa o indirectamente a otro dispositivo o red.

El Reglamento se aplica a todos los productos digitales que puedan suponer un riesgo para la ciberseguridad dentro del mercado de la UE. No obstante, establece excepciones para algunos sectores ya regulados, como los productos sanitarios, la aviación y la automoción. También quedan excluidos ciertos productos de software de código abierto que ya cuentan con normas específicas. Además, introduce disposiciones particulares para repuestos de componentes, estableciendo que estos quedan exentos de los requisitos del CRA si cumplen dos condiciones:

  • Ser utilizados para reparar productos comercializados antes de la entrada en vigor del CRA.
  • Haber sido ya sometidos a un procedimiento de evaluación de conformidad compatible con el CRA.

En relación con los fabricantes, los principales (no los únicos) sometidos al Reglamento, los artículos 13 a 15 detallan sus principales obligaciones:

 

  • Evaluación de riesgos de ciberseguridad: Los fabricantes deben realizar una evaluación integral de riesgos en todas las fases del ciclo de vida del producto, desde su planificación hasta su mantenimiento. Esta evaluación debe documentarse y actualizarse periódicamente.
  • Diseño seguro desde el origen: Los productos deben desarrollarse con medidas de ciberseguridad adecuadas desde su concepción, asegurando que las posibles amenazas sean identificadas y mitigadas.
  • Gestión de vulnerabilidades: Los fabricantes deben detectar, notificar y corregir vulnerabilidades en sus productos, incluyendo componentes de terceros o de código abierto.
  • Documentación técnica: Toda la información sobre la gestión de ciberseguridad debe estar registrada y justificada en la documentación del producto.
  • Certificación de productos críticos: Aquellos productos con especial relevancia para la ciberseguridad deberán someterse a una evaluación por parte de Organismos de Certificación de la Conformidad acreditados en cada Estado miembro.

Marcado CE y conformidad (desarrollado en siguientes entradas)

Los productos con especial relevancia para la ciberseguridad deberán llevar el marcado CE (Conformité Européene), indicando su conformidad con los requisitos del CRA. Para ello, los fabricantes deberán (de modo previo y como requisito para la comercialización en la UE de ese producto):

  • Realizar una evaluación de conformidad para demostrar que el producto cumple con los estándares de ciberseguridad.
  • Emitir una Declaración UE de conformidad, un documento que certifica el cumplimiento del reglamento.
  • Insertar un marcado o certificado 

Conexión con la Directiva sobre responsabilidad por productos defectuosos

Fiume Arno, traversata di Pisa

El CRA complementa lo dispuesto en la Directiva (UE) 2024/2853 sobre responsabilidad por los daños causados por productos defectuosos, que establece la responsabilidad objetiva del fabricante. Esto significa que, conforme a la Directiva, los fabricantes serán responsables de los daños derivados de fallos de seguridad en sus productos, incluso sin necesidad de demostrar culpa o falta de diligencia. Por tanto, si un producto presenta vulnerabilidades tras su comercialización debido a fallos de seguridad, el fabricante podría ser considerado responsable conforme a la Directiva, sin embargo, las obligaciones relativas a actualizaciones de seguridad están definidas específicamente en el CRA.

Entrada en vigor y aplicación

Si bien el CRA entró en vigor el 10 de diciembre de 2024, sus principales requisitos serán exigibles a partir del 27 de diciembre de 2027. Esto brinda a las empresas un período de adaptación para cumplir con las nuevas obligaciones.

A propósito de los «guardianes de acceso» en el Digital Markets Act (DMA)

El DMA, Reglamento (UE) 2022/1925, sobre mercados disputables y equitativos en el sector digital impone obligaciones y prohibiciones a los llamados guardianes de acceso: empresas que proporcionan «servicios básicos de plataforma» , que son designadas como tales por la Comisión Europea (artículo 2(1) DMA). (Se pueden consultar notas anteriores sobre el DMA aqui y aqui )

Luminaria pisana

Tales servicios básicos de plataforma abarcan la mayoría de los proveedores de los principales servicios digitales  (art. 2(2)DMA):

  • Motores de búsqueda y otros servicios de intermediación en línea;
  • Redes sociales, plataformas para compartir vídeos y otros servicios de comunicación interpersonal;
  • Sistemas operativos, navegadores web y asistentes virtuales;
  • Servicios de computación en la nube;
  • Servicios de publicidad en línea.

La Comisión designa a los guardianes como tales, cuando verifica que cumplen una serie de condiciones (art. 3):

  • Un impacto significativo en el mercado de la UE : esta condición se presume si los ingresos anuales de la empresa superan los 7.500 millones de euros o tienen una capitalización de mercado superior a 75.000 millones de euros.
  • Su plataforma de servicios representa un punto de entrada importante  para que los usuarios comerciales lleguen a los usuarios finales: esta condición se presume si la empresa tiene al menos 45 millones de usuarios mensuales y al menos 10 000 usuarios comerciales activos anualmente en la Unión.
  • Una  posición arraigada y duradera  en sus operaciones: esta condición se presume si la empresa cumplió las condiciones anteriores en cada uno de los tres años anteriores a la designación.

En septiembre de 2023, la Comisión Europea designó a seis guardianes: Alphabet, Amazon, Apple, ByteDance, Meta y Microsoft.

Fiume Arno, traversata di Pisa

Obligaciones de los guardianes

Una vez designados, los guardianes de acceso tienen seis meses para cumplir con un conjunto de obligaciones específicas (artículo 3(8)).

Las obligaciones se dividen en dos grupos: unas que se aplican siempre (listadas en el artículo 5 DMA) y otra que contiene obligaciones que la Comisión puede especificar con más detalle (enumeradas en el artículo 6 DMA). En cualqier caso, el cumplimiento de estas obligaciones no puede evitarse con justificaciones de eficiencia o protección de privacidad, sino sólo con alguna excepción establecida en la propia ley ( a diferencia de lo que sucede con las obligaciones derivadas de la legislación de competencia de la UE de conformidad con los artículos 101 y 102 del TFUE).

Las obligaciones impuestas por el DMA son bastante específicas y responden a casos concretos, aunque la Comisión tiene la facultad de actualizarlas, de conformidad con el artículo 12 DMA, para adaptarlas a nuevos productos y modelos comerciales. A día de hoy, algunas obligaciones y prohibiciones destacan por su relación con decisiones judiciales y administrativas previas:

Datos

  • Abuso de la posibilidad técnica de las plataformas de utilizar datos de sus usuarios comerciales. El artículo 6(2) establece la obligación de que los guardianes se abstengan de utilizar los datos de sus usuarios comerciales o de los obtenidos como consecuencia de la relación con ellos. Se entiende generalmente que esta disposición se inspira en la investigación de la Comisión a  Amazon por utilizar los datos de comerciantes usuarios de la plataforma para replicar sus productos más exitosos (posiblemente con la consecuencia de expulsarlos del mercado) (Caso no. AT.40462 – Amazon Marketplace).
  • Acceso de los usuarios comerciales a datos de los guardianes de acceso, por ejemplo, a los datos de los motores de búsqueda (artículo 6(7) y (8), de modo que puedan ser aprovechados al margen de la propia plataforma. Estas disposiciones tienen por objeto generar igualdad de condiciones en áreas en las que los gigantes del big data como Google tienen ventaja.

Neutralidad en la intermediación y distribución

  • El DMA se ocupa de impulsar la distribución justa de productos digitales en las plataformas, de prevenir el abuso del poder de las plataformas que controlan el acceso a la web y a sus propios servicios por parte de millones de usuarios y de evitar  «cuellos de botella» en las web.  Este tipo de preocupación se evidenció , entre otros, cuando Spotify se quejó de no poder celebrar contratos ni facturar, en sus propios términos y condicionados contractuales, con los usuarios de Apple. Sucedía que esta gran digital obligaba -de hecho- a que los pagos de productos y servicios realizados en sus infraestructuras se realizasen empleando el propio el sistema de pago de la aplicación de Apple. En efecto, Apple exigía el abono de una tarifa elevadísima (el 30%) a los proveedores de servicios que se apoyasen en medios de pago distintos de los de la propia Apple. Ello, en su día desencadenó reclamaciones en los Países Bajos  y la interposición de la demanda de Epic Games, en EE. UU.
  • Las prohibiciones relacionadas con estos hechos, se localizan hoy en el artículo 5(2)(c) DMA sobre cruce de datos; en el artículo 6 (3) DMA relativo a acuerdos de vinculación. La obligación legal de permitir las tiendas de aplicaciones de terceros (artículo 6(5) DMA) también está relacionada con los mencionados comportamientos. Y, el llamado acceso «FRAND» a las tiendas de aplicaciones no es ajeno a la voluntad del legislador europeo de evitarlos. En esencia, las disposiciones indicads tienen como objetivo rebajar el nivel de control que ejercen los grandes proveedores de plataformas y los sistemas operativos, como Apple y Google. La DMA promueve que esas plataformas estén abiertas a aplicaciones, servicios de pago y tiendas de aplicaciones de terceros, con el fin de permitir a los usuarios finales diversificar el origen de sus aplicaciones.
  • Con todo, el DMA incluye una cláusula específica que permite a los guardianes rechazar actuar como plataforma de algunos servicios comerciales por cuestiones de integridad o seguridad

Neutralidad de dispositivos e interoperabilidad

  • Los guardianes de acceso deben garantizar que los usuarios puedan desinstalar aplicaciones en los sistemas operativos, asistentes virtuales y navegadores web (6(3) DMA; así como cambiar la configuración predeterminada de servicios como los motores de búsqueda, haciendo frente de modo preventivo a un problema antimonopolio que se remonta a los primeros casos de Microsoft (ver aquí)
  • Los guardianes deberán ofrecer a sus usuarios la posibilidad de elegir entre aplicaciones propias y de terceros (Preámbulo, 45). Esto se relaciona con la sanción de 4,34 bn euros impuesta por la Comisión Europea a Google (ver aqui)
  • Los guardianes de acceso deben abrir sus servicios de mensajería (“servicios de comunicaciones interpersonales independientes de los números”), garantizando la interoperabilidad entre sus servicios y los de terceros.

Neutralidad en la clasificación (prohibición de autopreferenciarse)

  • La prohibición de autopreferenciarse se relaciona con el asunto Google Shopping. Google había introducido un servicio de comparación de compras que permitía a los usuarios comparar rápidamente productos y precios utilizando un botón en la parte superior de la página de resultados de búsqueda de Google. Pero, en ese servicio la gran plataforma  había relegado los sitios de los servicios de la competencia en el interfaz que mostraba los resultados, privándolos de tráfico indispensable. En respuesta, la Comisión ordenó a Google que tratara a los servicios de comparación de compras de la competencia de la misma manera que a los suyos (EU Commission, June 27, 2017, Case no. AT.39740Google Search (Shopping).  El Tribunal General de la UE confirmó la decisión de la Comisión sobre la neutralidad de los motores de búsqueda en 2021 (Case no. T-612/17 – Google and Alphabet v Commission (Google Shopping)  , como hizo el Tribunal de Justicia de la UE (Case C‑48/22 P) . (comentada aqui)
  • Esta disposición se aplicará no sólo a los servicios de comparación de compras, sino también a otras funciones de los motores de búsqueda especializados que Google supuestamente intentó excluir, como bolsas de trabajo, sitios de búsqueda de vuelos o portales de viajes.

Transparencia en la publicidad online

  • Google genera el 80% de sus ingresos a partir de anuncios en línea (así se refleja en las investigaciones de la estadounidense SEC y de la Autoridad Británica de la Competencia).  Sus altísimas ganancias derivan en buena medida, por lo tanto, de su posición dominante en la venta de espacio para anuncios en línea y en la cadena de suministro de los servicios publicitarios .
  • Hoy, el DMA obliga a los proveedores de tecnología publicitaria como Google a proporcionar información completa sobre precios y tarifas  y a proporcionar a sus clientes los datos necesarios para realizar mediciones independientes.

Concentraciones

  • Las GAFA (Google, Amazon, Facebook, Apple) adquirieron más de 400 empresas en la década entre 2009 y 2019. En muchos casos, el resultado fue el cierre de la empresa objetivo, es decir, la eliminación del competidor. Incialmente, tales operaciones resultaron inadvertidas por las autoridades de la competencia pues no superaban los umbrales de notificación (centrados en los ingresos, no en el valor de la transacción) porque las empresas más jóvenes cuyo producto futuro puede llegar a ser muy valioso, no generan ingresos significativos cuando se convierten en objetivo de las grandes, quedando así por debajo del umbral de control de la autoridad de la competencia. Tomando esta situación como referencia, el DMA obliga a los guardianes a informar a la Comisión de todas las transacciones de fusión y adquisición previstas, antes de que se lleven a cabo. Y, si una autoridad de un Estado miembro considera que una transacción es perjudicial, puede solicitar a la Comisión que revise el caso, utilizando el procedimiento de remisión del artículo 22 del Reglamento 139/2004 (UE) (Reglamento de concentraciones).
  • Conforme al DMA,  la Comisión puede imponer una prohibición total de todas las transacciones de los infractores reincidentes. Ese «incumplimiento sistemático» o «reincidente» se produce si un guardián de acceso viola las mismas obligaciones o obligaciones similares. A tal efecto, la Comisión puede realizar investigacions (artículo 16(3a) DMA).

Gobernanza

  • Los guardianes están obligados a crear departamentos de cumplimiento específicos dentro de sus empresas, así como a instalar sistemas de gestión de riesgos (art. 28 DMA): Los guardianes de acceso establecerán una función de comprobación del cumplimiento que sea independiente de sus funciones operativas y esté integrada por uno o varios agentes de cumplimiento, entre los que se encontrará el responsable de la función de comprobación del cumplimiento).

Supervisión y control

Ponti sull’Arno pisano

La Comisión Europea es la principal responsable del control y supervisión del DMA. Las autoridades de los Estados miembros participan a través de la Red Europea de Competencia y del «Grupo de alto nivel» de la DMA, que sólo tiene una función consultiva (artículo 40). Además, las autoridades de los Estados miembros y la Comisión están obligadas a informarse mutuamente sobre los trabajos pertinentes . No obstante, las autoridades nacionales pueden investigar por sí mismas las infracciones de las obligaciones si la Comisión no actúa. Las decisiones nacionales no deben contradecir las decisiones de la Comisión.

La Comisión puede hacer uso de sus poderes de ejecución comunes en las investigaciones habituales (en derecho de la copetencia) sobre prácticas antimonopolio, cárteles y fusiones:

  • solicitar información (artículo 21)
  • inspección (artículos 22 y 23, principalmente)
  • compromisos (artículo 25)
  • investigaciones de mercado para preparar un procedimiento completo (varios artículos).
  • medidas cautelares (artículos 30 y 31).

La Comisión puede imponer multas de hasta el 10% de la facturación anual mundial del guardián, y del 20% en casos de incumplimiento sistemático (artículo 26).

Las decisiones  de la Comisión están sujetas a revisión por parte de los tribunales de la UE ( artículo 261 del TFUE)

 

Entrada realizada con el apoyo del Proyecto (nacional)TED2021-130344B-100, DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO financiado por MCIN/AEI/10.13039/501100011033 y por la UE NextGenerationEU/PRTR.

¿Robot inventor? A propósito del caso DABUS puesto a prueba ante la USPTO, la OEP, la UKIPO y ante otras Oficinas ( y algunos Tribunales de Justicia)

Es relativamente frecuente escuchar,  en conversación ligera, que ya existen invenciones realizadas por máquinas. O que a éstas se deberían ciertas aportaciones reflejadas en reivindicaciones que forman parte de solicitudes de patentes.   Pues bien, en agosto de 2019, un equipo de investigadores presentó solicitudes de patentes en las que designaba como inventor a una Inteligencia Artificial, el DABUS. A través del procedimiento de solicitud internacional del PCT y la designación de diversos países, las solicitudes representan test de interés para avanzar en la posibilidad de reconocer (o no) algún margen de atribución a la IA en el derecho de patentes.

En tanto tenemos conocimiento, únicamente la Oficina de Patentes de Surafrica ha admitido (en 2021) la condición de inventor a esa IA (en Australia, tras un singular veredicto favorable del Tribunal Federal en 2021, el Tribunal Supremo de ese país desestimó la petición).

 

By A. Zorita

By A. Zorita

Antecedentes.

El Dr Steven Thaler presentó dos solicitudes de patente en las que aparecía el nombre de «Device for the Autonomous Bootstrapping of Unified Science» (DABUS) como único inventor, siendo DABUS un sistema de software de inteligencia artificial.

DABUS, en realidad, era resultado y se integraba en un amplio proyecto de investigación en el que participaron renombrados científicos como Ryan Abbott, Robert Jehan, Malte Koellner, Reuven Mouallem, Markus Rieck, Peggy Wu. El desarrollador de DABUS fue el propio Dr  Stephen Thaler (y equipo).

DABUS

DABUS (device and method for the autonomous bootstrapping of unified sentience) es un sistema deinteligencia artificial programado como una serie de redes neuronales artificiales. Estas redes fueron entrenadas con conocimientos generales de diferentes campos, y para poder identificar contenidos novedosos en distintos campos. Se les pidió crear invenciones de manera independiente.

DABUS ante la USPTO y ante los Tribunales de Estados Unidos

La Oficina de Patentes y Marcas de Estados Unidos (USPTO) determinó que dos   solicitudes de patente carecían de un inventor válido, y solicitó la identificación de los inventores. El Sr Thaler instó la anulación de las notificaciones, pero su pretensión fue denegada por parte de la USPTO y la solicitud de patente rechazada.  El Dr Thaler inició procedimientos ante el Tribunal de Distrito de EE.UU. para el Distrito Este de Virginia. Este Tribunal concluyó (en un procedimiento sumario) que las solicitudes carecían de inventor porque, según la ley estadounidense de patentes, un «inventor» debe ser una «persona física», y porque el significado llano de «persona física» en la ley equivale a «ser humano».

Guess who

El Sr Thaler recurrió ante el Circuito Federal. En su sentencia de 2022, Thaler v. Vidal, 43 F.4th,  1207, se inadmitió la posibilidad de que la IA fueran reconocida como inventora en sendas solicitudes de patente. rEl Circuito Federal comenzó su análisis revisando el lenguaje de la Ley de Patentes, que define a un «inventor», en 35 U.S.C. § 100(f), como el «individuo». (O individuos en las invenciones conjuntas). El Tribunal del Circuito Federal sostuvo que, aunque la Ley de Patentes no define «individuo», del lenguaje de sus disposiciones se desprende claramente que alude a una persona física, es decir, un ser humano. Y que, a menos que haya una indicación de que el Congreso que establezca algo distinto, la palabra «individuo» en la Ley de Patentes significa ser humano. Añadió, que exigir que un «inventor» sea un ser humano es coherente con los precedentes jurisprudenciales que sostienen que, ni las corporaciones o personas jurídicas, ni los Estados soberanos pueden ser inventores, porque no son personas físicas.  Por último, dijo también que en el lenguaje común, los diccionarios confirman que la palabra «individuo» utilizada por el legislador corresponde a un «ser humano».

Sin embargo,  el Tribunal del Circuito Federal no cerró totalmente el debate pues, para finalizar su sentencia, recordó que no se le había planteado directamente la cuestión de si las invenciones realizadas por seres humanos con la ayuda de inteligencia artificial pueden ser objeto de protección mediante patente .

  • El Tribunal del Circuito Federal se apoyó en algunos precedentes, como Univ. of Utah v. Max-Planck-Gesellschaft Zur Forderung Der Wissenschaften E.V. and Beech Aircraft Corp. v. EDO Corp., (Univ. of Utah v. Max-Planck-Gesellschaft Zur Forderung Der Wissenschaften E.V., 734 F.3d 1315, 1323 (Fed. Cir. 2013); Beech Aircraft Corp. v. EDO Corp., 990 F.2d 1237, 1248 (Fed. Cir. 1993). En esos asuntos se había afirmado que los inventores deben ser personas físicas, y que no pueden ser ni personas jurídicas de tipo corporativo (corporations) ni Estados soberanos
  • La USPTO se apoyó también en los test y criterios establecidos en  Pannu v. Iolab Corp96 F. Supp. 2d 1359 (S.D. Fla. 2000) en relación con el reconocimiento de la condición de co-inventor. En este caso se afirmó que, para ser reconocida entre los inventores en una solicitud de patente, la persona (física) inventora o co-inventora debe contribuir de alguna manera significativa a la concepción o a la concreción práctica de la invención. A partir de ese principio, se concluyó que en aquellas invenciones en las que participa una IA, los humanos que sean designados como inventores individual o colectivamente deben poder evidenciar una relevante aportación o contribución humana a la invención reivindicada . La contribución del inventor o co-inventor en ningún caso puede ser insignificante en relación con la dimensión de la invención completa. Esa aportación de un humano que aspira a ser reconocido como coinventor o como inventor, no puede consistir, simplemente, en explicar a los  otros inventores  conceptos que ya son bien conocidos o que se encuentran en el estado actual de la técnica” (eso es lo que había hecho quien inicialmente fue reconocido inventor en Pannu v OILAV Corp). Además, el análisis de la aportación de la persona inventora se realiza reivindicación por reivindicación y nunca de modo general.

Pisa di notte

Seguimiento y desarrollos en Estados Unidos

 

DABUS ante la UKIPO

La solicitud de patentes a favor de DABUS también se presentó ante la Oficina de Patentes de Reino Unido, fue rechazada y recurrida ante el Tribunal Supremo de ese país

  • En Inglaterra el rechazo se produjo mediante Decisión de la UKIPO de 4.12.2019. En su respuesta inicial pidió «declaraciones de invención» para que el solicitante, Dr. Thaler, indicase cómo había obtenido la invención otorgándole un plazo de 16 meses, con el apercibimiento de que en caso de no hacerlo, las solicitudes de patente se considerarían retiradas (Rule 10(3) /de las Reglas de Patentes de 2007.El 23 de julio de 2019, el Dr. Thaler presentó sus declaraciones de invención, en las que exponía su postura: las invenciones fueron creadas por su máquina de inteligencia artificial DABUS y el Dr. Thaler había adquirido el derecho a la concesión de las patentes como propietario de la máquina. La solicitud de patente fue rechazada
  • Este informe UKIPO da forma a la visión actual desde esa oficina

Recursos ante los Tribunales de Justicia de Reino Unido

Tras las negativas de la High Court y de la Court of Appeal a reconocer a DABUS como inventor, este asunto fue dirimido finalmente ante la Supreme Court. El Tribunal Supremo del Reino Unido. El recurso fue examinado el 2 de marzo de 2023 por Lord Hodge, Lord Kitchen (ponente), Lord Hamblen, Lord Leggat y Lord Richards.

  • La sentencia señala expresamente que no se ocupa de la cuestión de si los avances técnicos generados por máquinas autónomas impulsadas por IA deberían ser patentables o de si el término «inventor» debería ampliarse para incluir a las máquinas impulsadas por IA.  Por el contrario se apoya en la interpretación de la Ley de Patentes de 1977 y ajustándose a su texto da respuesta a una serie de cuestiones muy interesantesPor una parte, se fija en el alcance y en el significado de  la palabra «inventor»  , por relación a los artículos 7 y 13 de la Ley de Patentes de 1977: un inventor es el creador de la invención, que, según su significado ordinario esuna persona que crea un producto o proceso nuevo. Por lo tanto DABUS no es inventor en el sentido de los arts 7 a 13 de esa LeyPor otro lado, el Tribunal responde a la cuestión de si el Sr Thaler, en tanto que dueño de DABUS podía solicitar patente a su propio nombre. A este respecto,  los Lores recordaron que si bien el solicitante no tiene porque ser inventor si que debe ser una de las personas legitimadas (art 7-2-b y 7-2-c) o el cusahabiente del inventor. Pero, la condición de dueño no justifica el derecho a solicitar la patente, ni de los frutos de su propiedad (rechaza la teoría de la adhesión): que Thaler sea dueño de DABUS no le legitima tampoco para ser él mismo el titular de la patente)

DABUS ante la OEP

  • La OEP se pronunció en Múnichel 27 de enero de 2020., en relación con dos solicitudes de patente, la EP 18 275 163 (contenedor de comida que utiliza diseños fractales para crear hendiduras y bultos) y la EP 18 275 174 ( dispositivo y método para atraer atención óptica mejorada). En las dos solicitudes de patentes se designaba a DABUS como su inventor único, y como solicitante (y potencial titular de las patentes) constar al Dr. Thaler,  dueño de la máquina.
  • Ante la OEP, la respuesta al Caso Dabus  fue que la mera alusión formal del robot como inventor es insuficiente, pues la exigenca de mencionar al autor no es un mero formalismo, sino que es manifestación de un derecho de la personalidad. La OEP indicó así que los nombres otorgados a las personas no solo sirven para identificarlos, sino también para ejercitar unos derechos que pueden corresponder únicamente a seres humanos.l
  • La OEP señaló que el  inventor debe ostentar personalidad, pues solo de esta forma tendrá capacidad legal para ejercer los derechos que la legislación de patentes concede al inventor, como ser designado, ser mencionado o ser notificado de dicha designación. La OEP subraya que el inventor es la persona que contribuye al diseño, desarrollo o implementación de la idea inventiva.

A través del PTO han sido muchas otras las oficinas y tribunales que deniegan la posibilidad de reconocer la condición de inventor a la IA (con la excepción de Suráfrica, hasta el momento)

 

Ver también:

 

Entrada realizada con el apoyo del Proyecto (nacional)TED2021-130344B-100, DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO financiado por MCIN/AEI/10.13039/501100011033 y por la UE NextGenerationEU/PRTR

Modernización del Derecho Europeo de protección de los consumidores (y de la competencia desleal) ante la digitalización

Galería

El impacto de la digitalización y de las grandes plataformas no deja de sentirse en todos los ámbitos de la contratación. La UE aprobó, en 2019, la llamada Directiva de Modernización, Directiva (UE) 2019/2161 del Parlamento Europeo y del Consejo … Sigue leyendo

El informe de trasparencia del DSA y otros elementos informativos. Desarrollo regulatorio

La Comisión adoptó un Reglamento de Ejecución para armonizar el formato, el contenido y los períodos de notificación de los informes de transparencia  exigidos por el Digital Services Act o DSA de la Unión Europea. En efecto, el Reglamento de Ejecución (UE) 2024/2835 establece que los prestadores de servicios intermediarios y plataformas en línea deben utilizar formatos estandarizados para cumplir con las obligaciones de transparencia informativa de acuerdo con el DSA. Estos formatos están destinados a garantizar que la infomación proporcionada sea clara, accesible y fácil de comparar, facilitando su comprensión por los usuarios y su verificación por parte de las autoridades competentes.

Catedral y murallas de Astorga

Recuérdese que el DSA  ( Reglamento (UE) 2022/2065) exige diligencia y esfuerzos equilibrados y  proporcionados a determinados intermediarios de Internet para lograr un entorno en línea transparente y seguro en el que éstos compitan lealmente.

 

En concreto, el DSA impone específicas obligaciones de transparencia informativa para:

  • los prestadores de servicios intermediarios,
  • los prestadores de servicios de alojamiento de datos,
  • los prestadores de plataformas en línea,
  • Los prestadores de servicios de motores de búsqueda en línea
  • los prestadores de plataformas en línea (PL) de muy gran tamaño y de motores de búsqueda en línea  (MB) de muy gran tamaño.

Entre estas obligaciones que afectan a las PL y MB (de gran tamaño, ambos) se encuentra el informe de trasparencia.

Fechas armonizadas de presentación del informe de trasparencia

  • De conformidad con el artículo 42, apartado 1, DSA, los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño deben redactar y presentar informes de trasparencia al menos cada seis meses. El inicio del ciclo de comunicación de información de cada prestador depende de la fecha en la cual el servicio haya sido designado como PL de muy gran tamaño o como MB en línea de muy gran tamaño.  Con el desarrollo reglamentario del que aquí se da cuenta, esos periodos se ordenan, y, se establece que el  primer ciclo de comunicación de información en el que deben utilizarse las plantillas armonizadas (anexo I del Reglamento de Ejecución)  abarcará el período comprendido entre el 1 de julio y el 31 de diciembre de 2025. A partir del 1 de enero de 2026, los periodos de informes seguirán el estándar semestral por meses
  • De conformidad con el artículo 15, apartado 1, DSA, los prestadores de servicios intermediarios, de servicios de alojamiento de datos y de plataformas en línea deben informar anualmente a partir del 17 de febrero de 2024, fecha de plena entrada en vigor del DSA.  A raíz del desarrollo reglamentario aquí explicado, el primer ciclo de comunicación de información armonizado completo abarca las fechas comprendidas entre el 1 de enero de 2026 y el 31 de diciembre de 2026.

Exenciones: Recuérdese, que el artículo 15, apartado 2, del DSA exime de la obligación de comunicación de información establecida en el artículo 15, apartado 1,  a los prestadores de servicios intermediarios que se consideren microempresas o pequeñas empresas en el sentido de la Recomendación 2003/361/CE y que no sean de muy gran tamaño conforme al propio DSA

Formato del informe de trasparencia

El Reglamento de Ejecución se ocupa de establecer Formatos estructurados y accesibles que permitan a los usuarios y a las autoridades navegar fácilmente por la información y verificar el cumplimiento de las normativas de transparencia.

  • Estos formatos deben ser legibles por máquina (automáticamente). Es decir, deben ser procesables por vía informática utilizando XML, JSON o soportes similares cuya lectura automática permite la interoperabilidad (y la automatización de auditorías).
  • La  información de estos informes se estructura en plantillas claras, accesibles mediante interfaces web sencillas para que los usuarios puedan consultarlas. Su presentación debe ser comprensible para los usuarios, evitando jergas complejas.
  • A fin de facilitar el cumplimiento de las obligaciones de transparencia de los prestadores, en particular para garantizar la legibilidad por máquina y la fácil accesibilidad, el formato de publicación se armoniza (así había sido previsto en el artículo 15, apartado 3, y el artículo 24, apartado 6 DSA).

Medidas obligatorias en la presentación de informes

    • Este Reglamento de Ejecución impone el formato de documento abierto CSV (valores separados por comas) para la elaboración de los informes de trasparencia. Las plantillas deben cumplir la norma CSV RFC 4180 y utilizar la codificación UTF-8 (formato de transformación Unicode de 8 bits). A tales efectos, se ofrecen las versiones CSV y XLSX de las plantillas en el anexo del Reglamento, tal y cómo podrán ser utilizadas en línea.
    • Será obligatorio acompañar la información del informe con metadatos estructurados. Los metadatos proporcionan información adicional sobre otros datos, como la fecha de recopilación, el autor, o el contexto en que se genera la información. Ayudan ayudar a las autoridades y al público a evaluar la fiabilidad y precisión de la información proporcionada
    • Aquí pueden descargarse las plantillas

 

Medidas recomendadas para la presentación de los informes: En este Reglamento de ejecución se anima a los prestadores de servicios intermediarios, los prestadores de servicios de alojamiento de datos, los prestadores de plataformas en línea, los prestadores de plataformas en línea de muy gran tamaño y los prestadores de motores de búsqueda en línea de muy gran tamaño a adaptar sus informes de transparencia a las plantillas del anexo I del Reglamento

 

Preparando la Navidad

Preparando la Navidad

Comparabilidad mediante indicadores: El desarrollo reglamentario del DSA al que aquí se alude establece algunas medidas destinadas a facilitar la comparación entre los indicadores utilizados por unos y otros agentes. Por ejemplo, indica que se comunicarán números enteros cuando se trate de los indicadores de recuento (como el número de moderadores por lengua oficial, el número de notificaciones recibidas, el número de notificaciones atendidas y los destinatarios activos mensuales del servicio). Por otro lado, los indicadores que indiquen un porcentaje se comunicarán como números en coma flotante en el intervalo de [0,1]. Además,  los indicadores relativos al tiempo medio se indicarán en horas.

 

Disponibilidad: El informe de trasparencia debe guardarse 5 años para permitir la supervisión y al menos durante ese periodo deben poderse consultar por el público. Ello no obsta a que se puedan modificar. Es decir, pueden publicarse versiones actualizadas de informes de transparencia publicados previamente con el fin de rectificar incoherencias, errores o cambios en la metodología aplicada para calcular las cifras notificadas. Ahora bien, las distintas versiones de un mismo informe de transparencia deben marcarse explícitamente para que sea posible y sencillo reconocer su versión y la fecha de ésta.

Reclamaciones y resolución de conflictos.  El informe de trasparencia debe contener información con referencias a los sistemas internos de gestión de reclamaciones y a los órganos de resolución extrajudicial de litigios a los que se haya adherido o con los que cuente el servicio del que se informa.

Otros datos del informe de trasparencia.  Este importante documento, además de todo lo anterior, incluirá referencias a las sanciones a reincidentes que hayan conducido a suspensión;  así como a la utilización de medios automatizados para la moderación de contenidos e indicadores de exactitud (cualitativo); a los recursos humanos contratados para la moderación de contenidos; y al promedio mensual de usuarios, entre otras

 

Entrada redactada con el apoyo de los siguientes Proyectos:

  • Proyecto de investigación “Sostenibilidad, digitalización e innovación: nuevos retos en el Derecho del Seguro”, de (ref.: PID2020-117169GB-I00), financiado por FEDER/Ministerio de Ciencia e Innovación – Agencia Estatal de Investigación

Alertadores fiables y el DSA. A propósito de la Escuela de verano EMILDAI (Università di Pisa)

Galería

Esta galería contiene 28 fotos.

Se escribe esta entrada a raíz de la participación en la Escuela de Verano EMILDAI celebrada en la Universidad de Pisa hace unos meses. Se trata de un programa formativo integrado en un proyecto conjunto de varias universidades europeas, entre … Sigue leyendo

De nuevo, sobre el DSA

El Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, o DSA establece un marco normativo en la Unión Europea para las plataformas en línea y los servicios intermediarios digitales. Forma parte de las reformas legislativas activadas para modernizar el mercado único digital de la UE, junto con el Reglamento de Mercados Digitales (DMA), que a su vez regula la competencia en plataformas digitales.(ver también, con anterioridad, en este blog sobre DMA y DSA)

 

El DSA introduce nuevas obligaciones para los prestadores de servicios digitales que operan en la UE, incluidos los prestadores de plataformas en línea (normales y de gran tamaño), los mercados en línea (normales y de gran tamaño) y otros servicios de intermediación. El DSA establece medidas para combatir contenidos ilícitos, así como para proteger la privacidad de los usuarios, y para garantizar la transparencia y la rendición de cuentas en el uso de algoritmos y decisiones automatizadas. Sus objetivos principales son estos:

  1. Reforzar la seguridad en los servicios digitales en especial en lo relativo a contenidos, protegiendo a los usuarios frente a contenidos dañinos o ilegales, como discursos de odio, desinformación, o material relacionado con la explotación infantil. Al mismo tiempo, busca garantizar que los servicios en línea sean justos y transparentes para los usuarios.

 

  1. Organizar un sistema escalonado de responsabilidades según el tamaño, el impacto y el riesgo de los servicios digitales, con un enfoque particular en las plataformas grandes que tienen un alcance significativo, como las redes sociales y los motores de búsqueda.

 

  1. Promover la transparencia en las prácticas de moderación de contenido, en los algoritmos utilizados para la personalización de contenidos, y en la publicidad en línea. También establece mecanismos para una mejor rendición de cuentas por parte de las plataformas.

 

  1. Mejorar la protección de los derechos de los usuarios, por ejemplo en cuanto a la protección de sus datos personales y su libertad de expresión, así como para apelar decisiones sobre la moderación de contenidos.

 

Ámbito de aplicación subjetivo

El DSA es aplicable a todos los prestadores de servicios digitales establecidos en la UE, así como a aquellos que operan en la UE aunque no estén establecidos en ella, siempre que ofrezcan una serie de servicios a usuarios :

  • Servicios de intermediación: Son plataformas que proporcionan una infraestructura digital para la interacción entre usuarios y terceros, como los motores de búsqueda o las plataformas de comercio electrónico. Esta categoría es amplia o genérica
  • Plataformas en línea: Servicios digitales que permiten la interacción entre usuarios, como redes sociales, plataformas para compartir contenido o foros en línea. Se trata de un tipo de servicio de intermediación específico
    • El reglamento también introduce el concepto de «plataformas muy grandes» (VLOPs, por sus siglas en inglés), que son plataformas que tienen más de 45 millones de usuarios activos mensuales en la UE. Estas plataformas deben cumplir con obligaciones más estrictas debido a su impacto potencial en el espacio digital.
  • Mercados en línea: Plataformas que permiten a los vendedores ofrecer productos o servicios a los consumidores, como Amazon o eBay. Se trata de un tipo de servicio de intermediación específico
  • Servicios de alojamiento de contenido: Plataformas que permiten el almacenamiento y distribución de contenidos generados por los usuarios, como YouTube o Facebook.

Obligaciones para los Prestadores de Servicios Digitales

Las obligaciones que se imponen son cumulativas y proporcionadas al servicios prestado y al volumen del prestador. Para su cumplimiento los prestadores deben contar con mecanismos de diligencia debida que faciliten la identificación de problemas y la búsqueda de soluciones a través de las obligaciones del DSA

1.Moderación de Contenidos. Deben tener mecanismos efectivos para abordar los contenidos ilícitos o dañinos. Esto incluye **informar a las autoridades** cuando detecten contenidos ilegales, **remover o bloquear** este contenido de manera efectiva y **proveer medios de apelación** para los usuarios que consideren que sus contenidos han sido eliminados de forma incorrecta.

2.Publicidad Transparente. Las plataformas deben ser transparentes en cuanto a las **prácticas de publicidad** y la **recomendación de contenidos**. Las plataformas deben proporcionar a los usuarios información clara sobre los anuncios que ven, incluyendo quién los ha pagado, por qué se les ha mostrado el anuncio y qué criterios se utilizaron. En cuanto al uso de Algoritmos y Decisiones Automatizadas**: Los servicios que utilizan algoritmos para recomendar contenido o personalizar la experiencia del usuario deben **explicar** cómo funcionan estos algoritmos y permitir que los usuarios tengan un control sobre ellos, incluida la opción de desactivarlos.

3.Gestión de Riesgos: Los prestadores de servicios deben evaluar los riesgos asociados con sus actividades y tomar medidas para mitigar estos riesgos. Esto es particularmente relevante para las **plataformas muy grandes** que tienen un impacto significativo en los usuarios y la sociedad.

4. Transparencia y auditoría. La transparencia  es un principio clave en la DSA. Los prestadores de servicios deben:

  • Informar sobre sus políticas de moderación de contenido, incluidas las medidas para abordar desinformación, discursos de odio y otros contenidos nocivos.
  • Presentar informes de transparencia periódicos, detallando el volumen de contenido moderado, los tipos de contenido retirado y las medidas tomadas para prevenir la propagación de contenido ilegal.
  • Las plataformas más grandes deben someterse a auditorías independientes para evaluar el cumplimiento de la DSA, especialmente en lo que respecta al uso de algoritmos y la gestión de riesgos.

Protección de los Derechos de los Usuarios

El DSA establece una serie de derechos para los usuarios, tales como:

  • Derecho a la información: Los usuarios deben ser informados de manera clara sobre las políticas de moderación de contenido, los procedimientos de apelación y el uso de algoritmos.
  • Derecho a la apelación: Los usuarios tienen derecho a apelar decisiones relacionadas con la moderación de contenidos, como la eliminación de sus publicaciones o la suspensión de sus cuentas.
  • Protección de los menores y la privacidad: Las plataformas deben tomar medidas adicionales para proteger a los menores de contenidos nocivos, así como garantizar que los servicios respeten la **privacidad** de los usuarios.

OBLIGACIONES ESPECIALES PARA PLATAFORMAS MUY GRANDES (VLOPS)

Las plataformas muy grandes (VLOPs) que superan los 45 millones de usuarios activos mensuales en la UE deben cumplir con una serie de obligaciones adicionales y más estrictas:

  • Evaluaciones de impacto: Las VLOPs deben realizar evaluaciones de los posibles riesgos sistémicos que sus servicios puedan representar, como la desinformación o el discurso de odio, y adoptar medidas para mitigar estos riesgos.
  • Rendición de cuentas pública: Estas plataformas deben proporcionar informes detallados sobre sus esfuerzos para abordar estos riesgos, incluidas las acciones tomadas para proteger los derechos de los usuarios y garantizar la seguridad en línea.
  • Auditorías externas obligatorias: Las VLOPs deben someterse a auditorías externas que evalúen su cumplimiento con la DSA, en particular en cuanto a la gestión de contenido y la moderación.

 

SUPERVISIÓN Y SANCIONES

  • El cumplimiento del DSA es supervisado por  autoridades nacionales de supervisión de cada Estado miembro de la UE. Además, la Comisión Europea tiene un papel clave en la supervisión de las plataformas más grandes (VLOPs). Estas autoridades tienen la capacidad de imponer sanciones a las plataformas que no cumplan con las obligaciones establecidas en la DSA:
    • Multas de hasta el 6% de la facturación global anual para las plataformas que no cumplan con la normativa.
    • Sanciones adicionales si se detectan infracciones graves o continuadas.

VER: Guía práctica de implementación del DSA (Garrigues)

 

Congreso internacional de la Propiedad Industrial entre la digitalización, la innovación y la sostenibilidad.

Los días 17-18/10/2024, en la UC3M , se celebra el Congreso internacional de la Propiedad Industrial entre la digitalización, la innovación y la sostenibilidad.

Las Profesoras Isabel Candelario y Bárbara de la Vega,  directora y coordinadora del encuentro internacional, han sido capaces de concitar un conjunto de expertos de primer nivel desde ambos lados del atlántico, para abordar cuestiones centralísimas en la agenda global actual y en su relación con la Propiedad Industrial. Estas cuestiones abarcan desde el cambio climático, la transformación digital, la economía circular, a la sostenibilidad . Todo ello en el contexto del Proyecto de Investigación Next Generation TED2021-130344B-I00 Desafíos y Retos de la Ordenación de las Innovaciones de Cambio Climático financiado por: MCIN/AEI/10.13039/501100011033 y por la UE NextGenerationEU/PRTR.

Para aquellos que deseen anotarse, el enlace de abono de derechos e inscripciones es https://www.flowte.me/storefront/uc3m-#/

El Congreso desarrolla un sugerente programa, completado con las consiguientes comunicaciones y conclusiones. Su inaguración y presentación del Congreso corre a cargo de la Profª. Drª. Doña Mª. Isabel CANDELARIO MACÍAS, Directora,  responsable del Grupo de Investigación PROINDTEN, UC3M, ESPAÑA; y de Don Javier VERA ROA, Consejero Técnico, OEPM, O.A.

Además, intervienen como ponentes invitados y compañeros, también de la Universidad de León:

  • Don Javier VERA ROA, Consejero Técnico, OEPM, O.A., “La Propuesta de Reglamento de la Comisión Europea sobre Patentes Esenciales para las Normas SEPs. Situación actual y perspectiva española”:
  •  Prof. Dr. Don João Paulo REMÉDIO MARQUES, Catedrático de Direito Processual Civil e Propriedade Industrial da Faculdade de Direito da Universidade de Coimbra y, secretario de la Asociación Portuguesa de Derecho Intelectual (APDI), PORTUGAL.¿Puede contribuir la propiedad industrial a la sostenibilidad hacia una economía verde? Algunas pistas”
  • Don Marco ALEMÁN, Subdirector General de la OMPI, SUIZA.
    “Los retos y oportunidades de la digitalización en las actividades de innovación”
  •  Don Alexandre DIAS PEREIRA, Profesor Titular de la Facultad de Derecho de la Universidad de Coimbra e investigador del Instituto de Investigación Jurídica y miembro de APDI, Coimbra, PORTUGAL. “El impacto del Reglamento de Servicios Digitales en la protección de signos distintivos”
  • Doña Mabel KLIMT YUSTI. Socia Directora de ELZABURU Internacional, ESPAÑA.“Nuevas disciplinas dentro de la propiedad intelectual que nacen y crecen en la era de la digitalización: a vueltas con el derecho del entretenimiento”
  • Don Gonzalo M. NAZAR DE LA VEGA, Profesor de la Universidad de Buenos Aires y de la Universidad de Palermo (Argentina). Subdirector del Instituto de Análisis Económico del Derecho de la Universidad de Palermo. Ex investigador del Instituto Max Planck para la Innovación y Competencia (Múnich, Alemania), “Un análisis de los fundamentos de las funciones accesorias de las marcas. Su implicancia en el alcance del derecho de exclusión”
  • Prof. Dr. Don Manuel MAGAÑA. Director de Máster en PI y Especialista en Propiedad Industrial e Intelectual, Universidad Panamericana, Campus Aguas Calientes-Guadalajara, MÉXICO, “Propiedad Industrial en la innovación y creatividad dentro de las empresas”
  • Doña Dra. Marta CANTOS PARDO, Profesora Ayudante Doctor, Universitá de Valencia, ESPAÑA.“Introducción de la inteligencia artificial en los procesos judiciales en materia de propiedad industrial”
  • Don J.A. GIL CELEDONIO, Consejero de Industria y Turismo, Representación Permanente de España ante la Unión Europea y Director de la OEPM (2018-2022), BÉLGICA. “Diseño Industrial e innovación tecnológica: límites y posibilidades”
  •  Prof. Dr. Don Emiliano MARCHISIO, Catedrático de Derecho Mercantil de la Universidad “Giustino Fortunato” de Benevento, ITALIA. “Propiedad Industrial y sistema productivo: un examen de contexto”
  • Dra. Elena F. PÉREZ CARRILLO, Profesora de Derecho Mercantil, Universidad de León. ESPAÑA. “El robot inventor. Aproximación a la patentabilidad de invenciones generadas mediante IA»